[Warnung/Erinnerung] Benutzt SSH Keys!

  • Woran erkennt man einen hack abgesehen von log files und traffic?


    Gibt es bezüglich diesen Themas gute Lektüre oder so? Würde mich gern da etwas mehr einlesen.


    Man sollte einfach alle paar tage die laufenden prozesse überprüfen und nach unbekannten und versteckten ordnern im WWW verzeichnis suchen. Verdächtige mengen an traffic können natürlich auch ein hinweis sein.



    Ääähm nein - Docker ist so ziemlich alles, aber kein Sicherheitsfeature.
    Bei Lücken in genutzten Kernelfunktionen ist es ganz egal ob mit oder ohne Docker...


    Docker birgt im Gegenteil sogar die Gefahr, dass die darin laufende Software nicht vernünftig geupdated wird: aus einer Agentur weiß ich, dass Kunden gerne mal Docker-Container inkl. Webserver anfordern um die neue Webseite mit wenig Aufwand online gehen zu lassen. Als ob sich einer der eigenen Sysadmins einem Docker-Container einer Webagentur annimt...


    Das nicht updaten von docker containern ist ein anfängerfehler und der kunde sollte entweder sich einen eigenen sysadmin holen oder einen web host benutzen.


    Natürlich ist docker kein "sicherheitsfeature" aber wesentlich sicherer als den webserver direkt auf dem host zu installeren. Da viele firmen docker benutzen werden sicherheitslücken sehr schnell geschlossen. Wenn die malware nicht aus dem container ausgebrochen ist kann man sehr schnell den container löschen und einen neuen container (hoffentlich mit einem patch) aktivieren.

  • Man sollte einfach alle paar tage die laufenden prozesse überprüfen und nach unbekannten und versteckten ordnern im WWW verzeichnis suchen. Verdächtige mengen an traffic können natürlich auch ein hinweis sein.


    Okay, das macht schon Sinn.


    Man könnte also Theoretisch ein Bash script Schreiben, welches nach neuen versteckten Dokumenten sucht, diese nach letzter Modifizierung auflistet und dazu z.B. täglich den Traffic in eine File Schreibt. Diese Datei wird am nächsten Tag dann als Vergleich herangezogen. Sollte die Differenz x% überschreiten, wäre ein Hinweis an den Admin hilfreich.


    Laufende Prozesse kann man ja auch auflisten >prozesse.txt und abgleichen.


    Aber das war's dann? Wirkt fast schon zu einfach.

    Der oben geschriebene Beitrag ist meine persönliche Meinung/Interpretation!
    Im übrigen verweise ich auf §675 Abs. 2 BGB .

  • Wobei das alles nutzlos sein könnte, wenn der Angreifer root-Rechte erlangt hat. Dann kann er sich sehr gut verstecken, ohne dass Du im laufenden System Spuren davon findest! ;)


    Edit: Sorry, ich habe den anderen Thread zu spät gesehen.



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Wie schaffe ich es auf meinem server auf dem freebsd einen key zu erstellen? Benutze putty btw muss dann den key in puttygen unwandeln oder?
    Aber ich hab halt null Plan wie es serverside funzt das einrichten. Ssh hab ich gemacht dass nur ich rinkann aver key wäre mir lieber .


    MfG

  • Wie schaffe ich es auf meinem server auf dem freebsd einen key zu erstellen? Benutze putty btw muss dann den key in puttygen unwandeln oder?
    Aber ich hab halt null Plan wie es serverside funzt das einrichten. Ssh hab ich gemacht dass nur ich rinkann aver key wäre mir lieber .


    MfG

    Schau bei diesem Post habe ich ne Gute Anleitung verlinkt: Angriffe auf andere von meinem Freebsd Server durch Unbekannte

  • Web server sind eigendlich kein problem, apache2 und php7 installieren, cloudflare aktivieren, alle HTTP(S) verbindungen die nicht durch CF kommen blockieren und optional auch den zugriff von fremden domains verbieten. Software die eine SQL database benutzt vermeiden, wenn es keine alternative gibt einfach MySQL installieren und sehr vorsichtig bei der installation sein, die test datenbank und anonymous user entfernen und den remote access deaktivieren.


    Außerdem software wie Wordpress, Joomla und andere selbst gehostete "website builder" software auf jeden fall vermeiden, bei denen werden dauernd neue sicherheitslücken gefunden.


    Eventuell noch den Server vom Netz nehmen, dann haben Angreifer keine Chance mehr.


    Natürlich ist docker kein "sicherheitsfeature" aber wesentlich sicherer als den webserver direkt auf dem host zu installeren. Da viele firmen docker benutzen werden sicherheitslücken sehr schnell geschlossen. Wenn die malware nicht aus dem container ausgebrochen ist kann man sehr schnell den container löschen und einen neuen container (hoffentlich mit einem patch) aktivieren.


    Das was du da anbringst ist doch völliger Quatsch. Ich kann doch nicht einfach den Docker-Container inkl. Firmenseite löschen. Ein solches Vorgehen ist bei Docker zwar grundsätzlich vorgesehen, für ein Webhosting jedoch nur selten zu gebrauchen. Docker macht für den Produktiveinsatz nur dann Sinn, wenn während der Nutzung keine individuellen Änderungen passieren (bei Webseiten werden zum Beispiel Bilder hochgeladen). Beliebt ist Docker deshalb zum Beispiel bei der Entwicklung von größeren Projekten. Damit kann ich dann nicht nur automatisch die jeweils aktuelle Version bauen lassen, sondern sie auch gleich mit aktueller Software in einem Container deployen.


    Deshalb wird für Webseiten, wenn jede eine einzelne Umgebung haben soll, in der Regel weiterhin eine Vollvirtualisierung wie ESXi oder XEN genutzt. Allerdings können auch mehrere Seiten auf einem Server sehr sicher betrieben werden. Zum einen kann ich die einzelnen Umgebungen mit open_basedir und co. abschirmen und zum anderen die unterschiedlichen Nutzer einsperren.


    Außerdem solltest du, wenn du hier schon eine Lanze für Dockers brechen willst, selbst auf dem Laufenden bleiben. Viele deiner meldenden Firmen nutzen eine absolut veraltete Docker Software. Der Grund ist, dass es mehrere Versionen gibt, bei denen es keine Abwärtskompatibilität zu älteren Containern gibt. Artikel zu diesem Thema findest du zum Beispiel bei heise und golem.