gehackt ?

Dieses Thema im Forum "Server Administration" wurde erstellt von mike1970, 22. Nov. 2012.

  1. mike1970

    mike1970 Guest

    hilfe... ich glaube das stimmt was nicht.
    ich verwende ispconfig 3.0.4.6 und habe soeben von hetzner eine mail bekommen das eine abuse anfrage von paypal co.uk gekommen ist.

    es waren 52850 mails in der mailq.
    habe nun den postfix vorerst abgedreht um schlimmeres zu verhindern. die mailq hab ich gelöscht, im postfix hab ich recipent an paypal.co.uk mit REJECT (hoffentlich) abgedreht.

    wie kann ich nun feststellen was passiert ist ?
    welche logs werden benötigt ?

    lg

    mike

    EDIT: sobald ich postfix wieder aktiviere habe ich im netstat -a jede menge verbindungen auf smtp ..

    die gespamte mail adresse laut info von hetzner war service AFFE paypal co uk
     
    Zuletzt von einem Moderator bearbeitet: 22. Nov. 2012
  2. nowayback

    nowayback Well-Known Member

    Hi,

    ich glaube kaum das sich jemand die Arbeit machen möchte und das alles für dich analysieren wird, aber es wäre schon interessant zu wissen wie oder wodurch dein System "gehackt" wurde.

    Als erstes solltest du das System vom Netz nehmen und nur interne Verbindungen erlauben, sodass keine Verbindungen mit "außen" bestehen. Damit du dann dein System trotzdem administrieren kannst, wäre KVM oder sowas in der Art hilfreich. Danach kannste dich an die Logfiles machen.

    Du kannst dir dazu eigentlich alle Logfiles anschauen die irgendwie was damit zutun haben:
    /var/log/mail.log
    /var/log/mail.err
    /var/log/syslog
    /var/log/other-vhosts.log
    /var/log/ispconfig/httpd/*
    ...
    (Diese Liste ist nicht vollständig ;) )

    Schau nach über welches Konto die Mails verschickt wurden, wenn es ein Kundenaccount ist, dann informiere den Kunden, wenn es einer von dir ist, denke nach ob und wo du dieses Passwort noch verwendet hast. Ändere ggf. alle betreffenden Passwörter. Such nach Rootkits und andere Auffälligkeiten. Sollte das Passwort den gängigen Regeln entsprechen und nicht durch einen Brute-Force Angriff geknackt worden sein, könnte auch ein Trojaner auf deinem Heim-PC in Frage kommen...

    In jedem Fall hast du nun viel Arbeit vor dir :)

    Grüße
    nwb
     
  3. mike1970

    mike1970 Guest

    danke mal für die antwort.

    kunden accounts gibts nur mich
    wie finde ich heraus über welche mail adresse das ausgelöst wurde ?
    rootkits wurden keine gefunden
    trojaner am pc schliesse ich aus ..


    syslog die einträge schaun so aus

    Nov 22 06:26:10 defcontrol postfix/smtp[12214]: 08F221CE573A: to=<info@osw.org.uk>, relay=none, delay=68935, delays=68913/22/0.12/0, dsn=4.4.1, status=deferred (connect to mail.osw.org.uk[216.92.160.80]:25: Connection refused)
    Nov 22 06:26:10 defcontrol postfix/smtp[12075]: 339F11CEFAEF: to=<service@paypal.co.uk>, relay=data.ebay.com[216.113.167.215]:25, conn_use=13, delay=300357, delays=298835/1521/0.87/0.43, dsn=4.0.0, status=deferred (host data.ebay.com[216.113.167.215] said: 452 Too many recipients received this hour (in reply to RCPT TO command))
    Nov 22 06:26:10 defcontrol postfix/smtp[11647]: 35C791CE6B44: to=<service@paypal.co.uk>, relay=data.ebay.com[216.113.167.215]:25, delay=142806, delays=141284/1521/1.4/0, dsn=4.0.0, status=deferred (host data.ebay.com[216.113.167.215] refused to talk to me: 421 #4.4.5 Too many connections from your host.)
    Nov 22 06:26:10 defcontrol postfix/smtp[11579]: 0D4BE1CE9DB5: host mail01.nspcc.org.uk[94.31.13.7] refused to talk to me: 554 n-pdc-mail-01.net.nspcc.org.uk
    Nov 22 06:26:10 defcontrol postfix/smtp[11604]: 392981CE1DD3: to=<service@paypal.co.uk>, relay=gort.ebay.com[216.113.167.215]:25, delay=240014, delays=238492/1522/1.2/0, dsn=4.0.0, status=deferred (host gort.ebay.com[216.113.167.215] refused to talk to me: 421 #4.4.5 Too many connections from your host.)
    Nov 22 06:26:10 defcontrol postfix/smtp[12063]: connect to theAteam.com[208.87.35.108]:25: Connection refused
    Nov 22 06:26:10 defcontrol postfix/smtp[11805]: 308A51CE81FB: host gort.ebay.com[216.113.167.215] said: 452 Too many recipients received this hour (in reply to RCPT TO command)
    Nov 22 06:26:10 defcontrol postfix/smtp[16894]: 302C31CEB2B6: to=<service@paypal.co.uk>, relay=gort.ebay.com[216.113.167.215]:25, delay=66935, delays=65412/1521/1.4/0, dsn=4.0.0, status=deferred (host gort.ebay.com[216.113.167.215] refused to talk to me: 421 #4.4.5 Too many connections from your host.)

    davon extrem viele

    mail.log


    Nov 18 06:29:14 defcontrol postfix/qmgr[7336]: E1AB11CECFB0: to=<service@paypal.co.uk>, relay=none, delay=12291, delays=10583/1708/0/0, dsn=4.3.0, status=deferred (unknown mail transport error)
    Nov 18 06:29:14 defcontrol postfix/smtpd[1319]: disconnect from www.airaltay.ru[83.246.139.236]
    Nov 18 06:29:14 defcontrol postfix/qmgr[7336]: E7BC81CEC701: to=<service@paypal.co.uk>, relay=none, delay=159878, delays=158170/1709/0/0, dsn=4.3.0, status=deferred (unknown mail transport error)
    Nov 18 06:29:14 defcontrol postfix/qmgr[7336]: EAC971CEC6A0: to=<service@paypal.co.uk>, relay=none, delay=160014, delays=158306/1709/0/0, dsn=4.3.0, status=deferred (unknown mail transport error)
    Nov 18 06:29:14 defcontrol postfix/qmgr[7336]: E0B141CE32C3: to=<service@paypal.co.uk>, relay=none, delay=309161, delays=307453/1709/0/0, dsn=4.3.0, status=deferred (unknown mail transport error)
    Nov 18 06:29:14 defcontrol postfix/qmgr[7336]: E30221CEBC4B: to=<service@paypal.co.uk>, relay=none, delay=167743, delays=166035/1709/0/0, dsn=4.3.0, status=deferred (unknown mail transport error)
    Nov 18 06:29:14 defcontrol postfix/qmgr[7336]: EA9361CE7392: to=<service@paypal.co.uk>, relay=none, delay=260556, delays=258848/1709/0/0, dsn=4.3.0, status=deferred (unknown mail transport error)
    Nov 18 06:29:14 defcontrol postfix/qmgr[7336]: E06F81CEBAEE: to=<service@paypal.co.uk>, relay=none, delay=168123, delays=166415/1709/0/0, dsn=4.3.0, status=deferred (unknown mail transport error)
    Nov 18 06:29:14 defcontrol postfix/qmgr[7336]: E4A3B1CE5D76: to=<service@paypal.co.uk>, relay=none, delay=96393, delays=94684/1709/0/0, dsn=4.3.0, status=deferred (unknown mail transport error)

    usw.
     
  4. Till

    Till Administrator

    Poste bitte mal Deine /etc/postfix/main.cf Datei und teste ob Dein Server ein offenes Relay ist:

    Mail relay testing

    Es wäre interessant die Mail Header der mails in der queue zu analysieren, an den Inhalt kommst Du mit dem Befehl postcat heran. Beispiel:

    postcat /var/spool/postfix/deferred/E/E06F81CEBAEE

    Wobei es sich beim vorletzten Verzeichnis im Pfad um den ersten Buchstaben der mail ID handelt und dann kommt als Dateiname nochmal die komplette mailid so wie sie im log bzw. in der mailqueue steht.
     
  5. mike1970

    mike1970 Guest

    mail relay hab ich anfangs schon überprüft das scheint ok zu sein .. die log datei ist wahnsinnig gross .. ich lege eine neue an um frische daten zu bekommen .. ich poste das ergebnis dann ..

     
    Zuletzt von einem Moderator bearbeitet: 22. Nov. 2012
  6. mike1970

    mike1970 Guest

    mail.warn

    was ich noch gefunden habe ..

     
  7. F4RR3LL

    F4RR3LL Member

    Ohne jetzt die Logs genauer gelesen zu haben. Sind php Seiten auf dem Server. Wie sind die eingebunden. Veraltete CMS, veraltetes Roundcube, exec in /tmp erlaubt usw usw.... mir fallen grade alleine im Webserverbereich x Einfallstore ein.
    Ist der Server aktuell, alle Pakete aktuell. Etc etc.... sowas genau zu analysieren dürfte den Rahmen hier glatt sprengen.

    Gruß Sven
     
  8. mike1970

    mike1970 Guest

    der server ansich ist frisch installiert (ca. 4 wochen)
    es läuft natürlich der indianer und auf 2 webseiten sind CMS installiert.

    Wordpress 3.4.2 ist hier etwas bekannt ?

    kann ich mit ispconfig 3.0.4.6 den server selber gefahrlos updaten ohne ispconfig selber ändern zu müssen ?
     
  9. F4RR3LL

    F4RR3LL Member

    Ja natürlich ... ispconfig selber ... hm das sind im Prinzip nur die Configs...

    Gruß Sven
     
  10. mike1970

    mike1970 Guest

    updates habe ich jetzt installiert, mal schaun ...
     
  11. Till

    Till Administrator

    Die postfix main.cf sieht soweit ok aus. Versuch mal bitte an den Inhalt einer Mail mit postcat ran zu kommen, denn in den mail headern kann man wahrscheinlich sehen ob sie über php versendet wurde.

    Des weiteren ändere bitte mal die Passworte Deiner mailkonten, es kann sein dass jemand wie auch immer an eines Deiner mail Passworte gekommen ist und sich dadurch im postfix zum mailversnad authentifizieren kann.
     
  12. mike1970

    mike1970 Guest

    vorerst vielen dank für eure unterstützung ... seit dem vorfall hab ich einiges getan. zb. die gezippten log files runtergeladen um zu sehen über welchen account das ganze passiert ist ..

    dabei hab ich eine testmail adresse gesehen über diese dürfte das ganze passiert sein. das kann ich mir auch gut vorstellen, denn bei der mail adresse hatte ich ein ganz einfach passwort. diesen account hab ich gelöscht.

    dann auf euren rat hab ich ein update gemacht bei dem 17 pakete betroffen waren, darunter auch der postfix.

    bis jetzt ist ruhe im gebüsch, keine weiteren abuse meldungen mehr. die mailq ist "normal".

    fail2ban hab ich jetzt mit 1 try eingestellt, bantime hab ich 84600 eingestellt.

    zwei fragen hätt ich jetzt noch.

    1.) fail2ban ohne timeout, ist das möglich ? gebannt soll gebannt bleiben!
    2.) mit iptables kann ich immer nur eine ip sperren, wie kann ich mehrere ip`s mittels iptables sperren?

    habe bis jetzt immer das hier verwendet :
    iptables -A INPUT -p ALL -s xx.xx.xx.xx -j REJECT

    jedoch überschreibt mir der befehl immer die letzte eingabe ..

    lg
    mike
     
  13. Brainfood

    Brainfood Member

    save the server

    Was ich dir so generell empfehlen könnte:


    • - aktuelle Systemversionen benutzen z.B. Debian 6.0.6
      - aller 2-3 Tage mal ein apt-get update/upgrade durchführen
      - ISPConfig3 Firewall aktivieren
      - sofern IPv6 im Einsatz ist ... IPv6 Firewallregelsatz benutzen
      - Dienste mit sowenig Aussagekraft wie möglich einstellen: Postfix mit "smtpd_banner = $myhostname ESMTP" Apache antwortet mit "ServerTokens Prod" BIND mit version "BIND Server"; etc.
      - SSH Root deaktivieren (sshd_config) mit "PermitRootLogin no"
      - deine Leute sollen "gute" Passwörter verwenden
      - alle Dienste nur per SSL/TLS verwenden, CMS & Co. Anmeldungen auf https umleiten
      - SSL Strong Ciphers Encryption benutzen
      - SSH Jails installieren
      - vnstat zur täglichen traffic auswerten per mail schicken lassen, dann siehst du traffic peaks die dir ungewöhnlich erscheinen
      - MySQL Fernzugriff deaktiveren, sofern du kein Multiserver-Setup verwendest
      - PHPMyAdmin Root-Zugriff deaktivieren config.inc.php "$cfg['Servers'][$i]['AllowRoot'] = FALSE;"
      - DNS TXT / SPF Einträge verwenden
      - Postfix Client Reject DNS Listen verwenden main.cf "reject_rbl_client zen.spamhaus.org" etc.
      - ab und an mal nen Nessus Penetrationtest
      - täglich mal die Serverlogs durchschauen ... mail.warn / apache error.log etc.
      ... und natürlich die eingesetzte Websoftware auf den laufenden halten ... Wordpress ist da so ein Kandidat der über Jahre schon Kummer bereitet, Stichwort "BulletProof Security Addon"
      ... usw ...

    - wenn du die Möglichkeiten hast, stell dir einen externen syslog server hin und lass dort die logs auswerten
     
    Zuletzt bearbeitet: 27. Nov. 2012
  14. Brainfood

    Brainfood Member

    meine fail2ban:

    jail.conf

    Code:
    # Fail2Ban configuration file.
    #
    # This file was composed for Debian systems from the original one
    #  provided now under /usr/share/doc/fail2ban/examples/jail.conf
    #  for additional examples.
    #
    # To avoid merges during upgrades DO NOT MODIFY THIS FILE
    # and rather provide your changes in /etc/fail2ban/jail.local
    #
    # Author: Yaroslav O. Halchenko <debian@onerussian.com>
    #
    # $Revision: 281 $
    #
    
    # The DEFAULT allows a global definition of the options. They can be override
    # in each jail afterwards.
    
    [DEFAULT]
    
    # "ignoreip" can be an IP address, a CIDR mask or a DNS host
    # DNS: CCC 213.73.91.35 Tunnelbroker 74.82.42.42 OpenDNS 208.67.222.222 208.67.220.220
    # dnscheck.pingdom.com: 176.221.80.21
    ignoreip = 127.0.0.1 192.168.250.0/24 176.221.80.21
    bantime  = 31536000
    maxretry = 5
    
    # "backend" specifies the backend used to get files modification. Available
    # options are "gamin", "polling" and "auto".
    # yoh: For some reason Debian shipped python-gamin didn't work as expected
    #      This issue left ToDo, so polling is default backend for now
    backend = polling
    
    #
    # Destination email address used solely for the interpolations in
    # jail.{conf,local} configuration files.
    destemail = unixadmin@domain.tld
    
    #
    # ACTIONS
    #
    
    # Default banning action (e.g. iptables, iptables-new,
    # iptables-multiport, shorewall, etc) It is used to define 
    # action_* variables. Can be overriden globally or per 
    # section within jail.local file
    banaction = iptables-multiport
    
    # email action. Since 0.8.1 upstream fail2ban uses sendmail
    # MTA for the mailing. Change mta configuration parameter to mail
    # if you want to revert to conventional 'mail'.
    mta = sendmail
    
    # Default protocol
    protocol = tcp
    
    #
    # Action shortcuts. To be used to define action parameter
    
    # The simplest action to take: ban only
    action_ = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s]
    
    # ban & send an e-mail with whois report to the destemail.
    action_mw = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s]
                  %(mta)s-whois[name=%(__name__)s, dest="%(destemail)s", protocol="%(protocol)s]
    
    # ban & send an e-mail with whois report and relevant log lines
    # to the destemail.
    action_mwl = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s]
                   %(mta)s-whois-lines[name=%(__name__)s, dest="%(destemail)s", logpath=%(logpath)s]
     
    # Choose default action.  To change, just override value of 'action' with the
    # interpolation to the chosen action shortcut (e.g.  action_mw, action_mwl, etc) in jail.local
    # globally (section [DEFAULT]) or per specific section 
    action = %(action_mwl)s
    
    #
    # JAILS
    #
    
    # Next jails corresponds to the standard configuration in Fail2ban 0.6 which
    # was shipped in Debian. Enable any defined here jail by including
    #
    # [SECTION_NAME] 
    # enabled = true
    
    #
    # in /etc/fail2ban/jail.local.
    #
    # Optionally you may override any other parameter (e.g. banaction,
    # action, port, logpath, etc) in that section within jail.local
    
    [ssh]
    
    enabled = true
    port	= ssh
    filter	= sshd
    logpath  = /var/log/auth.log
    bantime  = 31536000
    maxretry = 5
    
    # Generic filter for pam. Has to be used with action which bans all ports
    # such as iptables-allports, shorewall
    [pam-generic]
    
    enabled = false
    # pam-generic filter can be customized to monitor specific subset of 'tty's
    filter	= pam-generic
    # port actually must be irrelevant but lets leave it all for some possible uses
    port = all
    banaction = iptables-allports
    port     = anyport
    logpath  = /var/log/auth.log
    maxretry = 6
    
    [xinetd-fail]
    
    enabled   = false
    filter    = xinetd-fail
    port      = all
    banaction = iptables-multiport-log
    logpath   = /var/log/daemon.log
    maxretry  = 2
    
    
    [ssh-ddos]
    
    enabled = false
    port    = ssh
    filter  = sshd-ddos
    logpath  = /var/log/auth.log
    maxretry = 6
    
    #
    # HTTP servers
    #
    
    [apache]
    
    enabled = false
    port	= http,https
    filter	= apache-auth
    logpath = /var/log/apache*/*error.log
    maxretry = 6
    
    # default action is now multiport, so apache-multiport jail was left
    # for compatibility with previous (<0.7.6-2) releases
    [apache-multiport]
    
    enabled   = false
    port	  = http,https
    filter	  = apache-auth
    logpath   = /var/log/apache*/*error.log
    maxretry  = 6
    
    ### ### ### PLITC ### ### ###
    [apache-noscript]
    
    enabled = true
    port    = http,https
    filter  = apache-noscript
    logpath = /var/log/apache*/*error.log
    maxretry = 5
    bantime  = 31536000
    ### ### ### PLITC ### ### ###
    
    [apache-overflows]
    
    enabled = false
    port    = http,https
    filter  = apache-overflows
    logpath = /var/log/apache*/*error.log
    maxretry = 2
    
    #
    # FTP servers
    #
    
    [vsftpd]
    
    enabled  = false
    port	 = ftp,ftp-data,ftps,ftps-data
    filter   = vsftpd
    logpath  = /var/log/vsftpd.log
    # or overwrite it in jails.local to be
    # logpath = /var/log/auth.log
    # if you want to rely on PAM failed login attempts
    # vsftpd's failregex should match both of those formats
    maxretry = 6
    
    
    [proftpd]
    
    enabled  = false
    port	 = ftp,ftp-data,ftps,ftps-data
    filter   = proftpd
    logpath  = /var/log/proftpd/proftpd.log
    maxretry = 6
    
    
    [wuftpd]
    
    enabled  = false
    port	 = ftp,ftp-data,ftps,ftps-data
    filter   = wuftpd
    logpath  = /var/log/auth.log
    maxretry = 6
    
    
    #
    # Mail servers
    #
    
    [postfix]
    
    ### ### ### PLITC ### ### ###
    # enabled  = false
    # port     = smtp,ssmtp
    # filter   = postfix
    # logpath  = /var/log/mail.log
    
    enabled  = true
    port     = smtp,ssmtp
    filter   = postfix
    logpath  = /var/log/mail.log
    bantime  = 31536000
    maxretry = 5
    
    ### ### ### PLITC ### ### ###
    
    
    [couriersmtp]
    
    enabled  = false
    port	 = smtp,ssmtp
    filter   = couriersmtp
    logpath  = /var/log/mail.log
    
    
    #
    # Mail servers authenticators: might be used for smtp,ftp,imap servers, so
    # all relevant ports get banned
    #
    
    [courierauth]
    
    enabled  = false
    port	 = smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s
    filter   = courierlogin
    logpath  = /var/log/mail.log
    
    
    [sasl]
    
    enabled  = true
    port	 = smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s
    filter   = sasl
    # You might consider monitoring /var/log/warn.log instead
    # if you are running postfix. See http://bugs.debian.org/507990
    logpath  = /var/log/mail.warn
    bantime  = 31536000
    maxretry = 5
    
    # DNS Servers
    
    
    # These jails block attacks against named (bind9). By default, logging is off
    # with bind9 installation. You will need something like this:
    #
    # logging {
    #     channel security_file {
    #         file "/var/log/named/security.log" versions 3 size 30m;
    #         severity dynamic;
    #         print-time yes;
    #     };
    #     category security {
    #         security_file;
    #     };
    # };
    #
    # in your named.conf to provide proper logging
    
    # !!! WARNING !!!
    #   Since UDP is connectionless protocol, spoofing of IP and immitation
    #   of illegal actions is way too simple.  Thus enabling of this filter
    #   might provide an easy way for implementing a DoS against a chosen
    #   victim. See
    #    http://nion.modprobe.de/blog/archives/690-fail2ban-+-dns-fail.html
    #   Please DO NOT USE this jail unless you know what you are doing.
    #[named-refused-udp]
    #
    #enabled  = false
    #port     = domain,953
    #protocol = udp
    #filter   = named-refused
    #logpath  = /var/log/named/security.log
    
    ### ### ### PLITC ### ### ###
    [named-refused-udp]
    
    enabled  = true
    port     = domain,953
    protocol = udp
    filter   = named-refused
    logpath  = /var/log/bind/named_security.log
    bantime  = 31536000
    maxretry = 99
    ### ### ### PLITC ### ### ###
    
    [named-refused-tcp]
    
    enabled  = true
    port     = domain,953
    protocol = tcp
    filter   = named-refused
    logpath  = /var/log/bind/named_security.log
    bantime  = 31536000
    maxretry = 25
    
    # EOF
    
     
  15. Brainfood

    Brainfood Member

    jail.local

    jail.local

    Code:
    [pureftpd]
    
    enabled  = true
    port     = ftp
    filter   = pureftpd
    logpath  = /var/log/syslog
    bantime  = 31536000
    maxretry = 10
    
    
    [dovecot-pop3imap]
    
    enabled = true
    filter = dovecot-pop3imap
    action = iptables-multiport[name=dovecot-pop3imap, port="pop3,pop3s,imap,imaps", protocol=tcp]
    logpath = /var/log/mail.log
    bantime  = 31536000
    maxretry = 10
    
    
    [roundcube]
    
    enabled = true
    port = http,https
    filter = roundcube
    logpath = /var/log/syslog
    bantime  = 31536000
    maxretry = 10
    
    ... sind nur ein paar Anregungen ...

    Auch wenn hier einige Leute gerne Drittanbieter Addons wie RoundCube als Addon für ISPConfig hätten, halte ich nichts davon ...

    Lieber etwas selbst handanlegen und patchen, denn diese git pull kaspereien ...

    Die jüngsten Vorfälle beim FreeBSD Team bestätigen es aufs Neue ... wenn die Entwickler "Ziel" von Attacken werden, reicht ein kompromittierter Developer Account aus ... um hunderten von automatisierten Servern ... schmutzigen Code unterzujubeln ...
     
    Zuletzt bearbeitet: 27. Nov. 2012
  16. mike1970

    mike1970 Guest

    Zuerst mal vielen Dank, war jetzt länger nicht in der Lage hier rein zu schauen.
    Muss sagen, zum Glück ist seit dem Vorfall wieder Ruhe.
    Fail2Ban bannt jeden Tag 4-10 IP`s am häufigsten davon betroffen ist SSH.


    Wie oft sollte ich da nachschauen wegen updates ?


    sollte sein ..


    IPv6 hab ich abgedreht


    Mit der Info fange ich nichts an :(


    Ok


    Das ist halt ein Problem :) Werds weiterleiten.


    Keine Ahnung was meine Jungs da am laufen haben, muss ich mir anschauen.


    hmm ? :)


    SSH sollte chrooted sein.


    Bekomm ich von Hetzner täglich.


    Hab ich nicht, wie prüf ich das ?


    Ok


    Mein Server verwaltet keinen Zonen.


    Wo trag ich das ein ?


    Wie was wo ? :)


    Mach ich seit dem Vorfall


    Da sorg ich eh dafür das die Jungs das aktuell halten


    Mach ich seit dem Vorfall


    Nein, diese Möglichkeit hab ich nicht

    lg
    Mike
     
  17. Brainfood

    Brainfood Member

    Punk 1:

    derzeit laufen bei mir 9 Sparc und 3 AMD64 ISPConfig Kisten, im Schnitt bekomme ich ca. 30-50 Fail2Ban Mails am Tag

    Punkt 2:

    trage dich in die:

    Debian Mailing Lists -- Index for debian-security-announce

    ein

    (der deutsche debian ftp mirror scheint mir gefühlt immer 1 Tag nach jeder Ankündigung die Pakete bereit zu stellen)

    Punkt 3:

    "Dienste mit sowenig Aussagekraft wie möglich einstellen"

    schau dir die Konfigurationen der Dienste im einzelnen an und deaktiviere Hinweise ... die Rückschlüsse auf die verwendete Versionsnummer schließen könnten

    z.B Apache antwortet nicht mit Apache/Linux 2.2.16 sondern nur als "Apache"

    Punkt 4:

    SSL Strong Ciphers Encryption benutzen

    siehe dazu: SSL cipher settings - For the good of all of us

    die Seite mit den ausführlichen Erklärungen scheint mir jedoch derzeit down zu sein:

    such in meinem Müllhaldenblog auf: SBSHosting.biz

    nach SSL Strong Ciphers Encryption

    Punkt 5:

    MySQL absichern:

    /etc/mysql/my.cnf
    Code:
    ### ### ### PLITC ### ### ###
    [B]bind-address          = 127.0.0.1[/B]
    ### ### ### PLITC ### ### ###
    
    sowie in der ISPConfig3 Firewall den TCP/UDP Port 3306 herausnehmen

    Punkt 6:

    Postfix Client Reject DNS Listen verwenden - sofern du Postfix im Einsatz hast:

    /etc/postfix/main.cf
    Code:
    ### ### ### PLITC ### ### ###
    smtpd_recipient_restrictions =
            permit_mynetworks,
            permit_sasl_authenticated,
            check_recipient_access mysql:/etc/postfix/mysql-virtual_recipient.cf,
            reject_unauth_destination,
            reject_invalid_hostname,
            reject_non_fqdn_sender,
            reject_non_fqdn_recipient,
            reject_unknown_sender_domain,
            reject_unknown_recipient_domain,
            reject_rbl_client dnsbl.ahbl.org,
            reject_rbl_client cbl.abuseat.org,
            reject_rbl_client dul.dnsbl.sorbs.net,
            reject_rbl_client bl.spamcop.net,
            reject_rbl_client zen.spamhaus.org
    ###
    
    Punkt 7:

    Was Nessus anbelangt:

    siehe: Nessus Product Overview | Tenable Network Security

    für Privatkunden gibts nen kostenlosen Key

    Punkt 8:

    ne aktuelle Fail2ban Config mit Berücksichtigung der Apache ISPConfig3 error.logs findest du ebenso in meinem wurschtel Blog unter dem Stichwort:

    ISPConfig3 - gute fail2ban jail.conf

    Grüße vom Brain :D
     
  18. mike1970

    mike1970 Guest

    Das ist ein Kampf :)

    Die Signatur hab ich jetzt mal so ..


    HTTP/1.1 200 OK
    Date: Wed, 05 Dec 2012 06:14:44 GMT
    Server: Apache
    Last-Modified: Wed, 17 Oct 2012 07:20:00 GMT
    ETag: "1ce0bdd-b1-4cc3c19374800"
    Accept-Ranges: bytes
    Content-Length: 177
    Vary: Accept-Encoding
    Keep-Alive: timeout=15, max=100
    Connection: Keep-Alive
    Content-Type: text/html

    ServerSignature = Off
    und Token auf Prod.

    Bevor ich im "security" File die 2 Zeilen umgeändert habe, stand bei Server alles ... also Versionsnummer welches Linux usw.

    Das hast gemeint mit der Server Signatur oder ?

    wenn ich das mit dem SQL mache bekomme ich das hier
    Stopping MySQL database server: mysqld.
    Starting MySQL database server: mysqld.
    Checking for corrupt, not cleanly closed and upgrade needing tables..

    Was nun ?
     
    Zuletzt von einem Moderator bearbeitet: 5. Dez. 2012
  19. Brainfood

    Brainfood Member

    genau einfach so viele Beschreibungen wie Möglich "deaktivieren" ...

    Debian User sind nach wie vor vom SSL/TLS Renegotiation Designbug betroffen ...

    im Grunde kannst du derzeit ALLE auf Debian basierenden ISPConfig3 Server die Postfix/Dovecot/Curier-IMAP & Co. im Einsatz haben komplett (mit thc-ssl-dos) DOSn und lahmlegen ...
     

Diese Seite empfehlen