Re: Angriff auf server - alles dicht?
On 23.12.05 12:25:49, Gerhard Gaussling wrote:
> ich habe einen debian sarge server mit gepatchtem awstats 6.4, dass ich
> durch .htacess vor unerlaubtem Zugriff schütze. Ich bekomme des öfteren
> Meldungen wie diese, da war glaube ich auch mal ein linux-wurm dabei.
404 und 401 sind ja nur Meldungen deines Servers, dass die Seiten nicht
gefunden wurden. Solange nicht jemand versucht damit ne DOS-Attacke zu
fahren...
> Daneben gibt es die üblichen ssh Angriffe, mitden blödsinnigsten
> Benutzernamen. Root darf sich nicht anmelden, das läuft über sudo/su.
> Wie habt ihr euren server abgesichert?
Gegen das ssh-Anklopfen hilft den sshd auf nen anderen Port umzuziehen.
Das ist genauso sicher/unsicher wie auf Port22 aber das Log wird nicht
so zugeschuettet mit den ollen Script-Einbruchsversuchen...
Ansonsten laeuft bei mir logwatch und ausser sshd momentan eh nichts
weiter auf dem externen NIC. Demnaechst wird Apache angeschaltet, fuers
erste wohl nur fuer ein Subversion-Repository. Da wirds dann nur https
geben und Zugriff ueber Login.
> Ich benutze logcheck - filtern geht hier nicht,
logcheck produziert mir zuviel Output, da finde ich logwatch besser. Da
sieht man immernoch Unregelmaessigkeiten, denke ich, und kann dann bei
Bedarf direkt die Logdateien lesen. Beim logcheck-Output weiss ich das
ich das nicht lange mitmache den jeden Tag zu lesen...
> Womit untersucht ihr, ob der server noch "clean" ist?
Bisher gar nicht. Man koennte wohl vllt. so ein checkrootkit-Dingens
laufen lassen, mal schauen..
Andreas
--
You prefer the company of the opposite sex, but are well liked by your own.
Reply to: