Beiträge von webass

Hallo,
offensichtlich wurde mein apache als Open Proxy missbraucht und hat es geschafft den Postfix als open relay zu verwenden.

Was anderes fällt uns gerade nicht ein.
Kurz nachdem die Spamattacke bekannt wurde haben wir den Mailserver ausgestellt udn die Suche begonnen.
Die logfiles verrieten, dass (kurzzeitig) ein open relay in verbindung mit einem open proxy enstanden sein könnte.

Andere Details haben wir nicht gefunden.
Diese Angaben habe ich von meinem Kollegen, der sich mit der Administration sehr gut auskennt, im Allgemeinen. Nun stehen wir aber aufm Schlauch, da eine Schädlingssuche bisher erfolglos blieb.

Wir fragen uns aber nun, ob überhaupt und wenn, wie, das denn eigentlich sein kann.
Denn mod_proxy ist nicht installiert.
Zur Zeit ist OUTBOUND Port 25 gesperrt.
Gibt es die Möglichkeit mit der VCP Firewall den Apache davon abzuhalten Port 25 zu verwenden?

Mein System:
Debian Squeeze, uptodate.
Froxlor, uptodate.
Alles was an Scripten (CMS, Blogs, etc.) läuft ist auch uptodate.

MfG
Andre

Also versucht ein Spammerauf die Datei wpad.dat zuzugreifen, die er mal da gelassen hat?
Die jetzt aber nicht mehr da ist?

Hallo,
im error log steht immer wieder so etwas:

Zitat

[Tue Jan 24 13:56:05 2012] [error] [client 188.165.169.13] File does not exist: /var/www/froxlor/wpad.dat]

Ich sehe eine File existiert nicht, aber was kann die und ist ein Problem?

vielen Dank.

Andre

"Direkt ansprechen", so wie hier?

Zitat von webass

Code

ssh -l Meinherrlicher456benutzer IP.XX.CCC.YYY -p12345

Jo,
bei verschiedenen sicherheitsrelevanten Dingen kümmern sich die richtigen Leute darum.
Wie gesagt, das eine oder andere teste ich gerne selber aus, wie Du hier mitbekommst und auch kann es sein, dass ich schon von den Partnern in Indien sprach, die führen auch Audits durch und sind sehr erfahren.
Um meine Webseiten mache ich mir da keine Sorgen. Die Inder sind nur gerade mit der Firma umgezogen, weil die ein Platzproblem hatten. Daher hatte da niemand Zeit einem alten Kollegen bei seinen Spielereien zu helfen.
Die Tage werden die sich um bestimmte Sachen wieder kümmern.
Das heißt, bei mir sind die Server die im WEB stehen administriert und gehärtet und die Seiten, die öffentlich sind werden auch sicherheitsgecheckt.
Als das noch nicht so war und ich auch bei einem schlechteren Hoster gewesen bin, da hatte sich auch mal ein Spammer eingeschlichen, weil irgendwo, ganz unbeachtet noch eien Demoseite mit echt alter Software lief. Ein OS-Commerce.
Daher leite ich die Planungen nun auch nach dem Grundsatz: Nur soviel laufen lassen, wie wirklich notwendig!
Bis dann.

Hallo,
bei mir liegt genau dieses Problem auch vor. Nur beim Reboot über Terminal oder das VCP.

Nur als Info.

Hi,
okay.
Also, alles erledigt.
Der neue User wurde angelegt, er hat ein Homeverzeichnis, sudo Berechtigung und der root selbst ist dicht.
Das hat aber nur geklappt weil ich

adduser -force-badname Meinherrlicher456benutzer

eingetippt habe.
Ist das jetzt für das System übel?
force-badname??
Ich hoffe, da der Username echt so aussieht wie mein Beispiel, dass ich keine Instanzen über den Haufen werfe.
Vorausgesetzt sudo ist installiert, wenn nicht dann erstmal

apt-get update && apt-get install sudo

Also, mal step by step zusammengesucht bei Google. Unter der Voraussetzung, dass man force-badname nehmen will, weil die Änderung in Name_Regex nicht verstanden wurden.

adduser -force-badname Meinherrlicher456benutzer

danach das Passwort setzen und die Fragen nach Belieben beantworten.
Den User direkt auf dem 2. Terminal das man aufmacht ausprobieren.
Dann merkst man, dass der erst noch in die Sudo Gruppe rein muss.
Dafür änert man dann wie folgt, die sudoers liste:

visudo

dort nach

root    ALL=(ALL) ALL

suchen, die Zeile kopieren und den neuen Nutzer hinzufügen

Meinherrlicher456benutzer ALL=(ALL) ALL

dann kann man den verwenden und auch den root ausschliessen, in /etc/ssh/sshd_config
also
nano /etc/ssh/sshd_config
dort

PermitRootLogin no

dann könnt ihr mal, wenn ihr mit dem neuen Benutzer drin seid, mal im anderen Terminal den root ausloggen und versuchen sicherheitshalber, ob der root tatsächlich dicht ist.

Jetzt habe ich nur noch ein Problem, da hab ich schon ein paar Mal dran versucht und es nicht abgerafft.

Will den SSH Port ändern.
Füge den neuen Port, nennen wir ihn mal 12345, in der netcup Firewall hinzu und in der sshd_config ebenso.
Wenn ich mich dann so von meinem Linux Laptop einloggen will:
ssh -l Meinherrlicher456benutzer IP.XX.CCC.YYY
dann kommt Port 22: connection refused.
obwohl ich doch auch nach ssh server neustart davon ausgehe, dass er am neuen Port lauscht, also 12345.

Was meldet der mir überhaupt noch was vom 22er?

Ich habe auch probiert

ssh -l Meinherrlicher456benutzer IP.XX.CCC.YYY -p12345

Dann wartet man ewig und NIX passiert.
Danke Ciao.

Hi,
erst einmal vielen Dank für Beide Antworten.

__ 's Antwort war ja rudimentär, wie Linux auch, von daher kein Grund ihn/ sie anzufeinden.

@ TPIT-Service: Ich habe mich anscheinend auch am Anfang nicht deutlich genug ausgedrückt. Genau die Anleitung stellt mich persönlich vor ein Problem, deswegen ja der Post.

Das Prinzip und der Grund, warum ich das machen werde, sind mir schon klar.
Mit dem Schritt:

andre@Ub-webass:~$ ssh -l Meinuser180566 IP.XX.CCC.YYY Meinuser180566@IP.XX.CCC.YYY's password:  Could not chdir to home directory /home/Meinuser180566: No such file or directory $

also nach Anmeldung in einem anderen Terminal, wo der User erstmal gar nichts so macht, wie ich es von einem User gewohnt bin, zum Beispiel bei meinem Ubuntu, das hat mir einfach ein wenig Panik gemacht.
Bevor ich nicht weiss, was ich mit dem neuen User kann und was nicht, gehe ich ja nicht hin und mach den root dicht.

__ hat mir gezeigt, das ich mit den Optionen arbeiten muss, die ich auch auf anderen Seiten nachlesen konnte, wie hier:
Users and Groups Administration in Linux
Aber, ich dachte, jemand sagt mir einfach, gib ein dies gehe dahin mach jenes, genau für das was ich da vorhabe.

Bin halt etwas Noob, bei einigen Dingen, die nicht Noob- Verständlich erklärt werden.
Auf jeden fall sind gute Schlüsselwörter diese die chiffriert sind, das sehe ich ähnlich mit Benutzernamen, wenn man mit Eselsbrücken arbeitet. Dann kann man die quasi "unknackbar" gestalten.

Was ich nicht wusste ist, dass ein Angreifer dann zwei Zugänge knacken muss.
Einen gewissen Schaden könnte der Angreifer ja schon mit dem neuen sudo-berechtigten User anrichten, nicht?

Äh, wenn wir doch grad dabei sind.
Wie sind denn jetzt echt die Schritte um einen neuen User zu erhalten, der das Ding dann voll bedienen kann?

Ich denke da auch einfach mal so an Ubuntu.
Der Admin der da beim Aufspielen des System angelegt wird, so, in der Art müsste Einer her!

Mit welchen Optionen erstelle ich den User?
so?

useradd -ms /bin/bash Starkernu12345tzername

Und was ist mit home-directory, user group oder shell?
Reicht die bash?

Was mache ich wie? Damit ich es richtig mache, bitte.
Und damit es hier auch nochmal für ein anderes Anwenderlevel niedergeschrieben steht, weil wir alle wollen ja nicht, dass Server kriminell gehackt werden.
Danke im Voraus.
Andre

Hi,
leider komme ich mit den hier angegebenen Schritten nicht weit.
Auf dem Debian Squeeze das ich verwende würde ich auch Gerne einen User einrichten, den ich dann mit su arbeiten lasse und den root komplett sperren.

Was sind die Schritte auf Debian genau?
Also, weil wenn ich nur denen vom Anfang folge kann der neue User gar nichts.
Also, wie anfangs beschrieben USERADD, dann PASSWD und danach den User testen.
Bei User testen hört es bei mir auf, denn dann kriege ich folgendes gemeldet:
Wie folgt:

root@hier:~# useradd Meinuser180566
root@webhost:~# passwd Meinuser180566
Geben Sie ein neues UNIX-Passwort ein: 
Geben Sie das neue UNIX-Passwort erneut ein: 
passwd: Passwort erfolgreich geändert
root@hier:~#

Dann melde ich mit mit nem neuen Terminal an:

andre@Ub-webass:~$ ssh -l Meinuser180566 IP.XX.CCC.YYY
Meinuser180566@IP.XX.CCC.YYY's password: 
Could not chdir to home directory /home/Meinuser180566: No such file or directory
$

Somit ist bei mir Ende und ich lösche den wieder.

Welche Schritte fehlen denn hier noch?

Auch mit ADDUSER hab ich s probiert, da kommt das:

root@hier:~# adduser Meinuser180566
adduser: Bitte geben Sie einen Benutzernamen ein, der die Kriterien des
regulären Ausdrucks erfüllt, welcher in der Konfigurationsvariablen NAME_REGEX festgelegt ist. Verwenden Sie die Option »--force-badname«, um
die Überprüfung weniger strikt durchzuführen, oder ändern Sie NAME_REGEX.
root@hier:~#

Wie?

Hi,
weiss nicht genau was Du meinst.
Den mpm-worker könnte man auch einsetzen, der etwas anders funktioniert als der prefork.
Ich weiss halt nicht wie man den aktiviert.

Ich habe diese Wünsche mal einer befreundeten Firma aus Indien (über 150 Mitarbeiter) gegeben, die auch einige Server-Admins haben.
Dann werde ich hier mal updaten.

Leider findet man (zumindest ich) im Netz kaum/ keine Inhalte über Leistungsverbesserungen zu VPS mit den Einstellungen, die konkret an Szenarien gekoppelt sind.
Irgendwie find ich echt nichts bei Google, außer hier und da, halt zu großen Maschinen. Mit 16 CPU's und weiss der Geier wie viel RAM.

Da macht es das irgendwie schwierig zu folgen.

Bis später.
Andre

Hi,
gerade bei so perversen Anwendungen wie Magento ist doch Nginx bestimmt die richtige Wahl, nicht wahr?
Wenn das irgendwie zu einem problemlosen Zusammenspiel gebracht werden kann.

Nginx ist ja erst in jüngster Zeit, mit eben solchen modernen stark besuchten Anwendungen im Auge, entstanden.
Die Erdenker von Apache hatten keinen Magento-Store mit 10.000 Besuchern/ Tag oder sowas wie Groupon auf dem Radar, denke ich mal.

Wegen dem Auslagern des MySQL hab ich dich jetzt verstanden (Froxlor-Forum).
Das ist der richtige Gedanke, den du verfolgst, um den Point-of-Failure nicht zu vermehren.
Aber, wieso nicht ein Phpymadmin aufsetzen und dem Benutzer nur Betrachterrechte geben?
So kann Dein Kunde die Datenbanken betrachten.

Uups.
Stimmt, denn in der php-fcgi-starter steht
PHP_FCGI_CHILDREN=0

Das hat nur herzlich wenig mit PHP_FCGI_MAX_REQUESTS=10000 aus dem Blogeintrag zu tun.

Das heißt wiederum, dass ich die Einstellung im FCGI wie der im Blogpost:
fcgid-starter

#!/bin/sh
export PHPRC="/var/www/vh-default/conf/"
PHP_FCGI_MAX_REQUESTS=10000
export PHP_FCGI_MAX_REQUESTS
exec /usr/bin/php5-cgi
gar nicht im Froxlor eingeben kann.
Oder?

Hi,
ich hoffe jemand kann mit mir mal ein wenig durch meine Einstellungen gehen, bitte.
Seit ich den Froxlor mit dem Debian Squeeze 64bit auf dem vServer Uranus SE verwende waren bisher noch keine "Tuning"-Massnahmen unternommen worden.
Ich hatte PHP/ FCGI noch manuell installiert bevor das als fertiges Image mit dem Froxlor hier zur Verfügung stand.
Leistungen vom Uranus SE:
Prozessorgarantie: 2 000 MHz Arbeitsspeicher | Flexi-SSD: 4 096 MB | Arbeitsspeicher garantiert: 2 048 MB

Jetzt benutzt meine Apache zur Zeit, nach Aufruf von

apache2 -l

zu sehen, den Prefork als Multithreader.
Ausgabe:

core.c
  mod_log_config.c
  mod_logio.c
  prefork.c
  http_core.c
  mod_so.c

Die Einstellungen aus /etc/apache2/apache2.conf:

<IfModule mpm_prefork_module>
	ServerLimit     	110
	StartServers      	2
	MinSpareServers   	2
	MaxSpareServers   	5
	MaxClients      	100
	MaxRequestsPerChild   5000
</IfModule>

Timeout 300
KeepAlive On
MaxKeepAliveRequests 100
KeepAliveTimeout 15
Die MaxClients habe ich so ausgerechnet: (RAM 2000 MB - 512MB System (Beliebig vorsichtig geschätzt)) / Prozesse von 22 MB
62 war mir zu niedrig also hab ich mal 100 eingestellt. Ich weiss etwas unlogisch, wenn ich dann meiner eigenen Berechnung nicht folge, aber 512 MB fürs System ist doch etwas seeeehr vorsichtig.
Folgende Module finde ich in mods-enabled:

alias.conf	  	autoindex.conf  expires.load	reqtimeout.conf
alias.load	  	autoindex.load  fcgid.conf	reqtimeout.load
auth_basic.load   	cgi.load	  	fcgid.load	rewrite.load
authn_file.load   	deflate.conf	headers.load	setenvif.conf
authz_default.load	deflate.load	mime.conf		setenvif.load
authz_groupfile.load  dir.conf	  	mime.load		status.conf
authz_host.load   	dir.load	  	negotiation.conf	status.load
authz_user.load   	env.load	  	negotiation.load	suexec.load

Bin ich noch auf dem richtigen Pfad?
Weiter gehts mit dem FCGI, dort die fcgi.conf in /etc/apache2/mods-enabled/fcgi.conf

<IfModule mod_fcgid.c>
  AddHandler	fcgid-script .fcgi
  FcgidMinProcessesPerClass 3
  FcgidIdleTimeout 300
  FcgidIdleScanInterval 30
  FcgidMaxProcesses 500
  FcgidSpawnScore 1
  FcgidSpawnScoreUpLimit 150
  FcgidTerminationScore 1
  FcgidConnectTimeout 20
  FcgidMaxRequestLen 33554432
</IfModule>

Den APC richte ich mit zusätzlichen Einstellungen je vhost über das Froxlor - Panel ein, was tatsächlich praktisch ist, da man dann keine globale Einstellung hat.
Dort ist er auf einer Domain enabled mit

extension=apc.so
apc.shm_size=64M

in

/var/www/php-fcgi-scripts/KUNDE/domain.de/php.ini

Mehr noch nicht, weil ich erstmal die anderen Sachen regeln wollte.
Außerdem habe ich gelesen, dass wenn durch PHP/ FCGI eine bestimmte "Prozessverteilung" stattfindet, APC irgendwie auch daran angepasst werden muss.
Und das ist mir leider im Moment noch zu hoch.
Hat jemand einen Vorschlag?

Ich will überhaupt eien Verbesserung erzielen, da bald wieder eine Seite anläuft, (Google News-Lieferant) die höhere Besucherzahlen zu erwarten hat.
Meist viele gleichzeitig, also 1.000 bis 3.000 Besucher innerhalb von 2 Stunden kann da immer passieren, kommt auf die Meldungen an.

Außerdem will ich dass auch die Low-Traffic-Seiten fix laden.

Wer kann mir einen Tipp geben?

Vielen Dank im Voraus.

MfG
Andre

Mmh,
ich hab es mal "Tutorial" genannt, weil ich es als solches benutzt hab. Es war vom Autor nur als Erfahrung gemeint. Ihn trifft keine Schuld: Benchmark Apache2 mit PHP via mod_fcgid und SuExec » Server » Debian Root

Auf jeden Fall habe ich seit ich PHP als FCGI laufen lasse echt Probleme die Einstellungen gerade hinzu bekommen, was Prefork, FCGI und APC betrifft.
Ich mache mal einen neuen Thread auf, vielleicht hilft ja jemand.
Ciao

Hi,
ja, das wurde dann auch wieder geregelt.
Wollte hier ja nur den Verlauf schildern.

Danke für die sehr schnelle Reaktion und die freundliche Hilfe an den Support.
Tatsächlich wurde es sehr viel schneller behoben als ich dachte zu der späten Abendzeit.

MfG
Andre

EDIT: Und ich erfahre gerade auf eine weitere Nachfrage, dass meine Einstellung im Froxlor Panel bei "Prozesse je Domain"
daran Schuld war, ich hatte es von 0 auf 10000 gestellt. Das hatte ich nach einem Tutorial versucht, was aber wohl eher nur für einen sehr schnellen dedizierten Server geeignet gewesen ist.

Per Shell drauf gekommen
Server läuft wieder, Webs erreichbar, Shell funzt auch.
Aber der VCP nicht.
Lustitsch!

Jetzt hab ich die Antwort erhalten, dass der Server neu gestartet wurde, vor über ner Stunde.
Läuft aber immer noch nicht.
Komisch!

HI,
ja das habe ich auch direkt gemacht.
Auch über beide Kontakformulare, hier und im ccp. Läuft leider ncoh nicht wieder, ich dachte, dass da vielleicht eh eine automatisierte Meldung an jemanden von einer Notfallhotline geht, wenn Container runterkrachen.

Ich glaube auch langsam, dass meine Aktion mit den conf - Dateien nicht wirklich die Ursache für den Absturz gewesen ist.
Was glaubst Du?

Danke.
Ciao.
Andre

Äh, ach ja...
und unter Rettungssystem (und bei allen anderen Menüpunkten ausser Start/ Stop) steht :
500 - Internal Server Error
A server error has occurred. If the error occurs again, please contact the support team.

Hi,
ich habe eben einige Einstellungen an fcgi versucht um die Performance mal leicht zu verbessern. Auch in der fcgi.conf.
Debian Squeeze 64bit + Froxlor Vserver uranus SE.
Eine davon war MaxRequests. Die kann man übers Panel einstellen, da nur dort die php-fcgi-scripts endgültig beschreibbar ist.
Da habe ich die Einstellung 0 mal auf 10000 gestellt.
Wobei das beim ab test keine Verbesserung gab und ich die Einstellung wieder rückgängig machte.
Danach die Configs neu hab schreiben lassen und den master cron job manuell ausgeführt.
Irgendwie habe ich DIREKT danach, wohl wahrscheinlich zu schnell, den apache restartet.

Komplettabsturz. Ich kann nichts mal mehr im VCP etwas machen.
Lag das jetzt echt an mir, wegen dem schnellen Restart oder eher, weil ich niemals den Wert in den FCGI Einstellungen von 0 auf 10000 hätte stellen dürfen?

Vielen Dank im Voraus.
Andre