|
wiufbTThjb
Anmeldungsdatum:
1. November 2016
Beiträge: Zähle...
|
Hallo zusammen, ich suche grade Informationen zusammen und möchte mir einfach nur Theoretisch ein Bild machen ob man gehackt wurde oder nicht. Ausgang ist ein Artikel den ich mal vor Ewigkeiten gelesen habe in den Es da drum geht das Root - Server gerne gehackt werden um Spam zuverteilen. wie erkennen das die Admins am besten?
Nun es gibt ja Sau viele stellen um sowas zuverbergen ☹ klar ich kann schauen ob Emails die nicht zugestellt werden wieder zurück kommen.
gibt es andere Möglichkeiten? welche Art der Absicherung muss man alles betreiben?
was Prüft der Admin morgens als erstes wenn er am Platz ist? Ist nicht jeder Server gefärdet der per SSH erreichbar ist? Wie geht ihr an der Sache ran? Viele Grüße
☺
|
|
Thomas_Do
Moderator
Anmeldungsdatum:
24. November 2009
Beiträge: 8808
|
wiufbTThjb schrieb: Hallo zusammen, ich suche grade Informationen zusammen und möchte mir einfach nur Theoretisch ein Bild machen ob man gehackt wurde oder nicht.
Theoretisch geht das nicht, das kann man nur praktisch tun ☺.
Ausgang ist ein Artikel den ich mal vor Ewigkeiten gelesen habe in den Es da drum geht das Root - Server gerne gehackt werden um Spam zuverteilen.
Da gibt es auch noch andere Gründe.
wie erkennen das die Admins am besten?
Nun es gibt ja Sau viele stellen um sowas zuverbergen ☹
Genauso ist es. Aufwendige Angriffe, sind im Betrieb u.U. gar nicht zu erkennen. Ein Hinweis, sind Dateien im System, die dort nicht sein sollten oder veränderte Konfigurationsdateien. Man kann auch den Traffic beobachten und schauen, ob es dort auffällige Steigerungen gibt.
klar ich kann schauen ob Emails die nicht zugestellt werden wieder zurück kommen.
gibt es andere Möglichkeiten?
Das ist dann ja offensichtlich.
welche Art der Absicherung muss man alles betreiben?
Am wichtigsten: Software aktuell halten, ssh-Zugang nur über Schlüssel und nicht als root. Am besten keinen Server betreiben, wenn man hier fragen muss 😉.
was Prüft der Admin morgens als erstes wenn er am Platz ist?
Ob der Kaffee schmeckt ☺.
Ist nicht jeder Server gefärdet der per SSH erreichbar ist?
ssh kann man sehr gut absichern. Andere Sicherheitslücken sind viel schwieriger zu schließen.
|
|
misterunknown
Ehemalige
Anmeldungsdatum:
28. Oktober 2009
Beiträge: 4403
Wohnort: Sachsen
|
wiufbTThjb schrieb: wie erkennen das die Admins am besten?
Durch ungewöhnliches Verhalten, Monitoring, Intrusion Detection Systeme, ...
Nun es gibt ja Sau viele stellen um sowas zuverbergen ☹
Nun, wenn jemand schlauer ist als du, hast du verloren.
klar ich kann schauen ob Emails die nicht zugestellt werden wieder zurück kommen.
❓
welche Art der Absicherung muss man alles betreiben?
Alles, was du willst.
was Prüft der Admin morgens als erstes wenn er am Platz ist?
Die meisten gucken erstmal, ob die Kaffeemaschine funktioniert.
Ist nicht jeder Server gefärdet der per SSH erreichbar ist?
Jeder Server ist gefährdet. Auch wenn er nicht per SSH erreichbar ist.
Wie geht ihr an der Sache ran?
Grundsätzlich ist es wichtig, die potentielle Angriffsvektoren zu eliminieren. Beispielsweise SSH-Anmeldung nur per Public-Keys, Härten des Webservers, etc. Das kommt darauf an, was auf dem Server läuft.
|
|
wiufbTThjb
(Themenstarter)
Anmeldungsdatum:
1. November 2016
Beiträge: 14
|
hmm also Kernaussage -SSH kann man gut absichern
-Traffic beobachten
-Schauen das die Kaffeeversorgung stimmt hmm das mit dem Files stelle ich mir schwierig vor.
Wenn wir in der Firma einen neuen Admin bekommen und der nun den Server xyz zum Administrieren bekommt und der natürlich schaut welche Files gehören da nun hin oder nicht
der kann das doch noch gar nicht wissen ☹ Für solche Leute ist das doch extrem schwer da rein zukommen
klar wenn man einen Nackten Server ohne Anwendungen etc bekommt ist das ja kein Thema aber bei einen wo x Anwendungen drauf laufen? Des weiteren Frage ich mich wenn man einen Root Server irgendwo anmietet kann ich da überhaupt sehen was wie auf welchen Port rausgeht?
da habe ich ja keinen zugriff auf die Firewall ☹ weil sonst würde ich ja alles Sperren bis auf die Ports die ich brauche
|
|
misterunknown
Ehemalige
Anmeldungsdatum:
28. Oktober 2009
Beiträge: 4403
Wohnort: Sachsen
|
wiufbTThjb schrieb: -SSH kann man gut absichern
Das ist Pflicht!
-Traffic beobachten
Das bringt selten was. Was du dir angucken kannst sind aktive Netzwerkverbindungen (netstat -tupen). (Edit: -l entfernt, danke lubux)
-Schauen das die Kaffeeversorgung stimmt
Optional, aber empfohlen 😛 (die Dopplung war nicht abgesprochen)
Wenn wir in der Firma einen neuen Admin bekommen und der nun den Server xyz zum Administrieren bekommt und der natürlich schaut welche Files gehören da nun hin oder nicht
der kann das doch noch gar nicht wissen ☹
Nun, so einfach kann man sich das nicht machen. Natürlich gibt es Dateien, die immer gleich sind, beispielsweise alles, was zum Linux-System an sich gehört. Da kann man einfach Checksummen überprüfen. Dann gibt es Konfigurationsdateien, welche natürlich immer anderen Inhalt haben. Dort kann man aber zumindest immer mal checken, ob sich was geändert hat, beispielsweise mit tripwire, einem IDS. Es gibt also viele Möglichkeiten etwas mehr Sicherheit zu schaffen.
klar wenn man einen Nackten Server ohne Anwendungen etc bekommt ist das ja kein Thema aber bei einen wo x Anwendungen drauf laufen?
Die Frage ist, welcher Natur die Anwendungen sind.
Des weiteren Frage ich mich wenn man einen Root Server irgendwo anmietet kann ich da überhaupt sehen was wie auf welchen Port rausgeht?
Äh, ja!?
da habe ich ja keinen zugriff auf die Firewall ☹
Wie meinst du das? Klar hast du Zugriff auf die Firewall. Du bist ja root. Deshalb heißt es auch "Rootserver".
weil sonst würde ich ja alles Sperren bis auf die Ports die ich brauche
Das kannst du tun.
|
|
Tronde
Anmeldungsdatum:
23. November 2006
Beiträge: 1640
|
Deine Frage lässt sich so schlecht pauschal beantworten. Zu diesem Themenkomplex wurden sicher schon ganze Bücher geschrieben. Wir verwenden Skripte, welche prüfen, ob bzw. wie sich der Inhalt von Verzeichnissen ändert, in denen Dienste schreiben dürfen. Als Beispiel diene hier eine beliebige Webanwendung, die von Benutzern verwendet wird. Zu dieser Webanwendung gehört ein Document-Root. Einmal pro Tag wird geprüft, ob sich die Anzahl Dateien in diesem Document-Root-Verzeichnis geändert hat bzw. ob sich die Datei- und Verzeichnisberechtigungen geändert haben. Dies ist ein Beispiel für einen ganz bestimmten Zweck. Prüfungen dieser Art, kann man, wenn es die Zeit und der Chef erlaubt, für jeden erdenklichen Zweck einführen. Aber es gibt dort denke ich keine pauschalen Lösungen für. Was einen Root-Server im Internet betrifft, würde ich den Betreiber wechseln, wenn ich die lokale Firewall auf meinem Host nicht konfigurieren kann. Dann ist es ja nicht wirklich ein Root-Server.
|
|
wiufbTThjb
(Themenstarter)
Anmeldungsdatum:
1. November 2016
Beiträge: 14
|
misterunknown schrieb: wiufbTThjb schrieb: -SSH kann man gut absichern
Das ist Pflicht!
-Traffic beobachten
Das bringt selten was. Was du dir angucken kannst sind aktive Netzwerkverbindungen (netstat -tulpen).
-Schauen das die Kaffeeversorgung stimmt
Optional, aber empfohlen 😛 (die Dopplung war nicht abgesprochen)
Wenn wir in der Firma einen neuen Admin bekommen und der nun den Server xyz zum Administrieren bekommt und der natürlich schaut welche Files gehören da nun hin oder nicht
der kann das doch noch gar nicht wissen ☹
Nun, so einfach kann man sich das nicht machen. Natürlich gibt es Dateien, die immer gleich sind, beispielsweise alles, was zum Linux-System an sich gehört. Da kann man einfach Checksummen überprüfen. Dann gibt es Konfigurationsdateien, welche natürlich immer anderen Inhalt haben. Dort kann man aber zumindest immer mal checken, ob sich was geändert hat, beispielsweise mit tripwire, einem IDS. Es gibt also viele Möglichkeiten etwas mehr Sicherheit zu schaffen.
klar wenn man einen Nackten Server ohne Anwendungen etc bekommt ist das ja kein Thema aber bei einen wo x Anwendungen drauf laufen?
Die Frage ist, welcher Natur die Anwendungen sind.
Des weiteren Frage ich mich wenn man einen Root Server irgendwo anmietet kann ich da überhaupt sehen was wie auf welchen Port rausgeht?
Äh, ja!?
da habe ich ja keinen zugriff auf die Firewall ☹
Wie meinst du das? Klar hast du Zugriff auf die Firewall. Du bist ja root. Deshalb heißt es auch "Rootserver".
weil sonst würde ich ja alles Sperren bis auf die Ports die ich brauche
Das kannst du tun.
ahh ok für mich ist Firewall immer ein Stück Hardware und ich frage mich auch wieviel nutzen das hat wenn sie auf dem gleichen System läuft?
da kann doch ganz schnell die Firewall deaktiviert werden
|
|
wiufbTThjb
(Themenstarter)
Anmeldungsdatum:
1. November 2016
Beiträge: 14
|
wie Testet man Systeme eigentlich auf Schwachstellen für mich tun sich da zur zeit unendlich viele Möglichkeiten auf wie ich ein System Lahmlegen kann.
und Wenn ich mir schon einige vorstellen kann. möchte ich garnicht erst wissen wieviel es da noch gibt Gibt es da Tools die bekannte Sicherheitslücken durchtesten?
|
|
misterunknown
Ehemalige
Anmeldungsdatum:
28. Oktober 2009
Beiträge: 4403
Wohnort: Sachsen
|
wiufbTThjb schrieb: für mich ist Firewall immer ein Stück Hardware und ich frage mich auch wieviel nutzen das hat wenn sie auf dem gleichen System läuft?
Nun, "Firewall" hat an sich weder etwas mit Hard- noch etwas mit Software zu tun. Grundsätzlich ist das nur ein Konzept, welches auf verschiedene Weise implementiert werden kann. Unter Linux gibt es das Netfilter-Framework, mit welchem man Pakete filtern kann. Die bekannteste und umfangreichste Implementation ist iptables.
da kann doch ganz schnell die Firewall deaktiviert werden
Wie meinst du das? Deine Hardware-Firewall kann ich auch schnell ausschalten, wenn ich den Strom ziehe 😉
wie Testet man Systeme eigentlich auf Schwachstellen
Pen-Test.
Gibt es da Tools die bekannte Sicherheitslücken durchtesten?
Dafür gibt es beispielsweise spezielle Linux-Distributionen, wie Kali Linux.
|
|
Thomas_Do
Moderator
Anmeldungsdatum:
24. November 2009
Beiträge: 8808
|
wiufbTThjb schrieb:
für mich ist Firewall immer ein Stück Hardware und ich frage mich auch wieviel nutzen das hat wenn sie auf dem gleichen System läuft?
da kann doch ganz schnell die Firewall deaktiviert werden
Das gilt für Home-Systeme: Ein Router mit Firewall schützt das dahinterliegende Netz. Wenn man einen Root-Server anmietet steht der erst einmal direkt im Netz. Im Prinzip keine Hardwarefirewall, was der Provider da noch treibt, ist zunächst nicht wichtig. Die Firewall auf dem Server lenkt und reguliert dann den Traffic. Der Einsatzzweck unterscheidet sich schon von einer "Hardware"-Firewall. Wenn Du natürlich eine ganze "Herde" von Servern mit einem eigenen LAN betreibst, gehört davor natürlich auch ein Firewall-Server, der den Zugriff von außen überwacht.
|
|
lubux
Anmeldungsdatum:
21. November 2012
Beiträge: 14382
|
wiufbTThjb schrieb: Was du dir angucken kannst sind aktive Netzwerkverbindungen (netstat -tulpen).
BTW: "netstat -tulpen" zeigt den Zustand (state) LISTEN an. "netstat --inet -Wn" zeigt z. B. den Zustand ESTABLISHED an.
|
|
misterunknown
Ehemalige
Anmeldungsdatum:
28. Oktober 2009
Beiträge: 4403
Wohnort: Sachsen
|
lubux schrieb: BTW: "netstat -tulpen" zeigt den Zustand (state) LISTEN an.
Völlig richtig. Ich hab das gleich mal noch in meinem Post korrigiert, es sollte
netstat -tunep
werden. Noch ein Hinweis zu deinem Aufruf: Mit --inet werden nur IPv4-Verbindungen angezeigt, für IPv6 müsste man noch --inet6 mit angeben.
|
|
Benno-007
Anmeldungsdatum:
28. August 2007
Beiträge: 29240
Wohnort: Germany
|
für mich ist Firewall immer ein Stück Hardware und ich frage mich auch wieviel nutzen das hat wenn sie auf dem gleichen System läuft?
da kann doch ganz schnell die Firewall deaktiviert werden
Ääähm - von diesem komischen root hast du aber schon mal gehört? 😉
|