System auf Angriffe überprüfen?

[Battlestar Gentoo]

Hallo,

wie ich heute feststellen musste, wurde von einem Unbekannten die Indexseite einer meiner Webpräsenzen verändert.
Laut Provider häuften sich in den letzten Wochen derartige Angriff auf die bei ihm gehostete Webpräsenzen. Ich glaube fast nicht, dass jemand auf meinem System eingebrochen ist, das Passwort gestohlen und die Webseite verändert hat, v.a. wegen der Tatsache, dass einige andere Webseiten dieses Providers ebenfalls betroffen sind.
Ich habe mich allerdings schon darüber Gedanken gemacht, wie ich eigentlich überprüfen könnte, ob auf meinem System eingebrochen wurde?
Irgendwelche Vorschläge?
_________________
vorher: Gentoo Reptile

[doedel]

http-server logfiles, ftp-server logfiles, eben alle verbindungen auf den server überprüfen....
_________________
1 ha == 1 Hekto-Ar == 1 Hektar

[smg]

Eventuell auf rootkits checken..
_________________
GnuPG-Key-ID: 0xF8C275D4
Fingerprint: 5B6F 134A 189B A24D 342B 0961 8D4B 0230 F8C2 75D4

[Battlestar Gentoo]

Nun, den lokalen Apache habe ich nur dann laufen, wenn ich irgendwelche Webseiten testen will. Das ist m.M.n eine nicht besonders zuverlässige Methode.
Wie kann ich das Vorhandensein von Rootkits überprüfen?
_________________
vorher: Gentoo Reptile

[schachti]

chkrootkit.
_________________
Never argue with an idiot. He brings you down to his level, then beats you with experience.

How-To: Daten verschlüsselt auf DVD speichern.

[Battlestar Gentoo]

Danke für den Tipp. chkrootkit hat nichts gefunden.
Wie sieht's eigentlich mit iptables aus? Sollte man sich auf jeden Fall Regeln zulegen? Bisher habe ich noch kaum damit beschäftigt.
_________________
vorher: Gentoo Reptile

[smg]

[schachti]

Ist so eine Sache mit iptables... Prinzipiell ist es besser, sämtliche Anwendungen ordentlich zu konfigurieren - wo kein Port unnötigerweise offen ist, muß man ihn auch nicht mit iptables schützen.

Wenn der Rest des Systems abgesichert ist, schadet eine durchdachte iptables-Lösung sicher nicht - gerade dann, wenn man z. B. den Zugriff auf bestimmte Dienste beschränken will.
_________________
Never argue with an idiot. He brings you down to his level, then beats you with experience.

How-To: Daten verschlüsselt auf DVD speichern.

[smg]

qdiscs wären auch cool, wegen DDoS und so...
_________________
GnuPG-Key-ID: 0xF8C275D4
Fingerprint: 5B6F 134A 189B A24D 342B 0961 8D4B 0230 F8C2 75D4

[schachti]

[smg]

[mkr]

[schachti]

Gut, aber dieser Ansatz ist letztendlich nur für dedizierte Server mit eng begrenztem Aufgabenspektrum praktikabel. Sinnvoller bleibt meiner Meinung nach die Absicherung des Gesamtsystems (hardened-sources, hardened-Profil, ...).
_________________
Never argue with an idiot. He brings you down to his level, then beats you with experience.

How-To: Daten verschlüsselt auf DVD speichern.

[Battlestar Gentoo]

Was genau macht hardened-sources? Sieht m.M.n. irgendwie wie ein Kernelmodul aus.
_________________
vorher: Gentoo Reptile

[schachti]

hardened-sources ist ein Kernel, der Patches für bestimmte Security-Erweiterungen, z. B. Grsecurity und PaX, enthält.
_________________
Never argue with an idiot. He brings you down to his level, then beats you with experience.

How-To: Daten verschlüsselt auf DVD speichern.

[beejay]

Warum kommen solche Fragestellungen eigentlich immer erst dann, wenn das Kind schon in den Brunnen gefallen ist? Man geht doch - beispielsweise - auch nicht ohne Kondome in den Swingerclub.

Sicherheit bzw. forensische Verfahren müssen von vornherein geplant und aufgesetzt werden. Nach erfolgtem Einbruch ist die ganze Angelegenheit Blödsinn, da man dem System sowieso nicht mehr trauen kann -- man weiss nicht, was ein eventueller Angreifer geändert hat.
_________________
Dort wo schwarzer Rauch aufsteigt, sich alsbald ein Fehler zeigt.
www.paludis-sucks.org | www.gentoo.de | www.gentoo-ev.org | www.gentoo.org

[dakjo]

@beejay ritÖch

Auf einem erfolgreichem Angriff kann daher nur ein neuaufsetzten des Gesamtsystems folgen.

[think4urs11]

[dakjo]

@Think4UrS11 Backups sind überbewertet. Ist die Platte wenigstens wieder leer und mann kann neuen Müll sammeln.

[think4urs11]

[Battlestar Gentoo]

Nun, es heißt ja gar nicht, dass in mein System eingebrochen wurde. Da ich ohnehin keine unnötigen Dienste am Laufen habe, sollte mein System sowieso recht sicher sein. Der Vorfall hat mir lediglich zu denken gegeben.
_________________
vorher: Gentoo Reptile

[dakjo]

@Think4UrS11: Ich bin mein Geschäftsführer

War ja auch nur Spass.

@Gentoo Reptile: Wenn jemand deine Website verändert hat, ist er eingebrochen oder nicht?

[schachti]

Wenn jemand in der Lage war, "Indexseite einer [deiner] Webpräsenzen" zu verändern, hatte er Schreibzugriff im entsprechenden Verzeichnis. Da ist der Weg zu schlimmeren Dingen nicht mehr weit...
_________________
Never argue with an idiot. He brings you down to his level, then beats you with experience.

How-To: Daten verschlüsselt auf DVD speichern.

[l3u]

Jetzt liegt doch aber die Seite bei nem Provider und nicht auf dem Computer, um die sich die Diskussion hier dreht. Oder hab ich das falsch verstanden?

[lonF]

So wie ich das verstanden habe liegt die Präsenz auf einem root-Server bei einem Provider.

Wenn die Präsenz verändert wurde, heißt das das jemand in dem Ordner der Präsenz Schreibrechte hat. Ich schreibe ganz bewusst "hat".
Das wurde ja auch schon von Schachti erwähnt. Daraus folgt entweder ist der Apache- (das System-) Fehlkonfiguriert oder es ist jemand eingebrochen.
Zwischen beiden gibt es zwar einen großen Unterschied, aber für Dich gibt es eigentlich nur eine zwingende Maßnahme die Du machen mußt.
Meine Meinung. Neuinstallieren.

MfG lonF