Mail erhalten Server wurde gestoppt

    Hallo zusammen!

    habe gerade eine mail von netcup erhalten worin steht, dass mein server eine attacke auf einen anderen server gestartet hat und er deshalb deaktiviert wurde.

    WARNING Outgoing Attack: IN= OUT=eth0 SRC=**.**.**.** DST=**.***.**.** LEN=43
    TOS=0x00 PREC=0x00 TTL=64 ID=37659 DF PROTO=UDP SPT=33917 DPT=53 LEN=23

    ich bin möglicherweise nicht der erfahrenste administrator aber ich habe den server erst vorige woche mit dem aktuellen image das netcup zur verfügung stellt installiert und eigentlich nix verändert ausser einen teamspeakserver und einen imapserver eingerichtet per apt-get befehlen.

    meine frage ist nun wie.. um welche art von angriff handelt es sich da .. was soll das genau heissen? und wie kann ich sowas vorbeugen ?
    das ich dafür verantwortlich bin und ich wissen müsste worum es geht ist mir schon klar, aber auch peinlich :(
    (bzw müsste da nicht auch netcup sichere images zur verfügung stellen?)

    grüße
    seppo

    was soll man sagen...nimm dir den nachmittag frei und lese dich durchs forum.
    du findest alles was du brauchst.

    Logic will take you from A to B. Imagination will take you everywhere.(A.Einstein)
    Nur wer sein Ziel kennt findet auch den Weg!

    Zitat

    netcup zur verfügung stellt installiert und eigentlich nix verändert

    Tja. Und da ist schon der Fehler. Suche mal hier im Forum. Es gibt zwei oder drei Threads wo Serversicherheit recht gut erklärt wird.
    Eine recht oft verwendete Sicherheitslücke findet sich in PhpMyAdmin. Wie man pma absichert, findest Du auch hier im Forum.

    Zitat

    (bzw müsste da nicht auch netcup sichere images zur Verfügung stellen?)

    Netcup muss gar nichts. Es ist wie Du schon erkannt hast dein Problem was Du mit dem Server anstellst.


    Du kannst Dir ja mal das verinnerlichen, und mal überlegen, ob Webspace oder ein Managed Server nicht besser für dich ist.
    http://serverzeit.de/FreeBSD/admins-haften/
    http://root-und-kein-plan.ath.cx/


    Wichtig ist nun:

    • Daten sichern
    • Server KOMPLETT neu aufsetzen
    • Alles in ruhe absichern
    • Bevor nicht alles Abgesichert ist via openVCP Firewall den Zugang auf den Server (außer SSH) verweigern

    hi und danke für eure antworten!
    ein managedserver kommt für mich leider nicht in frage, da einfach zu teuer... sorry is halt so :(

    daten sichern bleibt mir zum glück erspart, da ja eigentlich nix drauf war ausser der teamspeakserver und paar funmails von paar kumpels...

    werde mal eure links durchackern vielleicht find ich ja noch raus worums in dem angriff ging. wenn alle stricke reissen werd ich wohl kündigen und nen fix und fertigen Teamspeakserver mieten müssen. (ein idiot weniger der nen vserver hat ;-))

    lg und nix für ungut
    s3ppo

    Zitat von sim4000;7068

    Sorry, aber irgendwie verstehe nicht was du meinst...
    Mach mal bitte nen neuen Thread dafür auf. Nicht das wir das Thema hier zumüllen.


    Er meint mit "99" ein PHP-Shellscript, welches die Kommandos wie z.B. "ls" "uname" oder "wget" erlauben ausgeführt zu werden (auf dem Webserver und unter den Rechten des Apache).


    Unterbinden : Hardend-PHP + Funktionen wie "proc_open" aussperren. Das ist schonmal ein guter Anfang!

    Ich biete gratis Remotehands (SSH) für alle Netcup Kunden - von Kunde zu Kunde!
    Dazu einfach eine an mich .

    Zitat von fLoo;7089

    Funktionen wie "proc_open" aussperren.


    Code
    disable_functions = exec,system,passthru,shell_exec,popen,escapeshellcmd,proc_open,proc_nice



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)