Hallo zusammen!
habe gerade eine mail von netcup erhalten worin steht, dass mein server eine attacke auf einen anderen server gestartet hat und er deshalb deaktiviert wurde.
WARNING Outgoing Attack: IN= OUT=eth0 SRC=**.**.**.** DST=**.***.**.** LEN=43
TOS=0x00 PREC=0x00 TTL=64 ID=37659 DF PROTO=UDP SPT=33917 DPT=53 LEN=23
ich bin möglicherweise nicht der erfahrenste administrator aber ich habe den server erst vorige woche mit dem aktuellen image das netcup zur verfügung stellt installiert und eigentlich nix verändert ausser einen teamspeakserver und einen imapserver eingerichtet per apt-get befehlen.
meine frage ist nun wie.. um welche art von angriff handelt es sich da .. was soll das genau heissen? und wie kann ich sowas vorbeugen ?
das ich dafür verantwortlich bin und ich wissen müsste worum es geht ist mir schon klar, aber auch peinlich
(bzw müsste da nicht auch netcup sichere images zur verfügung stellen?)
grüße
seppo
Mail erhalten Server wurde gestoppt
- seppo
- Erledigt
-
-
was soll man sagen...nimm dir den nachmittag frei und lese dich durchs forum.
du findest alles was du brauchst. -
Jeder ist für die Sicherheit selber verantworltich es sei den du hast nen manged server (soweit ich weiß)
-
Zitat
netcup zur verfügung stellt installiert und eigentlich nix verändert
Tja. Und da ist schon der Fehler. Suche mal hier im Forum. Es gibt zwei oder drei Threads wo Serversicherheit recht gut erklärt wird.
Eine recht oft verwendete Sicherheitslücke findet sich in PhpMyAdmin. Wie man pma absichert, findest Du auch hier im Forum.Zitat(bzw müsste da nicht auch netcup sichere images zur Verfügung stellen?)
Netcup muss gar nichts. Es ist wie Du schon erkannt hast dein Problem was Du mit dem Server anstellst.
Du kannst Dir ja mal das verinnerlichen, und mal überlegen, ob Webspace oder ein Managed Server nicht besser für dich ist.
http://serverzeit.de/FreeBSD/admins-haften/
http://root-und-kein-plan.ath.cx/Wichtig ist nun:
- Daten sichern
- Server KOMPLETT neu aufsetzen
- Alles in ruhe absichern
- Bevor nicht alles Abgesichert ist via openVCP Firewall den Zugang auf den Server (außer SSH) verweigern
-
hi und danke für eure antworten!
ein managedserver kommt für mich leider nicht in frage, da einfach zu teuer... sorry is halt so
daten sichern bleibt mir zum glück erspart, da ja eigentlich nix drauf war ausser der teamspeakserver und paar funmails von paar kumpels...
werde mal eure links durchackern vielleicht find ich ja noch raus worums in dem angriff ging. wenn alle stricke reissen werd ich wohl kündigen und nen fix und fertigen Teamspeakserver mieten müssen. (ein idiot weniger der nen vserver hat ;-))
lg und nix für ungut
s3ppo -
mal ne frage wen wir schon beim thema security sind wie kann ich den appache vor shells schützen?
-
Zitat von Proyx;7064
mal ne frage wen wir schon beim thema security sind wie kann ich den appache vor shells schützen?
Wie meinen? -
Zitat von sim4000;7065
Wie meinen?
also wenn jeamand zb ne shell hochlädt zb 99?
über den FTP dann hat er auf meinen jetzigen server vollen zugang wie kann ich das verhinden -
Sorry, aber irgendwie verstehe nicht was du meinst...
Mach mal bitte nen neuen Thread dafür auf. Nicht das wir das Thema hier zumüllen. -
Zitat von sim4000;7068
Sorry, aber irgendwie verstehe nicht was du meinst...
Mach mal bitte nen neuen Thread dafür auf. Nicht das wir das Thema hier zumüllen.Er meint mit "99" ein PHP-Shellscript, welches die Kommandos wie z.B. "ls" "uname" oder "wget" erlauben ausgeführt zu werden (auf dem Webserver und unter den Rechten des Apache).
Unterbinden : Hardend-PHP + Funktionen wie "proc_open" aussperren. Das ist schonmal ein guter Anfang!
-
Zitat von sim4000;7065
Wie meinen?
danke für die informations
du weißt zufällig nicht auch wie ich das PHP problem löse?
http://forum.netcup.de/showthread.php?t=958 -