Am 2005-07-31 12:08:54, schrieb Andreas Appenheimer:
> Moin Michelle,
>
> >> [..] php-Forum von einem meiner Kunden
> >>gehackt wurde und der Angreifer es geschafft ein rootkit zu installieren.
> > C'est la vie!
> :)
>
> >>Frage(n):
> >>* Wie gefährlich sind diese Attacken wirklich?
> > Ich habe pro Tag 5-200 Dictionary Attacken auf meinen SSH.
> > Seit gut 1 1/2 Jahren. Mittlerweile ignoriere ich sie.
> > Und damit meine Syslog nicht eplodiert und unübersichtlich
> > wird, habe ich für den sshd einen eigene logdatei angelegt.
>
> Gut.. bis zum o.g. Einbruch habe ich es ähnlich betrachtet. Doch ich
> denke, ich werde da dann mal wieder etwas mehr Gelassenheit üben :-)
>
> Du hattest doch solch Server zu administreiren mit >17.000 Usern oder so?
1) Mailserver: 17.000 Mail ONLY User
2) VServer: 4800 VHosts jeder zugriff ausschließlich
per 'ssh' und 'scp'
Meine $USER waren garnicht so über 'ssh' und 'scp' erbaut, nur
nachem ich ihnen mal ne 100.000 kByte große sshd.log und proftpd.log
zugesand hatte hatten sie ihre Meinung geändert...
> Dieser Ansatz gefällt mir!
> Auch, das Du nicht sofort an den ISP meldest.
Nur funktioniert leider mein Script nicht so wie ich will,
weil irgendwas im programaufruf in der /etc/hosts.allow nicht stimmt
Der syntax oben ist übrigends aus der manpage.
Aber er fabriziert einen Fehler...
> :-) auch aus der alten Zeit übrig "geblieben"?
Ich hatte mir aus dieversen newsgroups rootkits besorgt...
Bei einem Angriff hatte ich ein Script, das automatisch die angreifende
IP attackiert und die Workststion bzw den Server disabled. :-D
> Je weniger technisches Verständnis vorhanden ist, desto größer die
> Empörung. Nach 'nem Telefonat ist das allerdings schnell geklärt.
Wie bei mir mit 'ssh' und 'scp'.
Vor allem das die nun Passwörter mit mehr als 16 Zeichen eingeben
müssen nervt sie. Einige Windows Programme können das nicht !!!
> Ich verweise in den Fällen "Dann geh' ich eben zu 'nem anderen
> Provider!" auf die AGBs der jeweiligen, worin verschiedene Passi stehen,
> die auf die Verantwortlichkeit über verwendete Perl/PHP-Skripte
> hingewiesen wird. Danach sind Kunden idR. wieder friedlich.
:-)
> Das "Problem" PHP ist damit allerdings auch noch nicht gelöst :-/
:-(
> Gruß
> Andreas
Greetings
Michelle
--
Linux-User #280138 with the Linux Counter, http://counter.li.org/
Michelle Konzack Apt. 917 ICQ #328449886
50, rue de Soultz MSM LinuxMichi
0033/3/88452356 67100 Strasbourg/France IRC #Debian (irc.icq.com)
Attachment:
signature.pgp
Description: Digital signature