# gehackt ?



## mike1970 (22. Nov. 2012)

hilfe... ich glaube das stimmt was nicht.
ich verwende ispconfig 3.0.4.6 und habe soeben von hetzner eine mail bekommen das eine abuse anfrage von paypal co.uk gekommen ist.

es waren 52850 mails in der mailq.
habe nun den postfix vorerst abgedreht um schlimmeres zu verhindern. die mailq hab ich gelöscht, im postfix hab ich recipent an paypal.co.uk mit REJECT (hoffentlich) abgedreht.

wie kann ich nun feststellen was passiert ist ?
welche logs werden benötigt ?

lg

mike

EDIT: sobald ich postfix wieder aktiviere habe ich im netstat -a jede menge verbindungen auf smtp .. 



> tcp        0      0 defcontrol.com:smtp     lbn-247-97.tm.net:49763 ESTABLISHED
> tcp        0      0 defcontrol.com:smtp     lbn-247-97.tm.net:49631 ESTABLISHED
> tcp        0      0 defcontrol.com:smtp     lbn-247-97.tm.net:49787 ESTABLISHED
> tcp        0      0 defcontrol.com:smtp     lbn-247-97.tm.net:49673 ESTABLISHED
> ...


die gespamte mail adresse laut info von hetzner war service AFFE paypal co uk


----------



## nowayback (22. Nov. 2012)

Hi,

ich glaube kaum das sich jemand die Arbeit machen möchte und das alles für dich analysieren wird, aber es wäre schon interessant zu wissen wie oder wodurch dein System "gehackt" wurde.

Als erstes solltest du das System vom Netz nehmen und nur interne Verbindungen erlauben, sodass keine Verbindungen mit "außen" bestehen. Damit du dann dein System trotzdem administrieren kannst, wäre KVM oder sowas in der Art hilfreich. Danach kannste dich an die Logfiles machen.

Du kannst dir dazu eigentlich alle Logfiles anschauen die irgendwie was damit zutun haben:
/var/log/mail.log
/var/log/mail.err
/var/log/syslog
/var/log/other-vhosts.log
/var/log/ispconfig/httpd/*
...
(Diese Liste ist nicht vollständig  )

Schau nach über welches Konto die Mails verschickt wurden, wenn es ein Kundenaccount ist, dann informiere den Kunden, wenn es einer von dir ist, denke nach ob und wo du dieses Passwort noch verwendet hast. Ändere ggf. alle betreffenden Passwörter. Such nach Rootkits und andere Auffälligkeiten. Sollte das Passwort den gängigen Regeln entsprechen und nicht durch einen Brute-Force Angriff geknackt worden sein, könnte auch ein Trojaner auf deinem Heim-PC in Frage kommen... 

In jedem Fall hast du nun viel Arbeit vor dir 

Grüße
nwb


----------



## mike1970 (22. Nov. 2012)

Zitat von nowayback:


> Hi,
> 
> ich glaube kaum das sich jemand die Arbeit machen möchte und das alles für dich analysieren wird, aber es wäre schon interessant zu wissen wie oder wodurch dein System "gehackt" wurde.
> 
> ...


danke mal für die antwort.

kunden accounts gibts nur mich 
wie finde ich heraus über welche mail adresse das ausgelöst wurde ?
rootkits wurden keine gefunden 
trojaner am pc schliesse ich aus .. 


syslog die einträge schaun so aus

Nov 22 06:26:10 defcontrol postfix/smtp[12214]: 08F221CE573A: to=<info@osw.org.uk>, relay=none, delay=68935, delays=68913/22/0.12/0, dsn=4.4.1, status=deferred (connect to mail.osw.org.uk[216.92.160.80]:25: Connection refused)
Nov 22 06:26:10 defcontrol postfix/smtp[12075]: 339F11CEFAEF: to=<service@paypal.co.uk>, relay=data.ebay.com[216.113.167.215]:25, conn_use=13, delay=300357, delays=298835/1521/0.87/0.43, dsn=4.0.0, status=deferred (host data.ebay.com[216.113.167.215] said: 452 Too many recipients received this hour (in reply to RCPT TO command))
Nov 22 06:26:10 defcontrol postfix/smtp[11647]: 35C791CE6B44: to=<service@paypal.co.uk>, relay=data.ebay.com[216.113.167.215]:25, delay=142806, delays=141284/1521/1.4/0, dsn=4.0.0, status=deferred (host data.ebay.com[216.113.167.215] refused to talk to me: 421 #4.4.5 Too many connections from your host.)
Nov 22 06:26:10 defcontrol postfix/smtp[11579]: 0D4BE1CE9DB5: host mail01.nspcc.org.uk[94.31.13.7] refused to talk to me: 554 n-pdc-mail-01.net.nspcc.org.uk
Nov 22 06:26:10 defcontrol postfix/smtp[11604]: 392981CE1DD3: to=<service@paypal.co.uk>, relay=gort.ebay.com[216.113.167.215]:25, delay=240014, delays=238492/1522/1.2/0, dsn=4.0.0, status=deferred (host gort.ebay.com[216.113.167.215] refused to talk to me: 421 #4.4.5 Too many connections from your host.)
Nov 22 06:26:10 defcontrol postfix/smtp[12063]: connect to theAteam.com[208.87.35.108]:25: Connection refused
Nov 22 06:26:10 defcontrol postfix/smtp[11805]: 308A51CE81FB: host gort.ebay.com[216.113.167.215] said: 452 Too many recipients received this hour (in reply to RCPT TO command)
Nov 22 06:26:10 defcontrol postfix/smtp[16894]: 302C31CEB2B6: to=<service@paypal.co.uk>, relay=gort.ebay.com[216.113.167.215]:25, delay=66935, delays=65412/1521/1.4/0, dsn=4.0.0, status=deferred (host gort.ebay.com[216.113.167.215] refused to talk to me: 421 #4.4.5 Too many connections from your host.)

davon extrem viele

mail.log


Nov 18 06:29:14 defcontrol postfix/qmgr[7336]: E1AB11CECFB0: to=<service@paypal.co.uk>, relay=none, delay=12291, delays=10583/1708/0/0, dsn=4.3.0, status=deferred (unknown mail transport error)
Nov 18 06:29:14 defcontrol postfix/smtpd[1319]: disconnect from www.airaltay.ru[83.246.139.236]
Nov 18 06:29:14 defcontrol postfix/qmgr[7336]: E7BC81CEC701: to=<service@paypal.co.uk>, relay=none, delay=159878, delays=158170/1709/0/0, dsn=4.3.0, status=deferred (unknown mail transport error)
Nov 18 06:29:14 defcontrol postfix/qmgr[7336]: EAC971CEC6A0: to=<service@paypal.co.uk>, relay=none, delay=160014, delays=158306/1709/0/0, dsn=4.3.0, status=deferred (unknown mail transport error)
Nov 18 06:29:14 defcontrol postfix/qmgr[7336]: E0B141CE32C3: to=<service@paypal.co.uk>, relay=none, delay=309161, delays=307453/1709/0/0, dsn=4.3.0, status=deferred (unknown mail transport error)
Nov 18 06:29:14 defcontrol postfix/qmgr[7336]: E30221CEBC4B: to=<service@paypal.co.uk>, relay=none, delay=167743, delays=166035/1709/0/0, dsn=4.3.0, status=deferred (unknown mail transport error)
Nov 18 06:29:14 defcontrol postfix/qmgr[7336]: EA9361CE7392: to=<service@paypal.co.uk>, relay=none, delay=260556, delays=258848/1709/0/0, dsn=4.3.0, status=deferred (unknown mail transport error)
Nov 18 06:29:14 defcontrol postfix/qmgr[7336]: E06F81CEBAEE: to=<service@paypal.co.uk>, relay=none, delay=168123, delays=166415/1709/0/0, dsn=4.3.0, status=deferred (unknown mail transport error)
Nov 18 06:29:14 defcontrol postfix/qmgr[7336]: E4A3B1CE5D76: to=<service@paypal.co.uk>, relay=none, delay=96393, delays=94684/1709/0/0, dsn=4.3.0, status=deferred (unknown mail transport error)

usw.


----------



## Till (22. Nov. 2012)

Poste bitte mal Deine /etc/postfix/main.cf Datei und teste ob Dein Server ein offenes Relay ist:

Mail relay testing

Es wäre interessant die Mail Header der mails in der queue zu analysieren, an den Inhalt kommst Du mit dem Befehl postcat heran. Beispiel:

postcat /var/spool/postfix/deferred/E/E06F81CEBAEE

Wobei es sich beim vorletzten Verzeichnis im Pfad um den ersten Buchstaben der mail ID handelt und dann kommt als Dateiname nochmal die komplette mailid so wie sie im log bzw. in der mailqueue steht.


----------



## mike1970 (22. Nov. 2012)

> *220 server.defcontrol.com ESMTP Postfix (Debian/GNU)*
> 
> 
> Test             Result             SMTP Transaction Time             0.858 seconds - Good on Transaction Time                                   Session Transcript:
> ...


mail relay hab ich anfangs schon überprüft das scheint ok zu sein .. die log datei ist wahnsinnig gross .. ich lege eine neue an um frische daten zu bekommen .. ich poste das ergebnis dann ..



> readme_directory = /usr/share/doc/postfix
> 
> # TLS parameters
> smtpd_tls_cert_file = /etc/postfix/smtpd.cert
> ...


----------



## mike1970 (22. Nov. 2012)

mail.warn



> Nov 22 16:48:46 server postfix/smtpd[23542]: fatal: no SASL authentication mechanisms
> Nov  22 16:48:46 server postfix/smtpd[23543]: warning: Connection  concurrency limit exceeded: 51 from lbn-247-97.tm.net.my[219.92.247.97]  for service smtp
> Nov 22 16:48:46 server postfix/smtpd[23543]:  warning: Connection concurrency limit exceeded: 51 from  lbn-247-97.tm.net.my[219.92.247.97] for service smtp
> Nov 22 16:48:46  server postfix/smtpd[23543]: warning: Connection concurrency limit  exceeded: 51 from lbn-247-97.tm.net.my[219.92.247.97] for service smtp
> ...


was ich noch gefunden habe .. 



> Nov 22 15:37:05 server postfix/master[2192]: warning: process /usr/lib/postfix/smtp pid 2333 exit status 1
> Nov 22 15:37:06 server postfix/qmgr[2729]: warning: private/smtp socket: malformed response
> Nov  22 15:37:06 server postfix/qmgr[2729]: warning: transport smtp failure  -- see a previous warning/fatal/panic logfile record for the problem  description
> Nov 22 15:37:06 server postfix/error[3145]: warning: connect to mysql server 127.0.0.1: Too many connections
> ...


----------



## F4RR3LL (22. Nov. 2012)

Ohne jetzt die Logs genauer gelesen zu haben. Sind php Seiten auf dem Server. Wie sind die eingebunden. Veraltete CMS, veraltetes Roundcube, exec in /tmp erlaubt usw usw.... mir fallen grade alleine im Webserverbereich x Einfallstore ein.
Ist der Server aktuell, alle Pakete aktuell. Etc etc.... sowas genau zu analysieren dürfte den Rahmen hier glatt sprengen. 

Gruß Sven


----------



## mike1970 (22. Nov. 2012)

der server ansich ist frisch installiert (ca. 4 wochen)
es läuft natürlich der indianer und auf 2 webseiten sind CMS installiert.

Wordpress 3.4.2 ist hier etwas bekannt ?

kann ich mit ispconfig 3.0.4.6 den server selber gefahrlos updaten ohne ispconfig selber ändern zu müssen ?


----------



## F4RR3LL (22. Nov. 2012)

Zitat von mike1970:


> kann ich mit ispconfig 3.0.4.6 den server selber gefahrlos updaten ohne ispconfig selber ändern zu müssen ?


Ja natürlich ... ispconfig selber ... hm das sind im Prinzip nur die Configs...

Gruß Sven


----------



## mike1970 (23. Nov. 2012)

updates habe ich jetzt installiert, mal schaun ...


----------



## Till (23. Nov. 2012)

Die postfix main.cf sieht soweit ok aus. Versuch mal bitte an den Inhalt einer Mail mit postcat ran zu kommen, denn in den mail headern kann man wahrscheinlich sehen ob sie über php versendet wurde.

Des weiteren ändere bitte mal die Passworte Deiner mailkonten, es kann sein dass jemand wie auch immer an eines Deiner mail Passworte gekommen ist und sich dadurch im postfix zum mailversnad authentifizieren kann.


----------



## mike1970 (23. Nov. 2012)

vorerst vielen dank für eure unterstützung ... seit dem vorfall hab ich einiges getan. zb. die gezippten log files runtergeladen um zu sehen über welchen account das ganze passiert ist .. 

dabei hab ich eine testmail adresse gesehen über diese dürfte das ganze passiert sein. das kann ich mir auch gut vorstellen, denn bei der mail adresse hatte ich ein ganz einfach passwort. diesen account hab ich gelöscht. 

dann auf euren rat hab ich ein update gemacht bei dem 17 pakete betroffen waren, darunter auch der postfix.

bis jetzt ist ruhe im gebüsch, keine weiteren abuse meldungen mehr. die mailq ist "normal".

fail2ban hab ich jetzt mit 1 try eingestellt, bantime hab ich 84600 eingestellt.

zwei fragen hätt ich jetzt noch.

1.) fail2ban ohne timeout, ist das möglich ? gebannt soll gebannt bleiben!
2.) mit iptables kann ich immer nur eine ip sperren, wie kann ich mehrere ip`s mittels iptables sperren?

habe bis jetzt immer das hier verwendet :
iptables -A INPUT -p ALL -s xx.xx.xx.xx -j REJECT

jedoch überschreibt mir der befehl immer die letzte eingabe .. 

lg
mike


----------



## Brainfood (27. Nov. 2012)

*save the server*

Was ich dir so generell empfehlen könnte:



- aktuelle Systemversionen benutzen z.B. Debian 6.0.6
- aller 2-3 Tage mal ein apt-get update/upgrade durchführen
- ISPConfig3 Firewall aktivieren
- sofern IPv6 im Einsatz ist ... IPv6 Firewallregelsatz benutzen
- Dienste mit sowenig Aussagekraft wie möglich einstellen: Postfix mit "*smtpd_banner = $myhostname ESMTP*" Apache antwortet mit "*ServerTokens Prod*" BIND mit *version "BIND Server";* etc.
- SSH Root deaktivieren (sshd_config) mit "*PermitRootLogin no*"
- deine Leute sollen "gute" Passwörter verwenden
- alle Dienste nur per SSL/TLS verwenden, CMS & Co. Anmeldungen auf https umleiten
- SSL Strong Ciphers Encryption benutzen
- SSH Jails installieren
- vnstat zur täglichen traffic auswerten per mail schicken lassen, dann siehst du traffic peaks die dir ungewöhnlich erscheinen
- MySQL Fernzugriff deaktiveren, sofern du kein Multiserver-Setup verwendest
- PHPMyAdmin Root-Zugriff deaktivieren config.inc.php "*$cfg['Servers'][$i]['AllowRoot'] = FALSE;*"
- DNS TXT / SPF Einträge verwenden
- Postfix Client Reject DNS Listen verwenden main.cf "*reject_rbl_client zen.spamhaus.org*" etc.
- ab und an mal nen Nessus Penetrationtest
- täglich mal die Serverlogs durchschauen ... mail.warn / apache error.log etc.
... und natürlich die eingesetzte Websoftware auf den laufenden halten ... Wordpress ist da so ein Kandidat der über Jahre schon Kummer bereitet, Stichwort "*BulletProof Security Addon*"
... usw ...

- wenn du die Möglichkeiten hast, stell dir einen externen syslog server hin und lass dort die logs auswerten


----------



## Brainfood (27. Nov. 2012)

meine fail2ban:

jail.conf


```
# Fail2Ban configuration file.
#
# This file was composed for Debian systems from the original one
#  provided now under /usr/share/doc/fail2ban/examples/jail.conf
#  for additional examples.
#
# To avoid merges during upgrades DO NOT MODIFY THIS FILE
# and rather provide your changes in /etc/fail2ban/jail.local
#
# Author: Yaroslav O. Halchenko <debian@onerussian.com>
#
# $Revision: 281 $
#

# The DEFAULT allows a global definition of the options. They can be override
# in each jail afterwards.

[DEFAULT]

# "ignoreip" can be an IP address, a CIDR mask or a DNS host
# DNS: CCC 213.73.91.35 Tunnelbroker 74.82.42.42 OpenDNS 208.67.222.222 208.67.220.220
# dnscheck.pingdom.com: 176.221.80.21
ignoreip = 127.0.0.1 192.168.250.0/24 176.221.80.21
bantime  = 31536000
maxretry = 5

# "backend" specifies the backend used to get files modification. Available
# options are "gamin", "polling" and "auto".
# yoh: For some reason Debian shipped python-gamin didn't work as expected
#      This issue left ToDo, so polling is default backend for now
backend = polling

#
# Destination email address used solely for the interpolations in
# jail.{conf,local} configuration files.
destemail = unixadmin@domain.tld

#
# ACTIONS
#

# Default banning action (e.g. iptables, iptables-new,
# iptables-multiport, shorewall, etc) It is used to define 
# action_* variables. Can be overriden globally or per 
# section within jail.local file
banaction = iptables-multiport

# email action. Since 0.8.1 upstream fail2ban uses sendmail
# MTA for the mailing. Change mta configuration parameter to mail
# if you want to revert to conventional 'mail'.
mta = sendmail

# Default protocol
protocol = tcp

#
# Action shortcuts. To be used to define action parameter

# The simplest action to take: ban only
action_ = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s]

# ban & send an e-mail with whois report to the destemail.
action_mw = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s]
              %(mta)s-whois[name=%(__name__)s, dest="%(destemail)s", protocol="%(protocol)s]

# ban & send an e-mail with whois report and relevant log lines
# to the destemail.
action_mwl = %(banaction)s[name=%(__name__)s, port="%(port)s", protocol="%(protocol)s]
               %(mta)s-whois-lines[name=%(__name__)s, dest="%(destemail)s", logpath=%(logpath)s]
 
# Choose default action.  To change, just override value of 'action' with the
# interpolation to the chosen action shortcut (e.g.  action_mw, action_mwl, etc) in jail.local
# globally (section [DEFAULT]) or per specific section 
action = %(action_mwl)s

#
# JAILS
#

# Next jails corresponds to the standard configuration in Fail2ban 0.6 which
# was shipped in Debian. Enable any defined here jail by including
#
# [SECTION_NAME] 
# enabled = true

#
# in /etc/fail2ban/jail.local.
#
# Optionally you may override any other parameter (e.g. banaction,
# action, port, logpath, etc) in that section within jail.local

[ssh]

enabled = true
port	= ssh
filter	= sshd
logpath  = /var/log/auth.log
bantime  = 31536000
maxretry = 5

# Generic filter for pam. Has to be used with action which bans all ports
# such as iptables-allports, shorewall
[pam-generic]

enabled = false
# pam-generic filter can be customized to monitor specific subset of 'tty's
filter	= pam-generic
# port actually must be irrelevant but lets leave it all for some possible uses
port = all
banaction = iptables-allports
port     = anyport
logpath  = /var/log/auth.log
maxretry = 6

[xinetd-fail]

enabled   = false
filter    = xinetd-fail
port      = all
banaction = iptables-multiport-log
logpath   = /var/log/daemon.log
maxretry  = 2


[ssh-ddos]

enabled = false
port    = ssh
filter  = sshd-ddos
logpath  = /var/log/auth.log
maxretry = 6

#
# HTTP servers
#

[apache]

enabled = false
port	= http,https
filter	= apache-auth
logpath = /var/log/apache*/*error.log
maxretry = 6

# default action is now multiport, so apache-multiport jail was left
# for compatibility with previous (<0.7.6-2) releases
[apache-multiport]

enabled   = false
port	  = http,https
filter	  = apache-auth
logpath   = /var/log/apache*/*error.log
maxretry  = 6

### ### ### PLITC ### ### ###
[apache-noscript]

enabled = true
port    = http,https
filter  = apache-noscript
logpath = /var/log/apache*/*error.log
maxretry = 5
bantime  = 31536000
### ### ### PLITC ### ### ###

[apache-overflows]

enabled = false
port    = http,https
filter  = apache-overflows
logpath = /var/log/apache*/*error.log
maxretry = 2

#
# FTP servers
#

[vsftpd]

enabled  = false
port	 = ftp,ftp-data,ftps,ftps-data
filter   = vsftpd
logpath  = /var/log/vsftpd.log
# or overwrite it in jails.local to be
# logpath = /var/log/auth.log
# if you want to rely on PAM failed login attempts
# vsftpd's failregex should match both of those formats
maxretry = 6


[proftpd]

enabled  = false
port	 = ftp,ftp-data,ftps,ftps-data
filter   = proftpd
logpath  = /var/log/proftpd/proftpd.log
maxretry = 6


[wuftpd]

enabled  = false
port	 = ftp,ftp-data,ftps,ftps-data
filter   = wuftpd
logpath  = /var/log/auth.log
maxretry = 6


#
# Mail servers
#

[postfix]

### ### ### PLITC ### ### ###
# enabled  = false
# port     = smtp,ssmtp
# filter   = postfix
# logpath  = /var/log/mail.log

enabled  = true
port     = smtp,ssmtp
filter   = postfix
logpath  = /var/log/mail.log
bantime  = 31536000
maxretry = 5

### ### ### PLITC ### ### ###


[couriersmtp]

enabled  = false
port	 = smtp,ssmtp
filter   = couriersmtp
logpath  = /var/log/mail.log


#
# Mail servers authenticators: might be used for smtp,ftp,imap servers, so
# all relevant ports get banned
#

[courierauth]

enabled  = false
port	 = smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s
filter   = courierlogin
logpath  = /var/log/mail.log


[sasl]

enabled  = true
port	 = smtp,ssmtp,imap2,imap3,imaps,pop3,pop3s
filter   = sasl
# You might consider monitoring /var/log/warn.log instead
# if you are running postfix. See http://bugs.debian.org/507990
logpath  = /var/log/mail.warn
bantime  = 31536000
maxretry = 5

# DNS Servers


# These jails block attacks against named (bind9). By default, logging is off
# with bind9 installation. You will need something like this:
#
# logging {
#     channel security_file {
#         file "/var/log/named/security.log" versions 3 size 30m;
#         severity dynamic;
#         print-time yes;
#     };
#     category security {
#         security_file;
#     };
# };
#
# in your named.conf to provide proper logging

# !!! WARNING !!!
#   Since UDP is connectionless protocol, spoofing of IP and immitation
#   of illegal actions is way too simple.  Thus enabling of this filter
#   might provide an easy way for implementing a DoS against a chosen
#   victim. See
#    http://nion.modprobe.de/blog/archives/690-fail2ban-+-dns-fail.html
#   Please DO NOT USE this jail unless you know what you are doing.
#[named-refused-udp]
#
#enabled  = false
#port     = domain,953
#protocol = udp
#filter   = named-refused
#logpath  = /var/log/named/security.log

### ### ### PLITC ### ### ###
[named-refused-udp]

enabled  = true
port     = domain,953
protocol = udp
filter   = named-refused
logpath  = /var/log/bind/named_security.log
bantime  = 31536000
maxretry = 99
### ### ### PLITC ### ### ###

[named-refused-tcp]

enabled  = true
port     = domain,953
protocol = tcp
filter   = named-refused
logpath  = /var/log/bind/named_security.log
bantime  = 31536000
maxretry = 25

# EOF
```


----------



## Brainfood (27. Nov. 2012)

*jail.local*

jail.local


```
[pureftpd]

enabled  = true
port     = ftp
filter   = pureftpd
logpath  = /var/log/syslog
bantime  = 31536000
maxretry = 10


[dovecot-pop3imap]

enabled = true
filter = dovecot-pop3imap
action = iptables-multiport[name=dovecot-pop3imap, port="pop3,pop3s,imap,imaps", protocol=tcp]
logpath = /var/log/mail.log
bantime  = 31536000
maxretry = 10


[roundcube]

enabled = true
port = http,https
filter = roundcube
logpath = /var/log/syslog
bantime  = 31536000
maxretry = 10
```
... sind nur ein paar Anregungen ...

Auch wenn hier einige Leute gerne Drittanbieter Addons wie RoundCube als Addon für ISPConfig hätten, halte ich nichts davon ...

Lieber etwas selbst handanlegen und patchen, denn diese git pull kaspereien ...

Die jüngsten Vorfälle beim FreeBSD Team bestätigen es aufs Neue ... wenn die Entwickler "Ziel" von Attacken werden, reicht ein kompromittierter Developer Account aus ... um hunderten von automatisierten Servern ... schmutzigen Code unterzujubeln ...


----------



## mike1970 (3. Dez. 2012)

Zuerst mal vielen Dank, war jetzt länger nicht in der Lage hier rein zu schauen.
Muss sagen, zum Glück ist seit dem Vorfall wieder Ruhe.
Fail2Ban bannt jeden Tag 4-10 IP`s am häufigsten davon betroffen ist SSH.




Zitat von Brainfood:


> aktuelle Systemversionen benutzen z.B. Debian 6.0.6


Wie oft sollte ich da nachschauen wegen updates ?




Zitat von Brainfood:


> ISPConfig3 Firewall aktivieren


sollte sein ..




Zitat von Brainfood:


> sofern IPv6 im Einsatz ist ... IPv6 Firewallregelsatz benutzen


IPv6 hab ich abgedreht




Zitat von Brainfood:


> Dienste mit sowenig Aussagekraft wie möglich einstellen: Postfix mit "smtpd_banner = $myhostname ESMTP" Apache antwortet mit "ServerTokens Prod" BIND mit version "BIND Server"; etc.


Mit der Info fange ich nichts an 




Zitat von Brainfood:


> SSH Root deaktivieren (sshd_config) mit "PermitRootLogin no"


Ok




Zitat von Brainfood:


> deine Leute sollen "gute" Passwörter verwenden


Das ist halt ein Problem  Werds weiterleiten.




Zitat von Brainfood:


> alle Dienste nur per SSL/TLS verwenden, CMS & Co. Anmeldungen auf https umleiten


Keine Ahnung was meine Jungs da am laufen haben, muss ich mir anschauen.




Zitat von Brainfood:


> SSL Strong Ciphers Encryption benutzen


hmm ? 




Zitat von Brainfood:


> SSH Jails installieren


SSH sollte chrooted sein.




Zitat von Brainfood:


> vnstat zur täglichen traffic auswerten per mail schicken lassen, dann siehst du traffic peaks die dir ungewöhnlich erscheinen


Bekomm ich von Hetzner täglich.




Zitat von Brainfood:


> MySQL Fernzugriff deaktiveren, sofern du kein Multiserver-Setup verwendest


Hab ich nicht, wie prüf ich das ?




Zitat von Brainfood:


> PHPMyAdmin Root-Zugriff deaktivieren config.inc.php "$cfg['Servers'][$i]['AllowRoot'] = FALSE;"


Ok




Zitat von Brainfood:


> DNS TXT / SPF Einträge verwenden


Mein Server verwaltet keinen Zonen.




Zitat von Brainfood:


> Postfix Client Reject DNS Listen verwenden main.cf "reject_rbl_client zen.spamhaus.org" etc.


Wo trag ich das ein ?




Zitat von Brainfood:


> ab und an mal nen Nessus Penetrationtest


Wie was wo ? 




Zitat von Brainfood:


> täglich mal die Serverlogs durchschauen ... mail.warn / apache error.log etc.


Mach ich seit dem Vorfall




Zitat von Brainfood:


> ... und natürlich die eingesetzte Websoftware auf den laufenden halten ... Wordpress ist da so ein Kandidat der über Jahre schon Kummer bereitet, Stichwort "BulletProof Security Addon"


Da sorg ich eh dafür das die Jungs das aktuell halten




Zitat von Brainfood:


> aller 2-3 Tage mal ein apt-get update/upgrade durchführen


Mach ich seit dem Vorfall




Zitat von Brainfood:


> wenn du die Möglichkeiten hast, stell dir einen externen syslog server hin und lass dort die logs auswerten


Nein, diese Möglichkeit hab ich nicht

lg
Mike


----------



## Brainfood (3. Dez. 2012)

Punk 1:

derzeit laufen bei mir 9 Sparc und 3 AMD64 ISPConfig Kisten, im Schnitt bekomme ich ca. 30-50 Fail2Ban Mails am Tag

Punkt 2:

trage dich in die:

Debian Mailing Lists -- Index for debian-security-announce

ein

(der deutsche debian ftp mirror scheint mir gefühlt immer 1 Tag nach jeder Ankündigung die Pakete bereit zu stellen)

Punkt 3:

"Dienste mit sowenig Aussagekraft wie möglich einstellen"

schau dir die Konfigurationen der Dienste im einzelnen an und deaktiviere Hinweise ... die Rückschlüsse auf die verwendete Versionsnummer schließen könnten

z.B Apache antwortet nicht mit Apache/Linux 2.2.16 sondern nur als "Apache"

Punkt 4:

SSL Strong Ciphers Encryption benutzen

siehe dazu: SSL cipher settings - For the good of all of us

die Seite mit den ausführlichen Erklärungen scheint mir jedoch derzeit down zu sein:

such in meinem Müllhaldenblog auf: SBSHosting.biz

nach *SSL Strong Ciphers Encryption*

Punkt 5:

MySQL absichern:

*/etc/mysql/my.cnf*

```
### ### ### PLITC ### ### ###
[B]bind-address          = 127.0.0.1[/B]
### ### ### PLITC ### ### ###
```
sowie in der ISPConfig3 Firewall den TCP/UDP Port 3306 herausnehmen

Punkt 6:

Postfix Client Reject DNS Listen verwenden - sofern du Postfix im Einsatz hast:

*/etc/postfix/main.cf*

```
### ### ### PLITC ### ### ###
smtpd_recipient_restrictions =
        permit_mynetworks,
        permit_sasl_authenticated,
        check_recipient_access mysql:/etc/postfix/mysql-virtual_recipient.cf,
        reject_unauth_destination,
        reject_invalid_hostname,
        reject_non_fqdn_sender,
        reject_non_fqdn_recipient,
        reject_unknown_sender_domain,
        reject_unknown_recipient_domain,
        reject_rbl_client dnsbl.ahbl.org,
        reject_rbl_client cbl.abuseat.org,
        reject_rbl_client dul.dnsbl.sorbs.net,
        reject_rbl_client bl.spamcop.net,
        reject_rbl_client zen.spamhaus.org
###
```
Punkt 7:

Was Nessus anbelangt:

siehe: Nessus Product Overview | Tenable Network Security

für Privatkunden gibts nen kostenlosen Key

Punkt 8:

ne aktuelle Fail2ban Config mit Berücksichtigung der Apache ISPConfig3 error.logs findest du ebenso in meinem wurschtel Blog unter dem Stichwort:

*ISPConfig3 - gute fail2ban jail.conf*

Grüße vom Brain


----------



## mike1970 (5. Dez. 2012)

Das ist ein Kampf 

Die Signatur hab ich jetzt mal so ..


HTTP/1.1 200 OK
Date: Wed, 05 Dec 2012 06:14:44 GMT
Server: Apache
Last-Modified: Wed, 17 Oct 2012 07:20:00 GMT
ETag: "1ce0bdd-b1-4cc3c19374800"
Accept-Ranges: bytes
Content-Length: 177
Vary: Accept-Encoding
Keep-Alive: timeout=15, max=100
Connection: Keep-Alive
Content-Type: text/html

ServerSignature = Off 
und Token auf Prod.

Bevor ich im "security" File die 2 Zeilen umgeändert habe, stand bei Server alles ... also Versionsnummer welches Linux usw.

Das hast gemeint mit der Server Signatur oder ?

wenn ich das mit dem SQL mache bekomme ich das hier
Stopping MySQL database server: mysqld.
Starting MySQL database server: mysqld.
Checking for corrupt, not cleanly closed and upgrade needing tables..

Was nun ?


----------



## Brainfood (12. Dez. 2012)

genau einfach so viele Beschreibungen wie Möglich "deaktivieren" ...

Debian User sind nach wie vor vom SSL/TLS Renegotiation Designbug betroffen ...

im Grunde kannst du derzeit ALLE auf Debian basierenden ISPConfig3 Server die Postfix/Dovecot/Curier-IMAP & Co. im Einsatz haben komplett (mit thc-ssl-dos) DOSn und lahmlegen ...


----------

