Beiträge von carfal

Zitat von [netcup] Felix

Lief auf dem Webserver ein Joomla? Ich frage daher, da Joomla zur Zeit massiv viel gehackt wird.

Nein. Unter dem Admin-vHost läuft Froxlor, trac und phpmyadmin. Alles zusätzlich mit http-user/pass gesichert. Hier ist alles OK.

Auf den "Kunden"-vHosts war nur phpGedView installiert - sonst keine php-Scripte. Und im phpGedView-Verzeichnis gab es auch keine Änderungen. Die Rechte des Verzeichnis sind so gesetzt, dass ich dort per ftp keinen Zugriff habe.

EDIT: OK, bei phpGedView ist ein punbb dabei. Das könnte möglicherweise ein Problem gewesen sein, da das alles nicht über apt-get aktuell gehalten wird.

Gestern ist mir aufgefallen, dass mein vServer angegriffen wurde.
Es wurden unter /var/kunden/webs in jedem Verzeichnis, dass html-Dateien enthielt, eine Datei namens default.php erstellt. Nach dem 21. decoding kam dann Schadcode zum Vorschein.
Allen html-Dateien wurde ein iframe mit einer Weiterleitung auf ein (wahrscheinlich, Ziel gibt inzwischen 404) Schadscript hinzugefügt. Weiterhin wurden .htaccess-Dateien mit einer rewrite-Rule zum selben Schadscript erstellt.
Inzwischen habe ich die php-dateien umbenannt, ebenso die .htaccess Dateien. Für die desinfektion der htm(l)-Dateien bastle ich ein Script.
EDIT: Hier das Script, wenn man in seinen html-Dokumenten keine iframes verwendet:

for i in $(find |grep htm);do sed -i -e 's/<iframe.*<\/iframe>//' $i;done

Bei vhosts, die nicht unter /var/kunden/webs liegen und in allen anderen Verzeichnissen, wurden - so weit ich das bisher beurteilen kann - keine Dateien erstellt und/oder geändert.
Mit ProFTPd habe ich nur zugriff auf dieses Verzeichnis. Auch wurden nach dem letzten Update von ProFTPd am 13. Jan keine weiteren Dateien verändert.

Einzig und allein PhpGedView 4.2.3 ist im Standardpfad /phpgedview ohne http-user/pass installiert. Für das gibt es zwei remote vulnerabilities, die allerdings zu keinem Zugriff führen. Für ProFTPd gab es auch eine Lücke, die allerdings auch nur lokal auszunutzen war.

Möglicherweise war es eine Kombination aus beiden Lücken.

Als nächstes werde ich den Server komplett sichern und dann nachsehen, ob etwas außerhalb von /var/kunden/webs geändert wurde. Falls ja, wird ein Backup eingespielt oder der Server neu installiert. Falls nein, gebe ich dem Server noch eine Chance und werde die Sache täglich beobachten. Dann phpgedview auf die aktuelle Version bringen und dann das Verzeichnis umbennen und zusätzlich per http-user/pass sichern.

Hat jemand ähnliches bei seinem (v)Server festgestellt?

Damit hier auch die Antwort steht:

Nach folgendem Befehl funktioniert es wieder ohne Probleme:

gpg --ignore-time-conflict --no-options --no-default-keyring --secret-keyring /etc/apt/secring.gpg --trustdb-name /etc/apt/trustdb.gpg --keyring /etc/apt/trusted.gpg --primary-keyring /etc/apt/trusted.gpg --keyserver gpg-keyserver.de --recv-keys 4F9E9BBC

Naja, dauert noch ein wenig, ich bastle wohl erst nach Weihnachten dran rum.

Nö, ich bin bastle gerade in einer VM daran, ox zu installieren und konfigurieren. Wenn ich es dort geschafft habe, probiere ich es mal an meinem v-server.

Hat jemand von euch Open-Xchange Server 6 laufen?

Mich würde die Hardwareanforderung für < 10 User interessieren und auch der Konfigurations- und Wartungsaufwand.

Dass Squeeze noch Testing ist war mit bekannt.
Ich wollte halt einen Erfahrungsbericht.

Aber ich erstelle jetzt einfach mal ein Backup und dann kann ich ja problemlos wieder zurückgehen, wenn etwas nicht läuft.

Was für Erfahrungen habt ihr gemacht?

Da ich eigentlich nur den httpd benötige und nicht mehr meine Diplomarbeit per svn sichere, überlege ich, jetzt schon auf Squeeze umzustellen. Dann könnt ich ein wenig mit SNI/SSL herumtesten.

Darum halte ich nur den Weg über SNI für eine saubere Lösung. Alles andere ist gefrickel. Dass der IE unter WinXP SNI nicht unterstützt, halte ich für akzeptabel.

Ja, das funktioniert so lange dir alle Domains gehören. Hast du fremde Domains, kannst du die ja schlecht alle in ein Zertifikat packen.

Zitat von Speedysurf;19297

Ich möchte für meinen vServer ein Zertifikat bestellen und bin mir nicht sicher, ob dies pro Domain auf dem Server oder für den Server selbst erstellt werden muss. Ich habe eine IP.

Um mit nur einer IP mehrere Hostnamen per SSL zu sichern, wird Apache2 2.2.12 sowie mod_ssl mit der Option TLS_SNI benötigt.

http://www.zdnet.de/webentwick…y-20000203-41527996-1.htm

Zitat von Artimis;18563

Um die Frage konkreter, aber unverbindlich zu beantworten:

In der Regel werden die Server am sehr frühen Morgen gewartet.
Selten, insbesondere z.B. nach dem letzten Kernelupdate, kam es vor, dass spontan ein wichter Restart gemacht wurde.

Vielen Dank für diese Information.
Ich habe inzwischen ein Script erstellt, dass die Downtime (des Crondaemons) in eine Datei speichert.

#!/bin/bash
# wo wird die Up- und Downtime gespeichert
uptimedatei="/var/log/serverdowntime"
# In welchem Zeitabstand (Sekunden) wird das Script aufgerufen
interval=60




# Durch Laufzeitprobleme kann etwas mehr Zeit benötigt werden. Offset in Sekunden
offset=30




if [ '$1' = 'show' ]
  then
    date +%a\ %d\ %b\ %T\ %Y\ %Z -f $uptimedatei
   exit 0
 elif [ '$1' != '' ]
  then
    echo "
Dieses Script erstellt eine Datei, in der zum einen die
aus dem Befehl uptime berechneten Systemstartzeit bzw.
bei existierender Datei die erste Ausführung des Scriptes
nach dem Systemstart eingetagen wird und zum anderen wird
die letzte Ausführung des Scriptes in der Datei vermerkt.




Daraus wird ersichtlich, wann der Server eine Downtime hatte.




Anwendung:     Dieses Script per cron ohne Parameter
               minütlich ausführen lassen.




Anwendung:     Um die Zeiten anzeigen zu lassen, das
               Script mit dem Parameter show starten.




Z.B.           /path/to/downtime show




Konfiguration: Es kann der Pfad und Dateiname in der
               Variabel uptimedatei geändert werden.




Konfiguration: Die Zeiten interval und offset können
               geändert werden.




               interval gibt den Zeitraum zwischen
               den Ausführungen in Sekunden an.




               offset gibt eine zusätzliche Zeit
               in Sekunden an, die bei bei hoher
               Auslastung möglicherweise benötigt
               wird.




ACHTUNG: Dieses Script beachtet nur, ob der Server
(genauer: Crondaemon) läuft oder nicht. Es achtet weder
darauf, ob ein Daemon gestartet und bereit ist oder nicht
noch ob es Probleme mit der Netzwerkanbindung des Servers
gibt.




"
   exit 0
fi




# Maximaler unterschied zwischen zwei Einträgen berechnen
maxdistance=$(expr $interval + $offset)
#testen ob uptimedatei existiert. wenn nicht erstellen und aktuelles Datum zweimal eintragen und bei der ersten Zeile "created by script" hinzufügen




if ! test -e $uptimedatei
  then
    if [ $(uptime|cut -d' ' -f5) = 'days,' ]
      then
        seconds=$(expr $(uptime | awk '{ split($3,d,":"); print (d[1]*86400) }') + $(uptime | awk '{ split($5,t,":"); print (t[1]*60+t[2])*60 }'))
      else
        seconds=$(uptime | awk '{ split($3,t,":"); print (t[1]*60+t[2])*60 }')
    fi
    echo "          Datei neu angelegt, Startzeit aus uptime berechnet
$(date -u +%F\ %T\ %Z -d "$seconds seconds ago")
$(date -u +%F\ %T\ %Z)" > $uptimedatei
   exit 0
fi
# Letzten Eintrag der Datei mit aktuellem Datum vergleichen




# Letzten Eintrag der Datei einlesen
d1=$(date -d "$(tail -n 1 $uptimedatei)" +%s 2>/dev/null)




#falls date nicht mit exit0 endet, aktuelles datum zweimal eintragen
if [ $(echo $?) != 0 ]
  then
    echo "          Datum nicht lesbar
$(date -u +%F\ %T\ %Z)
$(date -u +%F\ %T\ %Z)" >> $uptimedatei
   exit 0
fi




# Zeitunterschied zwischen letzen Eintrag und aktuellem Datum berechnen
diff=$(expr $(date +%s) - $d1)




# Fallunterscheidung: Fall die Differenz negativ ist, dann ist etwas schief gelaufen... Änderung der Systemzeit?
if [ $diff -le 0 ]
  then
    echo "          Zeitdifferenz negativ
$(date -u +%F\ %T\ %Z)
$(date -u +%F\ %T\ %Z)" >> $uptimedatei
   exit 0




# Ist die Differenz kleiner als das Ausführungsintervall und das Offset, dann ist alles in Ordnung
# und die Zeit in der letzten Zeile wird aktuallisiert.
 elif [ $diff -le $maxdistance ]
  then
    echo "$(head -n -1 $uptimedatei)
$(date -u +%F\ %T\ %Z)" > $uptimedatei
   exit 0
# Ist die Differenz größer als das Ausführungsintervall und das Offset, gab es möglicherweise eine Downtime
 else
    if [ $(uptime|cut -d' ' -f5) = 'days,' ]
      then
        seconds=$(expr $(uptime | awk '{ split($3,d,":"); print (d[1]*86400) }') + $(uptime | awk '{ split($5,t,":"); print (t[1]*60+t[2])*60 }'))
      else
        seconds=$(uptime | awk '{ split($3,t,":"); print (t[1]*60+t[2])*60 }')
    fi
  upsince=$(date -d "$seconds seconds ago" +%s)




# War der letzte Eintrag $d1 vor der Serverstartzeit $upsince --> Downtime...
    if [ $d1 -le $upsince ]
      then
        echo "          DOWNTIME
$(date -u +%F\ %T\ %Z)
$(date -u +%F\ %T\ %Z)" >> $uptimedatei
       exit 0
# ... sonst gab es eine Verzögerung in der Scriptausführung durch eine hohe Serverlast
    else
        echo "$(head -n -1 $uptimedatei)
$(date -u +%F\ %T\ %Z)" > $uptimedatei
       exit 0
    fi
fi
exit 0

Ja, ich weiß, dass man das auch aus anderen Logs auslesen kann, aber ich finde es so übersichtlicher.
Falls sich Fehler eingeschlichen haben sollte, bitte bei mir melden.

Gibt es für die vServer ein offizielles Wartungsfenster oder eine firmeninterne Policy, dass Updates immer zu einer bestimmten Zeit eingespielt werden? Werden Sicherheitsupdates sofort eingespielt?

Bisher hatte ich zwar noch keine Probleme mit der Erreichbarkeit meines vServers. Ich überlege jedoch, ob ich einige Dinge wie Anrufbeantworter oder Gegensprechanlage, die Tagsüber immer verfügbar sein sollten, auf den Server auslagere.

Vor einigen Jahren war ich Rechner-HiWi an einem Institut an der Uni Ka. Damals hatten wir einen Server für NIS-Auth und NFS-Homes, diese waren mit ~100MB jedoch mickrig klein. Darum wurde einfach bei jeder neu angeschafften Workstation ordentlich Plattenplatz mitbestellt. Zudem war dieser Platz lokal und die Ergebnisse der numerischen Berechnungen waren Teils mehrere GB groß, so dass die Leute mit lokalem Platz natürlich auch schneller Arbeiten konnten. Da viele auch fremde Ergebnisse einsehen mussten wurden die lokalen Arbeitsverzeichnisse per NFS auf dem Server gemountet und von dort hat sie jeder wieder bei sich lokal gemountet. Bei lediglich 100 mBit war das teilweise sehr langsam. *g* War aber nicht mein Konzept aber schon ein kleiner Patzer.

Später durfte ich dann ein Hardware-RAID integrieren, auf dem nun die Arbeitsverzeichnisse gesichert wurden. Vorher wurde jeder einzelne Rechner per ADSM ans Rechenzentrum gesichert, jedoch lief die Software nicht bei allen Rechnern zuverlässig und musste auch öfters auf eine neue Version gebracht werden. Darum sollten erst alle Rechner auf das RAID gesichert werden und dann wurde von diesem Rechner aus weiter ans RZ gesichert. Das lief alles per Shellscript und bis alles funktionierte hat es mich sicher 50 Stunden gekostet (Viel probieren und dann an die verschiedenen Rechner anpassen). Als ich alles fertig hatte, habe ich noch das Verzeichnis gesäubert und das fertige Skript gelöscht.
Ich war echt fix und fertig, mir war sogar etwas schlecht. Bis mir einfiel, dass das gestrige Skript ja einfach per ADSM wiederhergestellt werden konnte. Ein Glück!

Zitat von masterchris_99;10231

Hallo,

ich wollte jetzt die Firewall so schalten das ich nur einen eigenen SSH Port, HTTP und FTP freigebe. Alles andere soll gesperrt werden.

Das ist meiner Meinung nach grober Unfug. Du bemerkst ja gerade selber, dass du Probleme bekommst, die du nicht genau erklären kannst.

Sinnvoller ist es, nur die Ports zu sperren, die auch offen sind und deren Dienste du nicht von außen erreichbar haben willst. Aus dem Kopf sind das beim Debian Lenny Image pop3, smtp, dns und mysql.

Der Server ist nicht weniger sicher, es sind genau so wenig offene Ports erreichbar.

Du kannst mit Nmap von daheim aus scannen, bis nur noch dein FTP-, HTTP- und SSH-Port offen ist. Das mag zuerst aufwändig klingen, es sind aber nicht so viele Einträge und dann läuft auch dein FTP wie er soll.

nur unsinn

Ich schaue mal, ob ich morgen dazu komme, eine umfangreichere Zusammenfassung zu schreiben.

Kurz:
Es wird Apache2 2.2.12 sowie mod_ssl mit der Option TLS_SNI benötigt. Lenny ist leider erst bei Apache 2 2.2.9 und damit ohne TLS_SNI. In der libssl.so des bei Lenny eingesetzten OpenSSL ist SSL_get_servername schon aktiviert, so dass nur der Apache2 neu kompiliert werden muss.

Zitat von killerbees19;9391

Ich dachte da eher daran, wenn man mehrere verschiedene Domains (eben nicht nur andere Subdomains) mit SSL hat, dann brauchst mehr IP's

MfG Christian

Dass SSL mit mehreren Domains auf einer IP nicht funktioniert ist inzwischen nicht mehr aktuell.
http://www.heise.de/kiosk/archiv/ct/2009/23/174
Das ist zwar keine 100%-Lösung (Die schannel.dll von XP unterstützt es nicht, da wird z.B. FireFox benötigt) und noch nicht mit Debian Lenny out-of-the-box möglich, aber Squeeze unterstützt es schon jetzt.

Also diese Antwort wollte ich nicht hören. :p
Nun ja, dann schaue ich mal, ob ich das irgendwie hinbekomme.

Hallo,
ich würde gerne Proftpd auf zwei Ports lauschen lassen, auf dem einen Port mit STARTTSL auf dem anderen nur mit SSL. Gut, auf dem ersten Port habe ich das so geändert, dass STARTTSL funktioniert. Aber jetzt weiß ich nicht, wie ich den zweiten, SSL-only Port konfigurieren soll. Proftpd sollte das könen, aber ich habe dazu weder etwas in der Manpage noch durch googeln gefunden...