Sicherheit: Gibt es Doppellogs?

Hallo, ich fasse mich etwas kürzer wie mein Vorredner. :-) Wie erwähnt ist das Thema Vorratsdatenspeicherung für ISPs relevant. Für die Daten und die Sicherheit der Server ist der Betreiber selbst verantwortlich und sollte natürlich diesbezüglich gewisse Grundlagen mitbringen. Unsere Aufgabe besteht darin die Infrastruktur zu liefern in Form des Servers, Betriebssysteme und der Netzanbindung.

mfg
Bernd

Hi,

@fragesteller: Ich glaube du verwechselst da was ;-) Dieses Vorratsdatenspeichergedönse gilt für Telekom, Arcor und ähnliche. Also die Firmen, die dem Endkunden den Internetzugang anbieten.

OVH wird "vermutlich" schon einiges loggen. Das was die loggen und loggen können, wird Dir aber nicht sehr viel weiter helfen, wenn Du nicht einmal sagen kannst, nach was sie den schauen sollten. "Mein Server ist gehackt worden, könnt ihr mal schauen wer das war?" wird da so nicht funktionieren ;-)

OVH vermietet Dir einen Server. So wie ein Hauseigentümer Dir ein Haus oder eine Wohnung vermietet. Genauso wie bei der Miete eines Grundstücks, einer Wohnung oder eines Hauses, DU derjenige bist, der drauf aufpassen muss, genauso gilt das auch für Server, die man im Internet unterhält. Ob eigene oder gemietete spielt dabei keine Rolle. Natürlich setzt das auch eine gewisse Kompetenz und Fachwissen voraus.

Gleiches Thema anderer Ansatz. Um einen Hack aufzuspüren, bedarf es enorm viel Fingerspitzengefühl und äusserst viel Fachwissen. Die Logs alleine gehören da zu den rudimentären und arbeitserleichternden Grundlagen. Es gibt massig andere Ansätze, wo und wie man ausfindig machen kann, wer hat was wie angegriffen oder geknackt? Und zu welchem Zweck hat er das gemacht. Das jetzt aber auszuführen würde Bücher füllen.

Das wichtigste ist aber, Wenn du nicht vom Fach bist, dann MUSST Du den Server, bei Verdacht auf einen Hack, komplett neu aufsetzen!!!. Verlass dich nicht auf Tools, die Dir empfohlen wurden oder auf Deinen eigenen "Spürsinn". Es gibt genug Möglichkeiten Hintertüren zu verstecken, die erst zu einem bestimmten Ereignis geöffnet werden und Du schon lange nicht mehr dran denkst, dass der Server mal gehackt war.

Nächster Ansatz. Was war denn auf dem Server drauf? Also ich meine jetzt nicht Forum oder Gästebuch oder Blog. Ich meine was für WICHTIGE Daten? Solange Du nicht mit CC Infos gehandelt hast, und sonst keine empfindlichen Userdaten gespeichert hast, ist es doch jetzt eigentlich nur Arbeit, das Teil wieder Neu installiert zum laufen zu bekommen. Ist ärgerlich - Klar. Der, der da auf Deinem Rechner rum gespielt hat, sollte man mal genauer anschauen. Viellleicht hat er noch schlimmeres auf dem Kerbholz. Aber - entschuldige, wenn ich das so salop ausdrücke - den bösen Jungen wird man sicher nicht in den Kerker stecken, weil er dir Dein Blog kaputt gemacht hat.

Noch ein Ansatz: Was hat er denn mit Deinem Server böses angestellt? Hat er versucht beim BND oder bei der CIA einzubrechen? Hat sich der MI5 gemeldet und du musst jetzt Rechenschaft ablegen? Oder ist nur DEINE IP oder Deine Domain blacklisted? Ich tippe mal, dass du einfach nur aus Unwissenheit Panik hast, dass da noch was kommen kann. Ich kann das sogar nachfühlen ;-) Bei dem was man da ständig in den nachrichten hört und liest, da kann man schon Paranoier bekommen. Da wird es sogar mir schlecht, obwohl ich das von aussen betrachten kann. Aber Butter bei de Fische - Eine IP kann man wechseln. Man kann sie aber auch genauso wie eine Domain wieder delisten. Kompetenz und Fachwissen selbstverständlich vorausgesetzt. Also ruhig Blut. Server neu aufsetzen, ein zwei schlaue Bücher über Serveradministration lesen , das gelesene zuhause auf einer Spielkiste üben und gut ist.

Praktischer Hinweis und Aufgabenstellung: Für die Zukunft wäre es sinnvoll, dass du die Logs auf einem 2. Server mitlaufen lässt, oder aber zumindest auf Deinem eigenen Server die Logs zusätzlich in ein zweites Verzeichnis schreiben lässt. Beides, sowohl das Remotelogging, als auch das lokale Backuplogging lässt sich mit nur wenigen Handgriffen einstellen. Man braucht dazu auch keine weitere Software und muss nichts nachinstallieren. syslogd und / oder syslog-ng werden von Haus aus installiert und müssen lediglich ein bisschen angepasst werden.

Beim Remotelogging müsste der Hacker auch den zweiten Server hacken, um seine Spuren zu verwischen. Und beim Backuplogging müsste er sich die Konfiguration vom syslog genauer anschauen, um zu sehen dass da noch ein zweites log geschrieben wird. Ich habe allerdings noch nie gehört, dass ein Hacker so gewissenhaft war ;-) Das meiste passiert ohnehin mit Skripten, die nachgeladen und installiert werden. So sollte diese Lösung zu 95% sicher sein.

So, das sollte fürs erste einmal reichen :-)

Ich habe in diesem Post ja immer von "dir" gesprochen. Zeig auch Deinem Bekannten das Posting. Und die Frage sollte nicht sein, ob OVH mitloggt oder nicht. Sondern, ob du in der Lage bist - egal bei welchem Provider - einen Server zu verwalten.

Habe fertig ...

Hallo Leute, danke für die Antworten.
Im Grunde habt ihr natürlich recht, man ist selbst verantwortlich und muss daher auch selber absichern soweit wie möglich.

Aber trotzdem mal prinzipiell:
Wird OVH Anfang 2008 nicht durch das Vorratsdatenspeicherungsgesetz gesetzlich verpflichtet "jeden Furz" mitzuloggen?

shell_exec ; exec und noch einige weitere
sollten Theoretisch sofort in der ini deaktiviert werden

Hallo,

wie F4RR3LL schon geschrieben hat gibt es in der Hinsicht keine Doppellogs. Die Router loggen schon das eine oder andere mit, blos dann handelt es sich um schwerwiegende Sachen wie versuchte DDoS oder ARP-Spoofing.
Wenn man wirklich professionell vorgeht, z.B. mit seinem Server Geld verdient wie durch Betrieb eines Onlineshops, der hat mindestens 2 Server und versendet die Logs auf diesen 2. Server...

Was das hacken eines Servers angeht, hat F4RR3LL nicht ganz unrecht. Die erfolgreiche Kompromittierung eines Servers findet kaum bis sehr sehr ... sehr seltend per SSHd statt, sondern:

• Buggy PHP / CGI Skripte
• Datei- / Verzeichnis- / Userrechte falsch gesetzt

Am schlimmsten ist es, wenn man in den Verzeichnisses /var/tmp oder /tmp Dateien ausführen kann bei global gesetzten Schreib-/ Ausführungsrechten...

Bei PHP kann es ganz dumm kommen, wenn man darüber per '?cmd=' Shellcodes an den Server sendet und diese auch noch ausführen lassen...
Es klappt noch immer bei sehr vielen Servern, man mag es kaum glauben!

Webmailer lassen sich gerne als Spamschleuder missbrauchen wenn der Angreifer die Möglichkeit bekommt daran zu manipullieren...

Das sind nur 3 Punkte von 3 Dutzend Möglichkeiten die mir auf die schnelle einfallen.

Das wird dir auch nicht all zu viel bringen wenn der Angreifer nur halbwegs Hirn hat kommt er nicht mit seiner Ip...und wo dein Fehler lag findest damit auch nicht raus. Desweiteren bringts vor allem dahingehend nichts da du dann mindestens noch wissen musst auf welchem Port jede IP sich connecten wollte. Denn auch IPs die die Homepage etc abrufen wollen wären in solch einer Liste drin. Also nützt das mal gar nix. Das könnte ich jetzt noch weiter klein schreiben. Lasse ich aber mal.

Für deine Logfiles musst du schon selber sorgen......
Da würde ich auch auf die Barrikaden gehen wenn OvH anfangen würde Logs für mich mitzuschreiben
Du kannst aber selber mitbestimmen wo dein System Logs schreibt und wie es das tut.
Auch muss man dann halt mal seinen SSH Zugang ein bisschen absichern..root Login sperren, keyfiles nutzen Ports ändern usw...
vor allen dingen keine Passwörter nutzen die selbst meine Oma rückwärts im schlaf beim Seilspringen noch errät.
Ich erlebe das immer wieder wenn ich supporte das die Leute Passwörter nutzen ... da wundert mich das wie die das überhaupt schaffen länger als 2 Tage ungehacked zu sein.

Gruß Sven

Hallo,

ein bekannter hat neulich folgendes erlebt:
Ein Hacker ist über irgendeine Lücke in seinen Server, hatte sich Rootrechte angeeignet und hat alles plattgemacht - auch die Logfiles....darum kann er jetzt nichtmal Anzeige erstatten und wenn der Angreifer den Server vielleicht vorher noch missbraucht hat steht er dumm da.

Da ich mir auch bald einen Server mieten wollte lautet meine Frage:
Macht OVH zusätzliche Logfiles welche IP zu welcher Zeit zu welchem Server connected hat oder nicht (im Rechenzentrum)?