So schnell kann's gehen... Cracker
So schnell kann's gehen... Cracker
Hi!
Normalerweise mach ich das ja ungern, weil's so nen Touch von Eigenwerbung hat, aber weil der Thread einfach nur ein supertolles Beispiel dafür ist, wie leichtsinnig viele aufgrund der niedrigen Preise für dedizierte Server heutzutage sind und die Folgen nicht wirklich bedenken, hier mal ein wunderbares abschreckendes Beispiel:
http://www.rootforum.de/forum/viewtopic.php?t=7217
@Admins&Mods: wenn ihr's unpassend findet, löscht den Beitrag einfach
Grüßle
Olfi
Normalerweise mach ich das ja ungern, weil's so nen Touch von Eigenwerbung hat, aber weil der Thread einfach nur ein supertolles Beispiel dafür ist, wie leichtsinnig viele aufgrund der niedrigen Preise für dedizierte Server heutzutage sind und die Folgen nicht wirklich bedenken, hier mal ein wunderbares abschreckendes Beispiel:
http://www.rootforum.de/forum/viewtopic.php?t=7217
@Admins&Mods: wenn ihr's unpassend findet, löscht den Beitrag einfach
Grüßle
Olfi
- feltel
- Webmaster
- Beiträge: 10458
- Registriert: 20.12.2001 13:08:23
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Leipzig, Germany
-
Kontaktdaten:
Das ist für mich ein typisches Beispiel von "selbst Schuld". Darum heißt es ja Root-Server, weil sich der Mieter des Servers um alles selbst kümmern kann (und muß); dazu gehört auch ein Sicherheitskonzept mit Packetfiltering und wenn notwendig mit Trafficüberwachung. Und wenn man das nicht will und kann, dann muß man sich ebend mit shared hosting begnügen.
debianforum.de unterstützen? Hier! | debianforum.de Verhaltensregeln | Bitte keine Supportanfragen per PM
- Frankenstein
- Beiträge: 145
- Registriert: 28.01.2002 14:51:14
- Lizenz eigener Beiträge: GNU Free Documentation License
-
Kontaktdaten:
Nein, das hätte nicht geholfen.suntsu hat geschrieben:Hätte es ihm geholfen wenn er eine "normale" ip-tables Firewall auf dem Rechner gehabt hätte, oder sollte die auf einem eigenen Rechner laufen?
Der Grund ist einfach:
Jeglicher Paketfilter arbeitet im Kernel des Systems, auf dem er installiert ist, d.h. der Traffik hat da bereits den Switch (der loggt) passiert und kann nicht mehr verhindert werden
Daher bringen bei dedizierten, direkt ans Internet angeschlossenen Server Paketfilter so gut wie gar nichts...
Grüßle
Olfi
mmh ... z.b. wegen bugs ?
weil niemand 100% sicher sein kann, seinen server "ordentlich" konfiguriert zu haben ?
ich denke mal, es gibt auch viele "obergurus" ... lol ... deren server geknackt wurden. nur legen sie es nicht offen. man will sich ja keine blöße geben.
mir kommt es immer so vor, als ob viele die mit linux halbwegs umgehen können so tun, als hätten sie es komplett selbst geschrieben, praktisch den totalen durchblick.
selbst das ist kein garant für 100%ige bugfreiheit. im gegenteil.
es gibt auch noch menschen, die nicht den großteil ihres lebens mit rechnern verbringen und das geld haben für professionelle unterstützung.
was bringt es, auf den geschädigten herumzuhacken ?
es ist ja sportlich server zu hacken.
und deshalb ist jetzt alles 8fach gesichert, abgeschlossen, hermetisch abgeriegelt etc. tolle welt.
es hätte sich ja mal einer dieser server-benachrichtigungs-swatch-gurus anbieten können, die logs auszuwerten um den cracker zu finden oder um einfach hilfe zu leisten.
stattdessen hats den betroffenen nur frustriert.
weil niemand 100% sicher sein kann, seinen server "ordentlich" konfiguriert zu haben ?
ich denke mal, es gibt auch viele "obergurus" ... lol ... deren server geknackt wurden. nur legen sie es nicht offen. man will sich ja keine blöße geben.
mir kommt es immer so vor, als ob viele die mit linux halbwegs umgehen können so tun, als hätten sie es komplett selbst geschrieben, praktisch den totalen durchblick.
selbst das ist kein garant für 100%ige bugfreiheit. im gegenteil.
es gibt auch noch menschen, die nicht den großteil ihres lebens mit rechnern verbringen und das geld haben für professionelle unterstützung.
was bringt es, auf den geschädigten herumzuhacken ?
es ist ja sportlich server zu hacken.
und deshalb ist jetzt alles 8fach gesichert, abgeschlossen, hermetisch abgeriegelt etc. tolle welt.
es hätte sich ja mal einer dieser server-benachrichtigungs-swatch-gurus anbieten können, die logs auszuwerten um den cracker zu finden oder um einfach hilfe zu leisten.
stattdessen hats den betroffenen nur frustriert.
ich fand den Thread im rootforum auch wenig erbaulich. Klar, die Verantwortung hat der Mieter des Rechners, aber der Gedanke selber so einen Rechner zu bertreiben und dann eines Tages eine Rechnug über mehrere Tausend Euro zu erhalten ist doch wennig erfreulich. Und 100% sicher kann man ja wohl nie sein, da jedes System seine Schwachstellen hat...
Wieso sollen Packetfilter sinnlos sein?
Wieso sollen Packetfilter sinnlos sein?
Programmer: A biological machine designed to convert caffeine into code.
xmpp:bert@debianforum.de
xmpp:bert@debianforum.de
-
- Beiträge: 24
- Registriert: 12.01.2003 19:33:54
Dieser Thread im Rootforum hat wieder mein (vermeintliches) Vorurteil bestätigt:
Der Ton und die Hilfsbereitschaft (und somit die Athmosphäre) von debianforum.de ist viel angenehmer als die vom rootforum.de .
Wenn ich hier zu einem Thema, zu dem ich mich noch nicht auskenne ein paar Nachfragen stelle, wird mir weitergeholfen, nett auf links, howtos oder tipps verwiesen und nicht wie oft beim rootforum geschehen auf "READ THE FUCKING MANUAL", begleitet von ein paar abfälligen arroganten Sprüchen und hochnäsigen Kommentaren verwiesen.
FAZIT: debianforum.de mitsamt den toleranten, hilfsbereiten und lockeren usern, bleibt so, wie Ihr seid;
rootforum.de - User: wenn Ihr das liest, nehmt es nicht zu ernst, ich provoziere ein bißchen, einfach auch um die Diskussion anzustossen und das debianforum zu loben. Auch ich bin unter anderem rootforum.de User.
Gruß,
LMH
Der Ton und die Hilfsbereitschaft (und somit die Athmosphäre) von debianforum.de ist viel angenehmer als die vom rootforum.de .
Wenn ich hier zu einem Thema, zu dem ich mich noch nicht auskenne ein paar Nachfragen stelle, wird mir weitergeholfen, nett auf links, howtos oder tipps verwiesen und nicht wie oft beim rootforum geschehen auf "READ THE FUCKING MANUAL", begleitet von ein paar abfälligen arroganten Sprüchen und hochnäsigen Kommentaren verwiesen.
FAZIT: debianforum.de mitsamt den toleranten, hilfsbereiten und lockeren usern, bleibt so, wie Ihr seid;
rootforum.de - User: wenn Ihr das liest, nehmt es nicht zu ernst, ich provoziere ein bißchen, einfach auch um die Diskussion anzustossen und das debianforum zu loben. Auch ich bin unter anderem rootforum.de User.
Gruß,
LMH
Tja, das sich neben den hilfreichen bzw. klarstellenden Antworten dann Trittbrettfahrer einschleichen, die einfach nur draufhauen, ist leider sehr schade - aber wohl nirgends zu vermeiden
Genauso wie in diesem Thread, bei dem es eigentlich um etwas ganz anderes ging und der dann von einigen zu einer Generelabrechnung genutzt werden sollte - aber bitte, sowas ist nunmal nicht vermeidbar und es gibt durchaus berechtigte Kritikpunkte, keine Frage
Wer vor ähnlichen Problemen Angst hat, dem empfehle ich, sich mit seinem Provider zusammenzusetzen. Ich weiss nicht mehr genau den Begründungsweg, aber IMHO sind die Provider von solchen Servern (1und1, S4F, Hetzner, usw.) dazu verpflichtet, auf ausdrücklichen Kundenwunsch den Traffik ab einer gewissen Menge zu blocken. Bei 1und1 reicht ein FAX...
Ein Paketfilter (das was hier als Firewall bezeichnet wird) kann eine unterstützende Maßnahme sein - die jedoch bei gut konfigurierten Systemen auf dedizierten Servern keine allzugroße Sicherheitsverbesserung bringen kann... wie denn auch? Lauscht auf einem Port kein Dienst, gibt's keine Einfallstür. Lauscht dort einer, dann sollte der selbstverständlich von außen erreichbar sein und damit dieser Port im Paketfilter offen sein.
Wesentlich größere Probleme machen die Dienste an sich und die darauf aufbauenden Programme und Skripte, d.h. z.B. ist seit Mitte Januar bekannt, dass viele GameServer absolute Sicherheitsrisiken sind, stand lange bei heise. Diese Löcher können nicht durch Paketfilter gestopft werden - da hilft nur runterfahren und warten, bis die Programmierer entscheidend nachgebessert haben.
Ebenso risikoreich sind unsichere PHP-Skripte (Uploads usw.), sowie natürlich alle anderen Arten von Skripten, die auf dem Server z.B. auf Webspace durch Dritte plaziert werden können. Dazu z.B. Stichwort suexec.
Sodala, langer Text, aber so ganz unkommentiert wollte ich das dann doch nicht lassen
Grüßle
Olfi
Genauso wie in diesem Thread, bei dem es eigentlich um etwas ganz anderes ging und der dann von einigen zu einer Generelabrechnung genutzt werden sollte - aber bitte, sowas ist nunmal nicht vermeidbar und es gibt durchaus berechtigte Kritikpunkte, keine Frage
Wer vor ähnlichen Problemen Angst hat, dem empfehle ich, sich mit seinem Provider zusammenzusetzen. Ich weiss nicht mehr genau den Begründungsweg, aber IMHO sind die Provider von solchen Servern (1und1, S4F, Hetzner, usw.) dazu verpflichtet, auf ausdrücklichen Kundenwunsch den Traffik ab einer gewissen Menge zu blocken. Bei 1und1 reicht ein FAX...
Ein Paketfilter (das was hier als Firewall bezeichnet wird) kann eine unterstützende Maßnahme sein - die jedoch bei gut konfigurierten Systemen auf dedizierten Servern keine allzugroße Sicherheitsverbesserung bringen kann... wie denn auch? Lauscht auf einem Port kein Dienst, gibt's keine Einfallstür. Lauscht dort einer, dann sollte der selbstverständlich von außen erreichbar sein und damit dieser Port im Paketfilter offen sein.
Wesentlich größere Probleme machen die Dienste an sich und die darauf aufbauenden Programme und Skripte, d.h. z.B. ist seit Mitte Januar bekannt, dass viele GameServer absolute Sicherheitsrisiken sind, stand lange bei heise. Diese Löcher können nicht durch Paketfilter gestopft werden - da hilft nur runterfahren und warten, bis die Programmierer entscheidend nachgebessert haben.
Ebenso risikoreich sind unsichere PHP-Skripte (Uploads usw.), sowie natürlich alle anderen Arten von Skripten, die auf dem Server z.B. auf Webspace durch Dritte plaziert werden können. Dazu z.B. Stichwort suexec.
Sodala, langer Text, aber so ganz unkommentiert wollte ich das dann doch nicht lassen
Grüßle
Olfi
ja, ´ne trafficsperre wäre auch das erste was ich einrichten würde. und zwar einmal mit script (oder nur vorwarnung) und einmal durch den provider <- das ist das wichtigste, denn der will ja das geld haben.
zum firewall:
auf einem server lässt ich ja nun nicht so prima ein firewall einrichten. vielleicht liegts daran, dass es ein server ist
aber vielleicht könnte man mittels iptables den server dazu überreden nicht auf jedem ping jedes ports eine antwort zu liefern. soll ja für diverse sachen ganz hilfreich sein.
viele haben ja auch noch telnet auf ihrer kiste laufen. finde ich irgendwie nicht so prickelnd.
zum firewall:
auf einem server lässt ich ja nun nicht so prima ein firewall einrichten. vielleicht liegts daran, dass es ein server ist
aber vielleicht könnte man mittels iptables den server dazu überreden nicht auf jedem ping jedes ports eine antwort zu liefern. soll ja für diverse sachen ganz hilfreich sein.
viele haben ja auch noch telnet auf ihrer kiste laufen. finde ich irgendwie nicht so prickelnd.
Sogar wenn das Thema schon x mal diskutiert wurde. (ist mir auch schon min. 2mal passiert )syscologne hat geschrieben:Wenn ich hier zu einem Thema, zu dem ich mich noch nicht auskenne ein paar Nachfragen stelle, wird mir weitergeholfen, nett auf links, howtos oder tipps verwiesen und nicht wie oft beim rootforum geschehen auf "READ THE FUCKING MANUAL", begleitet von ein paar abfälligen arroganten Sprüchen und hochnäsigen Kommentaren verwiesen.
Zu dem Beitrag aus dem anderen Forum kann ich leider aber trotzdem auch nur sagen: Selber schuld.
Wenn ich einen Server im Internet betreibe muss es mein Ziel sein, den möglichst dicht zu ziehen. Soll heissen: alle nicht benötigten Dienste deaktivieren, "von mir"-benötigte Dienste zu sichern, zB ssh authorisierung nicht über passwort, sondern über RSA/DSA Keys oder noch besser: one-time-passwords, bei den öffendlich angebotenen Diensten sollte man dann immer auf die aktuallität der Software achten.
Zusätzlich würde ich noch iptables installieren, kann ja nicht schaden
Was ich allerdings nicht verstehe, ist warum er eine "vorgeschaltete" Firewall fordert:
1. Fall: keine Firewall: User beschwert sich weil durch seine Falschkonfiguration der Server "gehackt" wurde.
2. Fall: $PROVIDER installiert Firewall: User beschwert sich, das die von ihm angebotene Dienste u.U. nicht freigeschaltet sind.
wie mans macht, $PROVIDER ist der böse.
Zuletzt geändert von schoppi am 27.02.2003 23:33:45, insgesamt 1-mal geändert.
Gut, für ein einzelnes System (ohne Netz dahinter) bringt eine Firewall nicht viel, vorrausgesetzt, das System ist ordentlich eingerichtet. Hab sowas noch nicht gemacht, bei mir hängen/hingen dahinter eigentlich immer Netze, die zu schützen waren.
Ich dachte immer ICMP hat keine Ports?trozmo hat geschrieben:aber vielleicht könnte man mittels iptables den server dazu überreden nicht auf jedem ping jedes ports eine antwort zu liefern. soll ja für diverse sachen ganz hilfreich sein.
Programmer: A biological machine designed to convert caffeine into code.
xmpp:bert@debianforum.de
xmpp:bert@debianforum.de
Hat es auch nicht, weil es auf einer anderen Schicht arbeitet. ICMP kann trotzdem durch Paketfilter wie iptables abgefangen werden... wobei sich der ICMP-Schaden an Servern IMHO hauptsächlich in Traffik durch Pingfloods äußert - und genau darauf hat ein Paketfilter auf dem angegriffenen Rechner wiederum keine AuswirkugenBert hat geschrieben:Ich dachte immer ICMP hat keine Ports?
Grüßle
Olfi
Das kommt darauf an ... der Traffic ist ja sicher nicht entstanden, weil ganz viele Leute nur auf den Server zugegriffen haben, sondern weil jemand darauf Daten angeboten hat, worauf die Leute zugegriffen haben.olfi hat geschrieben:Nein, das hätte nicht geholfen.suntsu hat geschrieben:Hätte es ihm geholfen wenn er eine "normale" ip-tables Firewall auf dem Rechner gehabt hätte, oder sollte die auf einem eigenen Rechner laufen?
Der Grund ist einfach:
Jeglicher Paketfilter arbeitet im Kernel des Systems, auf dem er installiert ist, d.h. der Traffik hat da bereits den Switch (der loggt) passiert und kann nicht mehr verhindert werden
Daher bringen bei dedizierten, direkt ans Internet angeschlossenen Server Paketfilter so gut wie gar nichts...
Grüßle
Olfi
Diese Daten müssen ja auf den Server gekommen sein und dabei kann ein packetfilter schonmal ein Glied in ner Kette von Sicherheitsmaßnahmen sein. Sicherlich nicht, wenn einfach der FTP Zugang per Brute-Force geknackt wurde, da sag ich nur selber schuld, dass muß einem nicht passieren. Aber den Zugriff auf den rechner kann man sich auch noch anderst erschleichen und da kann ein Paketfilter zumindest eine teilweise abhilfe sein.
Um so etwas zu vermeiden, hätte es nichtmal einer Kontrolle des Traffics bedarft, es hätte gereicht zu kontrollieren ob der festplattenplatz rapide abgenommen hat. Bei einem solchen Traffic muß einiges an Daten auf dem Server gelegen haben, einem aufmerksammen root sollte auffallen, wenn auf einem Game und Webserver plötzlich der Plattenplatz rapide in die Knie geht.
Ich würde jedem empfehlen, bei einem Provider immer eine Traffic Obergrenze setzten zu lassen, diese lieber niedrig wählen, kommt man "selbst" an die Grenze ist zur Erhöhng nur nen Telefonanruf oder ein fax nötig. Selbst den Traffic messen, dies ist zwar nicht so genau aber es liefert einen ersten Anhaltspunkt. Und um den Missbrauch als Downloadserver zu unterbinden, Plattenplatz kontrollieren, solange ihr nicht massenhaft "virtual hosting" betreibt, wisst ihr ja so ungefähr was auf eurer Kiste liegt. Außerdem empfehle ich dringend sich mit Tools ala Tripwire zu beschäftigen und bei einem öffentlichen Webserver sollte chroot kein Fremdwort für mich sein. Außerdem sollte ich jedes noch so kleine Programm auf meinem Rechner kennen und genau wissen was es tut, wenn ich das nicht weiß, hat es keine daseinsberechtigung. Und das allerwichtigste, regelmäßig security meldungen lesen und entsprechende Updates durchführen!
Wenn jemand dies alles beherzigt und der Server trotzdem geknackt wird, dann tut er mir echt leid, wenn jemand sowas aber völlig wurscht ist, dann sollte er keinen dedizierten Server betreiben!