Beiträge von perryflynn

Vorweg (sorry ich kann nicht anders):
Es ist eine Schnapsidee auf einem "scharfen" 100MBit Root Server X zu installieren. Das öffnet mehr Lücken als es nutzen bringt. Jede App die unnötig auf einem Server läuft bringt Gefahren mit.
Es empfiehlt sich immer mit einem Webpanel oder gar komplett über ein Terminal zu arbeiten.

Zum Thema:
In wie fern hast Du denn alles Installiert? X11? Gnome? KDE?
Soweit ich weiß (hab es selbst noch nie gemacht) muss eine aktive X11 Session laufen, damit das funktioniert. Sprich man müsste einen Loginmanager wie GDM/KDM/XDM installieren, der X als Dienst startet, und auch "an behält".
Es biete sich auch an, via VNC mit der "Wacke-on-Login" (Weiß nicht wie das richtig heißt) Funktion zu Arbeiten. Dann wird X erst angeschaltet, wenn man sich einloggt. Und das verkleinert das Risiko wenigstens etwas...

Rettungssystem booten und mit chroot heile machen hätte es auch getan.

Was hast Du denn jetzt schon wieder angestellt... Entweder Du hast das php Modul unloaded, oder php deinstalliert. Guck mal in /etc/apache2/mods-enabled ob da php drin ist.
Und mal in die Log schauen, was der da für Fehler fabriziert.

Zu SuEXEC: Ich habe es eben mal auf meinem vServer probiert. Ich scheitere an der Einrichtung von php über FastCGI an dem immutable Bit. Da dies auf den vServern nicht gesetzt werden kann, lässt sich der Wrapper nicht sicher erstellen.
Sprich kann man SuEXEC auch vergessen.

Falls jemand ne Lösung hat, raus damit. Würde mich auch interessieren. Ansonsten bin ich was suexec angeht raus.

Apache Modul installiert und geladen?

Sorry, aber irgendwie verstehe nicht was du meinst...
Mach mal bitte nen neuen Thread dafür auf. Nicht das wir das Thema hier zumüllen.

http://wiki.archlinux.org/inde…_SuExec_and_virtual_Hosts
Da stehts.
Allerdings bitte berücksichtigen, dass dies kein Debian HowTo ist. Das Modul zum Beispiel bitte über den normalen "Debian-Weg" einbinden.

Zitat von Proyx;7064

mal ne frage wen wir schon beim thema security sind wie kann ich den appache vor shells schützen?

Wie meinen?

Zitat

netcup zur verfügung stellt installiert und eigentlich nix verändert

Tja. Und da ist schon der Fehler. Suche mal hier im Forum. Es gibt zwei oder drei Threads wo Serversicherheit recht gut erklärt wird.
Eine recht oft verwendete Sicherheitslücke findet sich in PhpMyAdmin. Wie man pma absichert, findest Du auch hier im Forum.

Zitat

(bzw müsste da nicht auch netcup sichere images zur Verfügung stellen?)

Netcup muss gar nichts. Es ist wie Du schon erkannt hast dein Problem was Du mit dem Server anstellst.

Du kannst Dir ja mal das verinnerlichen, und mal überlegen, ob Webspace oder ein Managed Server nicht besser für dich ist.
http://serverzeit.de/FreeBSD/admins-haften/
http://root-und-kein-plan.ath.cx/

Wichtig ist nun:

• Daten sichern
• Server KOMPLETT neu aufsetzen
• Alles in ruhe absichern
• Bevor nicht alles Abgesichert ist via openVCP Firewall den Zugang auf den Server (außer SSH) verweigern

Meine auth.log wurde andauernd mit folgender Meldung geflutet:

pam_env(sshd:setcred): Unable to open env file: /etc/default/locale: No such file or directory

Lösung:

dpkg-reconfigure locales

Dort dann die deutschen und Amerikanisch-Englischen auswählen, und als Default »de_DE.UTF-8 UTF-8«.

de_DE ISO-8859-1
de_DE.UTF-8 UTF-8
de_DE@euro ISO-8859-1
en_US ISO-8859-1
en_US.ISO-8859-15 ISO-8859-15
en_US.UTF-8 UTF-8

Fertig.
PS: Achja, das ganze ist in der Minimalversion von Debian Lenny.

Jetzt stört mich nur noch folgende Meldung:

error writing /proc/self/oom_adj: Permission denied

Hab n paar neue Einträge.

2009-10-02 09:47:28 --> http://188.40.184.135//admin/
2009-10-02 09:47:29 --> http://188.40.184.135//admin/record_company.php/password_forgotten.php?action=insert
2009-10-02 09:49:33 --> //README
2009-10-02 09:49:35 --> /horde//README
2009-10-02 09:49:36 --> /horde3//README
2009-10-02 09:49:37 --> /horde-3.0.9//README
2009-10-02 09:49:38 --> /Horde//README
2009-10-02 11:41:25 --> //images/99965.php?cmd=uptime

Vor allem das letzte sieht interessant aus.
Aber wird immer ruhiger in meinen Logs. Da nur das Aufgezeichnet wird, was es noch nicht gibt.

Wenn Du eine garantierte Antwort auf die Frage haben willst, schreib mal ne Mail an den Support.
Aber ich denke schon, das sich in dem Installer um Sicherheitsupdates gekümmert wird.

Finde ich ne Tolle Idee.
Es würde ja ein Formular reichen, mit dem man ein Angebot einholen kann. Was allerdings auf der Seite von Netcup ne Menge Arbeit auslösen würde, und die Preise würden höher werden.
Hat also Vor- und Nachteile.

Zitat von sugersgroer;7015

Du weißt aber schon das ein Aktuelles OS wesentlich sicherer ist

Nicht ganz richtig. Etch ist nun »oldstable«, und wird laut Wikipedia noch mindestens ein Jahr mit Sicherheitsupdates versorgt. Also spätestens mitte nächsten Jahres auf Lenny wechseln.

Allerdings finde ich es ganz schön krass, von lenny auch etch zu wechseln, wegen einer PHP File.

Port 25 wird nur auf der Serverseite gebraucht. Auf der Clientseite wird sich auf einen freien Port geeinigt.
Aber es muss ja an deinem Rechner / an deinem Netzwerk liegen. Wir kommen ja alle drauf.

Vielleicht den vHost eingerichtet, ohne mit einer Directory Direktive den Zugang zu dem Ordner zu erlauben?

Vielleicht irgendwelche Firewalls zwischen Deinem PC und dem Internet?
Da muss ja irgendwas sein, was den SMTP Port für dich dicht hält.

//edit
Zum Thema IPTables: Wenn Du OUTPUT komplett offen hast, und INPUT komplett zu machst, ohne ESTABLISHED & RELATED Pakete durch zu lassen, kann das nicht gehen. Nur so als Beispiel.

Die Dateirechte stimmen nicht.

man chmod

Zitat von murmeltier;6950

..trotzdem gehts mit telnet von mir aus nicht. Was soll ich daraus schließen? :confused:

So langsam näher ich mich dem Ratlos sein... Mit nem Portscan können wir es noch versuchen. nmap findet man eigentlich in jedem Repo:

<14:17:25> [~] nmap -p 25 188.40.193.137 -PN




Starting Nmap 5.00 ( http://nmap.org ) at 2009-10-01 14:17 CEST
Interesting ports on static.137.193.40.188.clients.your-server.de (188.40.193.137):
PORT   STATE SERVICE
25/tcp open  smtp




Nmap done: 1 IP address (1 host up) scanned in 0.22 seconds

<13:53:17> [~] telnet 188.40.193.137 25
Trying 188.40.193.137...
Connected to 188.40.193.137.
Escape character is '^]'.
220 geom.at ESMTP Mailserver

Bei mir gehts von meinem Arch Linux Notebook aus.
Versuch doch mal ein Traceroute.

<13:54:09> [~] traceroute -p 25 188.40.193.137
traceroute to 188.40.193.137 (188.40.193.137), 30 hops max, 40 byte packets
 1  172.20.1.1 (172.20.1.1)  0.501 ms  0.456 ms  0.385 ms
 2  217.5.98.186 (217.5.98.186)  38.445 ms  35.491 ms  36.125 ms
 3  217.5.100.218 (217.5.100.218)  35.460 ms  35.301 ms  35.648 ms
 4  217.239.40.222 (217.239.40.222)  40.384 ms  48.188 ms  41.065 ms
 5  dtag-gw.hetzner.de (193.159.226.2)  40.981 ms  40.535 ms  50.850 ms
 6  hos-bb1.juniper2.rz10.hetzner.de (213.239.240.243)  45.304 ms  44.674 ms  80.099 ms
 7  hos-tr4.ex3k5.rz10.hetzner.de (213.239.227.230)  50.384 ms  52.696 ms  47.938 ms
 8  static.137.193.40.188.clients.your-server.de (188.40.193.137)  45.585 ms  44.758 ms  46.733 ms

Wie das von Windows aus geht kann ich dir nicht sagen.