Cruz: Ich werde gehackt!

Hallo amins,

brauche dringend Rat und Hilfe. Ich habe einen gemieteten Server mit SuSE 9.2, selbst konfiguriert von mir als eher nur ein durchschnittlicher Linux Admin. Nachdem mein Server nun einige Tage zwar pingbar aber sonst nicht erreichbar war (Kein SSH, FTP oder HTTP), habe ich mich mal umgeschaut und in /var/log/messages auch ganz schnell festgestellt, dass irgendein Bastard schon seit Tagen versucht per brute force ein ssh login zu vollziehen. Es sieht nicht so aus, als wäre er erfolgreich gewesen, trotzdem sind seine Hackversuche höchst nervig, da mein Server dadurch ständig ausfällt und anscheinend nur durch einen Neustart wieder auf die Beine kommt. Was soll ich denn jetzt gegen diesen W****er machen?

Mein sshd ist auf password authentication via pam eingestellt. Ich habe leider keine statische IP für meine workstation, sodass ich leider nicht einstellen kann, dass nur eine bestimmte adresse (nämlich ich) sich einloggen darf. Kann ich z.B. irgendwie festlegen, dass sobald jemand einen nicht erlaubten user eingibt, seine Adresse sofort für eine gewisse Zeit oder für immer gesperrt sein soll? Ich weiss dass die Leute ihre Adressen wie Unterhosen wechseln können, aber wenigstens würde es den DOS charackter unterbinden.

Cruz

  1. Hallo,

    Mein sshd ist auf password authentication via pam eingestellt.

    Um die Sicherheit zu erhöhen solltest du auf authorized_keys umstellen.
    Dann sind nur Benutzer mit dem passenden Schlüssel authorisiert - und dieser ist um einiges länger als irgendwelche Passwörter.
    Allerdings muss dann der Rechner mit den Schlüsseln gegen fremden Zugriff gesichert sein.
    http://www.puddingonline.com/~dave/publications/SSH-with-Keys-HOWTO/document/html-one-page/SSH-with-Keys-HOWTO.html

    Grüße, Ulli

  2. Hi,

    Was soll ich denn jetzt gegen diesen W****er machen?

    Anzeige erstatten. Anhand der Logfiles lässt sich vom Staatsanwalt die Herkunft ermitteln. Das hilft zwar nicht unbedingt gegen zukünftige Fälle, aber evtl. wird ein Straftäter weniger die Welt unsicher machen.

    Cheatah

    --
    X-Self-Code: sh:( fo:} ch:~ rl:° br:> n4:& ie:% mo:) va:) de:] zu:) fl:{ ss:) ls:~ js:|
    X-Self-Code-Url: http://emmanuel.dammerer.at/selfcode.html
    X-Will-Answer-Email: No
    X-Please-Search-Archive-First: Absolutely Yes
    1. Hallo,

      Anzeige erstatten.

      Und wenns ein gehackter PC mit irgendnem Wurm drauf ist/war?

      Grüße, Ulli

      1. Hallo Ulli,

        Anzeige erstatten.
        Und wenns ein gehackter PC mit irgendnem Wurm drauf ist/war?

        Dann wird der ganze Fall demjenigen vermutlich einen gehörigen Schreck
        einjagen und er wird sich mit dem Thema Sicherheit auseinandersetzen?

        Gruß
        Alexander Brock

        --
        /voodoo.css:
        #GeorgeWBush { position:absolute; bottom:-6ft; }
        1. Hallo,

          Dann wird der ganze Fall demjenigen vermutlich einen gehörigen Schreck
          einjagen und er wird sich mit dem Thema Sicherheit auseinandersetzen?

          Womöglich - ich mag jedoch bezweifeln, dass der erbrachte Aufwand (Strafermittlung) in irgendeinem Verhältnis dazu steht =).
          In der Zeit sind wahrscheinlich schon wieder tausende "Geiz ist Geil!"-PCs gekauft worden und ohne alle Sicherung ans Netz geklemmt worden -> lieber das eigene System absichern als sich mit den Problemen anderer Leute herumzuärgern.

          Grüße, Ulli

          1. Hi,

            Dann wird der ganze Fall demjenigen vermutlich einen gehörigen Schreck
            einjagen und er wird sich mit dem Thema Sicherheit auseinandersetzen?
            Womöglich - ich mag jedoch bezweifeln, dass der erbrachte Aufwand (Strafermittlung) in irgendeinem Verhältnis dazu steht =).

            ehrlich nicht? Wie steht der Aufwand denn im Verhältnis zu dem, den der Wurmrechnerbesitzer Cruz gemacht hat?

            In der Zeit sind wahrscheinlich schon wieder tausende "Geiz ist Geil!"-PCs gekauft worden und ohne alle Sicherung ans Netz geklemmt worden

            Möglicherweise kann die Schuldfrage ja auf den "Geiz ist Geil!"-PC-Anbieter weitergeleitet werden, was dann sicher auch für die Medien interessant wäre, die auf hinreichend absurde Weise die Problematik ins Bewusstsein der Menschen bringt. Tja, oder es bleibt nur ein einziger Mensch nebst seines Freundeskreises geläutert. Beides ist meiner Ansicht nach besser, als das Problem still auszusitzen.

            Cheatah

            --
            X-Self-Code: sh:( fo:} ch:~ rl:° br:> n4:& ie:% mo:) va:) de:] zu:) fl:{ ss:) ls:~ js:|
            X-Self-Code-Url: http://emmanuel.dammerer.at/selfcode.html
            X-Will-Answer-Email: No
            X-Please-Search-Archive-First: Absolutely Yes
            1. Hallo,

              Womöglich - ich mag jedoch bezweifeln, dass der erbrachte Aufwand (Strafermittlung) in irgendeinem Verhältnis dazu steht =).

              ehrlich nicht? Wie steht der Aufwand denn im Verhältnis zu dem, den der Wurmrechnerbesitzer Cruz gemacht hat?

              Soweit ich es verfolgen kann steht ein gehöriger Schreck, eine mir unbekannte Zeit an Arbeit (Sichtung der Logfiles etc), ein Forumsposting und wahrscheinlich noch ne ganze Latte an Diskussionen, Nachforschungen und der gleichen gehen ... nichts. Cruz hat weder einen Schuldigen noch kann er in absehbarer Zeit etwas dagegen tun - nicht das mir das gefällt aber manchmal ist Verteidigung eben doch der beste Angriff.

              Grüße, Ulli

              1. Wenn hier schon so eine Diskussion über anzeigen oder nicht anzeigen entfacht ist, möchte ich auch mal meinen Senf dazu gebem.

                Erstens mal ob die Strafermittlung im Verhältnis zu dem Schaden steht, der mir entstanden ist, ist eine irrelevante Überlegung. Denn sagen wir mal der Täter wird gefasst, wie viel Schaden hat man dadurch verhindert, den er später noch verursacht hätte? Und was ist mit anderen ähnlichen Tätern, die es sich dann vielleicht doch anders überlegen, weil ihr Kumpel ja gefasst wurde? Diese Nebeneffekte kann man sicherlich niemals genau angeben, aber es sind ja letztendlich die, auf die man bei der Strafermittlung abzielt und das nennt man dann Bekämpfung der Kriminalität. In anderen Bereichen, als online Kiriminalität, scheint es sich jedenfalls zu lohnen.

                Anderseits habe ich mich bei meinem Provider erkundigt, ob er mich dabei unterstützen würde und wie es in so einem Fall abläuft. Der Provider sagte er hat kein Interesse daran die Sache zu verfolgen, weil das zu oft vorkommt. Erst als ich gesagt habe, dass ich dann möglicherweise gezwungen bin den Provider zu wechseln, um den Angreifer loszuwerden, hat er mir zugesagt einen Techniker darauf anzusetzen.
                Ansonsten wird wenn ich Strafanzeige stelle mein Server beschlafnahmt und die KriPo versucht dann irgendwas damit zu machen. Wir wissen alle, dass man so keinen Hacker fängt, denn was bringen einem falsche IP Adressen in einer Logdatei? Die einzige Möglichkeit wäre wohl denjenigen bei frischer Tat zu ertappen. Dass ich dafür meinen aktuell am hacken befindlichen Server zur Verfügung stellen würde hat keinen Interessiert. Also was bleibt mir jetzt übrig? Wenn ich Strafanzeige stelle, dann habe ich die ganze Arbeit damit und gleich davon ausgehen, dass der Täter nicht gefasst wird. Dann bedanke ich mich doch lieber noch beim Hacker für den Lerneffekt, dass er mich dazu gebracht zu lernen wie ich mich gegen sowas schützen kann und konzentriere mich wieder auf mein täglich Brot.

                Ciao,
                Cruz

              2. Hi,

                Soweit ich es verfolgen kann steht ein gehöriger Schreck, eine mir unbekannte Zeit an Arbeit (Sichtung der Logfiles etc), ein Forumsposting und wahrscheinlich noch ne ganze Latte an Diskussionen, Nachforschungen und der gleichen gehen ... nichts.

                Dir ist aber bekannt, das solche Aktionen nur zum ausspionieren der Server dienen, oder?
                Also falls der Wurm eine Lücke findet (sowas gibts sogar bei gut administrierten Servern), erfolgt ein Angriff. Wenn also für dich der Aufwand, einen evtl. Angriff durch eine Anzeige zu verhindern, zu gross ist im gegensatz zu der evtl. kompletten Wiederherstellung der Daten, ist das deine Sache.
                Aber ich denke, du hattest noch nie was mit Hosting, Housing oder auch nur Netzwerkadminisrtation zu tun und deshalb null Ahnung von der Materie.

                1. Hallo,

                  Dir ist aber bekannt, das solche Aktionen nur zum ausspionieren der Server dienen, oder?

                  Ja.

                  Aber ich denke, du hattest noch nie was mit Hosting, Housing oder auch nur Netzwerkadminisrtation zu tun und deshalb null Ahnung von der Materie.

                  Für deine lieben Worte möchte ich dir Dank sagen und natürlich auch mit dir anstoßen. *Prost*

                  Grüße, Ulli

          2. Hi,

            Womöglich - ich mag jedoch bezweifeln, dass der erbrachte Aufwand (Strafermittlung) in irgendeinem Verhältnis dazu steht =).

            Dir ist aber klar, das ein Angreifer auch einfach massig GB an Traffic verursachen kann, die der Serverbetreiber dann zahlt?
            Ich hatte den Fall, innerhalb einer Nacht einen Schaden von 1000€.
            Wenn du jemand bist, der darauf warten will, ist ads Ok, ich persönlich denke, selbst wenn einer nur ansatzweise versucht, einen meiner Server zu Hacken, geht das sofort an den Staatsanwalt. Und dabei ist es mir egal, ob es ein 12 Jähriges Scriptkiddie oder ein 35 Jähriger Cracker ist, der mir schaden will.

            Ausserdem kann ein Serverausfall durchaus Probleme mit den Kunden verursachen. Gerade, wenn der regelmässig auftritt.

            1. Hallo

              Dir ist aber klar, das ein Angreifer auch einfach massig GB an Traffic verursachen kann, die der Serverbetreiber dann zahlt?
              Ich hatte den Fall, innerhalb einer Nacht einen Schaden von 1000€.

              Ausserdem kann ein Serverausfall durchaus Probleme mit den Kunden verursachen. Gerade, wenn der regelmässig auftritt.

              Endlich mal eine sowohl logische als auch leicht verständliche Entgegnung auf die "Man kann da ja eh nix machen, also lass ich es!" Einstellung.

              Tschö, Auge

              --
              Die Musik drückt aus, was nicht gesagt werden kann und worüber es unmöglich ist zu schweigen.
              (Victor Hugo)
              Veranstaltungsdatenbank Vdb 0.1
            2. Hallo,

              Dir ist aber klar, das ein Angreifer auch einfach massig GB an Traffic verursachen kann, die der Serverbetreiber dann zahlt?
              Ich hatte den Fall, innerhalb einer Nacht einen Schaden von 1000€.

              Hmmm - eine Nacht sagst du. Die dauert für mich großzügig gesagt von 18.00 - 08.00 Uhr, also 12 Stunden. Wenn du nun die 1000 € ins Feld führst dann könnte ich folgende Rechnung anstellen:

              • 12 h Transferzeit
              • 1000 € Kosten
              • 0,0049 € pro MB
                   http://service.t-online.de/c/19/82/17/1982178.html - ich habe mal
                   die Extrakosten der Telekom pro weiteres MB bei einem
                   Homepagehostingangebot genommen - schlechter kann man wohl kaum fahren.
              • gesucht: Datenvolumen -> Datenübertragungsgeschwindigkeit

              1000 € / 0,0049 € = 204081.6326530612
              Nehmen wir also 200.000 MB, das sind 195.3125 GB; dies müsste demzufolge in 12 Stunden übertragen werden: also ca. 16 GB pro Stunde ... ca 273 MB pro Minute ... 4600 KB pro Sekunde - nicht schlecht.
              Und das zu Rechnern die sicherlich nicht im selben Rechenzentrum standen.
              Ok, meine Rechnung ging von einem Server aus der von vielen "angegriffen" wurde - das relativiert sich allerdings, wenn viele Rechner von vielen angegriffen werden.

              [...] selbst wenn einer nur ansatzweise versucht, einen meiner Server zu Hacken, geht das sofort an den Staatsanwalt.

              Richtig wenn es sich um echtes Hacking handelt aber da sehr viel mehr über irgendwelche Bots läuft meiner Meinung nach dann völlig sinnlos.

              Ausserdem kann ein Serverausfall durchaus Probleme mit den Kunden verursachen. Gerade, wenn der regelmässig auftritt.

              Steht außer Frage. Obwohl wie schon erwähnt wurder der Serverausfall wahrscheinlich nichts mit den Hackingversuchen zu tun hatte.

              Grüße, Ulli

              1. Hi,

                Nehmen wir also 200.000 MB, das sind 195.3125 GB; dies müsste demzufolge in 12 Stunden übertragen werden: also ca. 16 GB pro Stunde ... ca 273 MB pro Minute ... 4600 KB pro Sekunde - nicht schlecht.

                Stellt kein Problem dar, da der Angreifer auch ein Server in einem anderen RZ war, also ne 100 MBit Leitung an nem 9,6 GBit Backbone hatte. Meiner hängt mit 4x100 MBit an einem 15 GBit Backbone (der eine, der gehackt wurde, bzw. angegriffen)

                Und das zu Rechnern die sicherlich nicht im selben Rechenzentrum standen.

                Da die Backbones wesentlich schneller sind, als die NK in den Rechnern, steht der vollen Bandbreite auch zwischen Rechenzentren nichts im Weg.

                Und auch wenn der Schuldige ermittelt wurde und zu Schadenersatz verurteilt, hab ich erstmal selber in die Tasche greifen müssen. Und da der andere nix hat, werd ich nie mein Geld wiedersehen. Und deshalb sag ich, jeder Versuch wird von mir sofort angezeigt, alleine schon zur Vorbeugung/Abschreckung

                1. Hallo,

                  Stellt kein Problem dar, da der Angreifer auch ein Server in einem anderen RZ war, also ne 100 MBit Leitung an nem 9,6 GBit Backbone hatte. Meiner hängt mit 4x100 MBit an einem 15 GBit Backbone (der eine, der gehackt wurde, bzw. angegriffen)

                  Ah - ich sag ja: Wenns so ist dann gerne.

                  Da die Backbones wesentlich schneller sind, als die NK in den Rechnern, steht der vollen Bandbreite auch zwischen Rechenzentren nichts im Weg.

                  Jupp.

                  Und auch wenn der Schuldige ermittelt wurde und zu Schadenersatz verurteilt, hab ich erstmal selber in die Tasche greifen müssen.

                  Aha! Wie war das doch gleich mit der Kosten-/Nutzenrechnung

                  Und da der andere nix hat, werd ich nie mein Geld wiedersehen.

                  Ohh ...

                  Und deshalb sag ich, jeder Versuch wird von mir sofort angezeigt, alleine schon zur Vorbeugung/Abschreckung

                  Ok, da könnten wir uns jetzt bis zum Sankt-Nimmerleinstag drüber "streiten".
                  Für mich steht jedoch immer der Nutzen im Vordergrund: Strebe ich einen Prozess gegen (erstmal) Unbekannt an, um dann eventuell mit doppeltem Verlust (Server/Klage) da zu stehen oder nehme ich es hin, dass es solche Bots/Hacker/wieauchimmer geben wird die mir das Leben schwer machen? Lezteres ist für mich kein Problem.

                  Grüße, Ulli

                  PS: Ich hoffe für dich, dass du nicht immer so schnell aufbrausend wirst ;-)
                  siehe https://forum.selfhtml.org/?t=110107&m=690822

                  1. Hi,

                    Für mich steht jedoch immer der Nutzen im Vordergrund: Strebe ich einen Prozess gegen (erstmal) Unbekannt an, um dann eventuell mit doppeltem Verlust (Server/Klage) da zu stehen oder nehme ich es hin, dass es solche Bots/Hacker/wieauchimmer geben wird die mir das Leben schwer machen? Lezteres ist für mich kein Problem.

                    Das mit dem Serververlust kann ich aber nicht nachvollziehen. Bisher wollte die Kripo (einmal beim Hackangriff, einmal bei einer massiven Beleidung in meiner Commnity) lediglich die Serverlogs haben. Da war nie die Rede, das die den Server mitnehmen wollen

                    PS: Ich hoffe für dich, dass du nicht immer so schnell aufbrausend wirst ;-)

                    Nur ab und zu ;)
                    Sorry, wollte dich nicht beleidigen.

                    1. Hallo,

                      Das mit dem Serververlust kann ich aber nicht nachvollziehen. Bisher wollte die Kripo (einmal beim Hackangriff, einmal bei einer massiven Beleidung in meiner Commnity) lediglich die Serverlogs haben. Da war nie die Rede, das die den Server mitnehmen wollen

                      Nein - ich meinte ja auch nicht, dass der Server beschlagnahmt wird, sondern deinen finanziellen Verlust wegen dem Traffic.

                      Sorry, wollte dich nicht beleidigen.

                      Schon in Ordnung.

                      Grüße, Ulli

  3. Hallo!

    Nachdem mein Server nun einige Tage zwar pingbar aber sonst nicht erreichbar war (Kein SSH, FTP oder HTTP), habe ich mich mal umgeschaut und in /var/log/messages auch ganz schnell festgestellt, dass irgendein Bastard schon seit Tagen versucht per brute force ein ssh login zu vollziehen.

    Das wird vermutlich irgendein Bot sein, der das probiert. Irgendwie werden die wohl immer schlimmer, ich habe alleine in den letzten 24 Stunden über 10.000 solcher Einträge in den Logs. Gut, solange man kein Platz-Problem bekommt ist es eigentlich nicht weiter wild (zumindest wenn man keine Standard-Benutzer mehr im System hat und am besten Passwort- und Root-Login komplett verbietet, und sonst wenigstens sehr, sehr gute Passwörter).

    Wieviele Versuche waren es denn bei Dir in den letzten 24 Stunden?

    Es sieht nicht so aus, als wäre er erfolgreich gewesen, trotzdem sind seine Hackversuche höchst nervig, da mein Server dadurch ständig ausfällt und anscheinend nur durch einen Neustart wieder auf die Beine kommt.

    Woher weißt Du denn, dass diese beiden Sachen zusammenhängen? Wie gesagt, das ist vertmutlich eher so eine Art "Hintergrund-Rauschen", wie es die meisten Server heute ertragen müssen.

    Was soll ich denn jetzt gegen diesen W****er machen?

    Woraus schließt Du, dass Du es mit einem individuellen Angriff von einer Person zu tun hast?

    Mein sshd ist auf password authentication via pam eingestellt.

    kannst Du nicht auf das public-key Verfahren umstellen, und root-login abschalten? Dann funktioniert Brute-Force nicht mehr.

    Ich habe leider keine statische IP für meine workstation, sodass ich leider nicht einstellen kann, dass nur eine bestimmte adresse (nämlich ich) sich einloggen darf. Kann ich z.B. irgendwie festlegen, dass sobald jemand einen nicht erlaubten user eingibt, seine Adresse sofort für eine gewisse Zeit oder für immer gesperrt sein soll?

    gibt es zwar:

    http://dev.gentoo.org/~krispykringle/sshnotes.txt
    http://www.pettingers.org/code/SSHBlack.html
    http://linux.newald.de/new_design/login_check.html

    halte ich aber nicht für erforderlich, und dank anonymer Proxies auch für unwirksam. Solche IP-Tables Scripte können Dich wirksam nicht vor Brute-Force / DDOS schützen.

    Es wäre sehr viel sinnvoller an einer anderen Stelle anzusetzen: verbiete Passwort-Login, dann können sie nichts erreichen, auch nicht mit 10.000 wechselnden Proxies.

    Größere Gefahren lauern meist eher im Bereich der unsicheren Web-Scripte.

    Ich weiss dass die Leute ihre Adressen wie Unterhosen wechseln können, aber wenigstens würde es den DOS charackter unterbinden.

    Warum? Es bringt Dir nichts. DOS über SSH ist IMHO auch eher unwahrscheinlich. Ich tippe wie gesagt auf diverse Bots die auf gut Glück versuchen Root-Server mit schlechten Passwörtern zu finden. Mit Sicherheit das sogar sehr erfolgreich.

    Ich vermute, dass Deine Abstürze eine andere Ursache haben.

    Und wenn es wirklich zu viel wird mit den Login-Versuchen (d.h. das ganze hat wirklich DOS-Charakter, müsstest Du aber mal mit top oder so verifizieren), könntest Du Deinen sshd vorübergehend an einen anderen Port binden (aber glaube nicht dass Dich das irgendwogegen schützt!), so dass automatisierte Bots Dich vielleicht in Ruhe lassen.

    Aber wie gesagt, mache nicht den Fehler wie viele zu glauben, dass es Dich irgendwovor schützt.

    Grüße
    Andreas

    --
    SELFHTML Feature Artikel: http://aktuell.de.selfhtml.org/artikel/
    1. Hallo!

      Es wäre sehr viel sinnvoller an einer anderen Stelle anzusetzen: verbiete Passwort-Login, dann können sie nichts erreichen, auch nicht mit 10.000 wechselnden Proxies.

      Ein gutes perlscript könnte dem weiterhelfen.
      Ich habe selbst mal eines geschrieben mit hilfe von selfhtml (u.Struppi -besten dank),welches erst den htaccess geschützten link freigibt wenn das passwort und username erfolgreich war.Im script sind diverse hürden eingebaut,wo das script erst die passwortliste abklappert,wenn bestimmte eingaben gegeben waren, ansonsten zeigt es nur den login.
      Wenn die eingabe zwar korrekt sind aber die user/pass daten falsch, dann wird ebenfalls das login gezeigt, wobei ein zähler die IP logt und hochzählt.Es wird auch zeitlich gemessen,wieviel mal pro sekunde er auf das script zugreift.Bei 6 falscheingaben, wird die IP gesperrt (oder wenn das script weniger als 1 sekunde mehrmals zugegriffen wird - sofort gesperrt) per htaccess und mir eine email mit ein paar details gesendet.
      Solche bots oder programme haben oftmals mehrere zugriffe pro sekunde, im gegensatz wenn jemand es per hand versucht.
      Seitdem hatte ich nur einen der es versucht hat mit so nem kidyprogramm. Er hat zwar die erforderlichen daten vom formular des logins mitgeschickt, aber leider ohne usernamen.
      Früher hatte ich manchmal 60MB alleine von solchen attacken im errorlog und heute sind es knapp mal 20KB pro woche,welche meine errorlog beschreibt.

      Größere Gefahren lauern meist eher im Bereich der unsicheren Web-Scripte.

      das stimmt.
      Gruss
      Alain

      1. Hi!

        Es wäre sehr viel sinnvoller an einer anderen Stelle anzusetzen: verbiete Passwort-Login, dann können sie nichts erreichen, auch nicht mit 10.000 wechselnden Proxies.

        Ein gutes perlscript könnte dem weiterhelfen.
        Ich habe selbst mal eines geschrieben mit hilfe von selfhtml (u.Struppi -besten dank),welches erst den htaccess geschützten link freigibt wenn das passwort und username erfolgreich war.Im script sind diverse hürden eingebaut,wo das script erst die passwortliste abklappert,wenn bestimmte eingaben gegeben waren, ansonsten zeigt es nur den login.

        Andreas meinte mit seiner obigen Aussage nicht das Sperren einzelner Webinhalte durch .htaccess, sondern dass der Login über SSH mit Benutzername/Passwort durch das Public-Key-Verfahren ersetzt werden sollte, da dies eine wesentlich größere Sicherheit bietet. Ganz interessant hierzu ist auch der Gentoo Sicherheitsleitfaden, Abschnitt „Absichern von Diensten“: http://www.gentoo.org/doc/de/gentoo-security.xml

        Wenn die eingabe zwar korrekt sind aber die user/pass daten falsch, dann wird ebenfalls das login gezeigt, wobei ein zähler die IP logt und hochzählt.Es wird auch zeitlich gemessen,wieviel mal pro sekunde er auf das script zugreift.Bei 6 falscheingaben, wird die IP gesperrt (oder wenn das script weniger als 1 sekunde mehrmals zugegriffen wird - sofort gesperrt) per htaccess und mir eine email mit ein paar details gesendet.

        Das Speichern der IP ist oftmals kein wirkliches Kriterium, an dem man etwas festmachen sollte. Erstens lässt sich diese verschleiern (--> Hinweis von Andreas zu Proxys), zweitens schränkst du dadurch auch beispielsweise AOL-User ein, deren IP sich nahezu bei jedem Aufruf einer Seite ändern kann.

        Grüße,
        Fabian St.

        1. Hi!

          Andreas meinte mit seiner obigen Aussage nicht das Sperren einzelner Webinhalte durch .htaccess, sondern dass der Login über SSH mit Benutzername/Passwort durch das Public-Key-Verfahren ersetzt werden sollte, da dies eine wesentlich größere Sicherheit bietet. Ganz interessant hierzu ist auch der Gentoo Sicherheitsleitfaden, Abschnitt „Absichern von Diensten“: http://www.gentoo.org/doc/de/gentoo-security.xml

          das werd ich mir mal durchlesen...danke
          Dachte anschliessend schon,das was anderes gesucht würde - mein fehler.

          Das Speichern der IP ist oftmals kein wirkliches Kriterium, an dem man etwas festmachen sollte. Erstens lässt sich diese verschleiern (--> Hinweis von Andreas zu Proxys), zweitens schränkst du dadurch auch beispielsweise AOL-User ein, deren IP sich nahezu bei jedem Aufruf einer Seite ändern kann.

          Ist mir schon klar,solche progies arbeiten ja auch mit proxys.
          Es wird jeweils nur eine IP geloggt,der,der eben zuletzt zugriff hatte.
          Wenn aber zwei verschiedene IP gleichzeitig zugriff erzeugen, wie es bei bruteforce üblich ist,dann kommt die zeitmessung zum zuge.
          Geloggt und gesperrt wird eh nur,wenn die formular eingaben richtig gesendet werden,ansonsten wird nur das loginfeld gezeigt bzw. erzeugt.
          Die gesperrten IPs werden von zeit zu zeit wieder gelöscht-Dies zu meinem script.Habe damit wie ich finde grössten erfolg,was die attacken angeht und auch keine  probleme gehabt mit anderen korrekt einloggenden usern.
          Gruss
          Alain

          1. Hi,

            Ist mir schon klar,solche progies arbeiten ja auch mit proxys.
            Es wird jeweils nur eine IP geloggt,der,der eben zuletzt zugriff hatte.

            Der Schuss mit dem PERL Script kann auch gewaltig nach hinten losgehen.
            Wenn du auf einmal tausende Anfragen pro Sekunde auf dem Server hast, wird dein Prozessor enorm schnell die Grätsche machen, wenn der jedesmal einen PERL-Interpreter laufen lassen muss.

            Somit legt ein Angreifer deinen Server noch schneller Lahm als ohne jede "Schutzeinrichtung"

            Für sowas nimmt man einen richtigen Sniffer, der ggf. sogar das System runterfahren kann.

            1. 你好 Manuel,

              Wenn du auf einmal tausende Anfragen pro Sekunde auf dem Server hast, wird
              dein Prozessor enorm schnell die Grätsche machen, wenn der jedesmal einen
              PERL-Interpreter laufen lassen muss.

              Bitte vergiss nicht, dass mod_perl existiert.

              再见,
              克里斯蒂安

              --
              Wenn der Schüler bereit ist, erscheint der Meister.
              http://wwwtech.de/
              1. Hi,

                Bitte vergiss nicht, dass mod_perl existiert.

                1. auf wievielen Severn läuft das
                2. bei einem ANgriff dürfte ads auch egal sein. mod_perl braucht auch Rechenleistung, die irgendwann erschöpft ist. Ich bleib da lieber bei meinem Snort :)

                1. 你好 Manuel,

                  Bitte vergiss nicht, dass mod_perl existiert.

                  1. auf wievielen Severn läuft das

                  Das ist doch irrelevant. Es muss nur nicht ständig ein Perl-Interpreter
                  gestartet werden, wenn mod_perl eingesetzt wird. Darum ging es doch.

                  再见,
                  克里斯蒂安

                  --
                  Das Leben ist wie ein Kartenspiel: was dir gegeben wurde, ist vorbestimmt. Doch wie du damit spielst, ist deine Entscheidung.
                  http://wwwtech.de/
                  1. Hi,

                    Das ist doch irrelevant. Es muss nur nicht ständig ein Perl-Interpreter
                    gestartet werden, wenn mod_perl eingesetzt wird. Darum ging es doch.

                    Du hast vollkommen recht. Aber ob der Server dann 15 Sekunden später absemmelt, dürfte in der Praxis nicht relevant sein ;)

                    Ich hatte auch bei mod_perl schon Angriffe mit ca. 50.000 Zugriffen pro sekunde. Der damalige Server ist da recht schnell in die Knie gegangen.

                    Ich bin halt der Meinung, Hackerschutz muss auf Betriebssystemebene passieren und nicht auf Webserverebene

                    1. hi,

                      Das ist doch irrelevant. Es muss nur nicht ständig ein Perl-Interpreter
                      gestartet werden, wenn mod_perl eingesetzt wird. Darum ging es doch.

                      meinst du z.B. use CGI ?

                      Ich hatte auch bei mod_perl schon Angriffe mit ca. 50.000 Zugriffen pro sekunde. Der damalige Server ist da recht schnell in die Knie gegangen.

                      naja das dürfte bei mir nicht der fall sein.
                      Aber sag mal es gibt doch z.B. auch foren die mit perl laufen und da könnten es auch zig tausende sein die darauf zugreifen pro sekunde,dann dürfte perl auch nicht gerade das empfolene sein für einen server oder?

                      Ich bin halt der Meinung, Hackerschutz muss auf Betriebssystemebene passieren und nicht auf Webserverebene

                      Was soll dann auf betriebsebene passieren,damit der server nicht in die knie geht? Etwa ausfall? Wie weiss der, ob er angegriffen wird?
                      Grüsse
                      Alain

                      1. Hi,

                        naja das dürfte bei mir nicht der fall sein.
                        Aber sag mal es gibt doch z.B. auch foren die mit perl laufen und da könnten es auch zig tausende sein die darauf zugreifen pro sekunde,dann dürfte perl auch nicht gerade das empfolene sein für einen server oder?

                        Wer zigtausende Zugriffe pro Sekunde hat, verwendet sicher kein PERL mehr. Wenn du z.B. 5000 Besucher gleichzeitig in einem Forum hast, heisst das ja nicht, das du gleichzeitig 5000 Zugriffe hast.

                        1. 你好 Manuel,

                          Hi,

                          naja das dürfte bei mir nicht der fall sein.
                          Aber sag mal es gibt doch z.B. auch foren die mit perl laufen und da
                          könnten es auch zig tausende sein die darauf zugreifen pro sekunde,dann
                          dürfte perl auch nicht gerade das empfolene sein für einen server oder?

                          Wer zigtausende Zugriffe pro Sekunde hat, verwendet sicher kein PERL mehr.

                          Es gibt keinen Grund, warum man es nicht sollte. mod_perl ist rattenschnell.

                          再见,
                          克里斯蒂安

                          --
                          <g[oma]> peter lustig ist auf jeden fall besser als peter huth, obwohl der auch lustig ist.
                          http://wwwtech.de/
                          1. Hi,

                            Es gibt keinen Grund, warum man es nicht sollte. mod_perl ist rattenschnell.

                            Welchen Speicher-/CPU-Verbrauch hat ein Forum mit mod_perl bei 1000 gleichzeitigen(!) zugriffen?

                            Und welchen Grund gibt es, das Plattfromen wie Chat.de ihre Software in C++ entwickeln lassen, wenn PERL schnell genug wäre?

                            1. 你好 Manuel,

                              Es gibt keinen Grund, warum man es nicht sollte. mod_perl ist
                              rattenschnell.

                              Welchen Speicher-/CPU-Verbrauch hat ein Forum mit mod_perl bei 1000
                              gleichzeitigen(!) zugriffen?

                              Das hängt stark von der Software ab.

                              Und welchen Grund gibt es, das Plattfromen wie Chat.de ihre Software in
                              C++ entwickeln lassen, wenn PERL schnell genug wäre?

                              Es geht immer noch schneller.

                              再见,
                              克里斯蒂安

                              --
                              Es ist uns nicht möglich, in einem Bereich unseres Lebens richtig zu verhalten, wenn wir in allen anderen falsch handeln. Das Leben ist ein unteilbares Ganzes.
                              http://wwwtech.de/
    2. Hallo Andreas,

      danke für deinen wirklich sinvollen Beitrag, das hatte mal wirklich Hand und  Fuß. Du hast recht, ich kann eigentlich gar nicht davon ausgehen, dass die Abstürze die Folge eine DOS Attacke sind! Das könnten tatsächlich nur ein paar Bots sein, die ab und zu an meinem Server gehorcht haben. Ich werde jedenfalls erstmal den Server neu aufsetzen und die Sicherheitsmaßnahmen verschärfen.

      Gegen das public key Verfahren habe ich einzuwenden, dass mein Server nur so sicher ist, wie die keys, die außerhalb des Servers gespeichert werden. Nur um mal zu checken, ob ich das richtig verstanden habe. Ich erzeuge auf meinem PC einen privat - public key pair. Den private liegt auf meinem PC, den public speichere ich auf dem Server. Wenn nu jemand meinen private key von meinem PC klaut, dann kann er sich damit einloggen oder? Und mein PC ist im Vergelich zu meinem Server beschissen gesichert.

      Ciao,
      Cruz

      1. 你好 Cruz,

        Gegen das public key Verfahren habe ich einzuwenden, dass mein Server nur
        so sicher ist, wie die keys, die außerhalb des Servers gespeichert werden.

        Beim Passwort-Verfahren ist der Server nur so sicher, wie die Passwörter
        sind. Und da die meisten Passwörter auf Wörtern basieren und im Schnitt nur
        etwa acht Zeichen lang sind, geht es relativ schnell, das zu knacken.

        Keys dagegen sind kryptographisch sicher. Man kann eine
        Key-Authentifizierung nicht in vernünftiger Zeit knacken (abgesehen
        vielleicht von möglichen Sicherheitslöchern). Man muss also erst deinen
        Key klauen (der ja auch nicht so ohne weiteres zugreifbar ist) und den Key
        knacken (der ist ja auch Passphrase-geschützt). Ein ganzes Stück
        schwieriger und mehr Aufwand.

        Nur um mal zu checken, ob ich das richtig verstanden habe. Ich erzeuge
        auf meinem PC einen privat - public key pair. Den private liegt auf
        meinem PC, den public speichere ich auf dem Server. Wenn nu jemand
        meinen private key von meinem PC klaut, dann kann er sich damit einloggen
        oder?

        Nur, wenn er die Passphrase zu dem Key hat.

        Und mein PC ist im Vergelich zu meinem Server beschissen gesichert.

        Das solltest du ändern. Sonst belausche ich einfach, welche
        Tastatur-Eingaben du machst -- und dann habe ich auch dein Passwort. Wenn
        du die Kontrolle über dein System verlierst, ist halt nicht mehr viel zu
        machen, dann hast du verloren.

        再见,
        克里斯蒂安

        --
        Q: God, root, what's the difference?
        A: God is merciful.
        http://wwwtech.de/
      2. Hallo!

        Du hast recht, ich kann eigentlich gar nicht davon ausgehen, dass die Abstürze die Folge eine DOS Attacke sind! Das könnten tatsächlich nur ein paar Bots sein, die ab und zu an meinem Server gehorcht haben.

        Ich halte es für wahrscheinlich, kann man aus der Entfernung natürlich nicht mit Sicherheit sagen.

        Ich werde jedenfalls erstmal den Server neu aufsetzen und die Sicherheitsmaßnahmen verschärfen.

        Wieso? An Deiner Stelle würde ich erstmal versuchen herauszubekommen, wo das Problem liegt. Oder hast Du Grund zu der Annahme, dass jemand anders Zugriff auf den Server hat?

        Ich würde versuchen herauszubekommen, was genau passiert bevor die Dienste nicht mehr erreichbar sind. Wenn alle Dienste nicht mehr erreichbar sind, hört sich das für mich so an, als würde da irgendwas sämtliche Resourcen verbrauchen. Das kann ein lokales Problem sein, ein DOS...
        Dazu müsstest Du als erstes herausfinden, welcher Prozess/User dafür verantwortlich ist, das heißt also die Maschine sehr genau beobachten bis es zu den von Dir beschriebenen Problemen kommt.
        Wenn Du den Prozess kennst, kannst Du dann mit Hilfe der entsprechenden Logs versuchen die Ursache zu finden.

        Gegen das public key Verfahren habe ich einzuwenden, dass mein Server nur so sicher ist, wie die keys, die außerhalb des Servers gespeichert werden. Nur um mal zu checken, ob ich das richtig verstanden habe. Ich erzeuge auf meinem PC einen privat - public key pair. Den private liegt auf meinem PC, den public speichere ich auf dem Server. Wenn nu jemand meinen private key von meinem PC klaut, dann kann er sich damit einloggen oder?

        Ich empfehle Dir mal das folgende HOWTO zu lesen: http://www.debianhowto.de/howto-archiv/de/sshconfig/c_sshconfig.html

        Und mein PC ist im Vergelich zu meinem Server beschissen gesichert.

        Das ist schlecht. Wie Christian schon sagte - wenn Du keine Kontrolle über den Rechner mit dem Du Dich auf dem Server einloggst hast - dann bringen Dir die besten Sicherheitsmaßnahmen auf dem Server nichts.

        Ich bevorzuge es hinter einem NAT-Gateway/Firewall (z.B. ein DSL-Router) zu arbeiten, und die einzelnen Rechner auf dem neusten Stand zu halten, und im Fall von Windows mit folgender Anleitung/Script abzusichern: http://www.ntsvcfg.de/ (und natürlich verwende ich nicht IE/OE).

        Grüße
        Andreas

        --
        SELFHTML Linkverzeichnis: http://aktuell.de.selfhtml.org/links/
        1. Hallo Andreas,

          danke für die nützlichen Links.

          Deine Vermutung, dass die Abstürze nichts mit den Angriffen haben ich in der Zwischenzeit bewiesen. Ich habe die selben Spuren im messages log gefunden, die deutlich älter sind, als meine Absturzprobleme. Außerdem konnte ich sogar beobachten wie die Maschine abschmiert und zu diesem Zeitpunkt gab es keinen Angriff. Es muss also ganzklar etwas anderes sein.

          Und ja ich würde schon gerne wissen was es ist, ich finde es allerdings sehr hart zu knacken. Wie ich erwähnt habe, habe ich neulich beobachten können wie es abgeschmiert ist. Ich hatte einen tail auf messages, dort war nichts zu sehen. top und netstat hatte ich leider gerade dann nicht offen, aber kurz vorher reingeguckt und es war alles in Ordnung. Nach dem Zeitpunkt des Absturzes ist nichts mehr in messages aufgetaucht, als wäre die Maschine tot. Sie aber per Ping erreichbar und zumindest der cron deamon müsste ab und zu mal im messages log auftauchen. Alles sehr merkwürdig. Ebenfalls merkwürdig ist, das jetzt die Maschine nun seit 2 Tagen wieder läuft.

          Ich würde gerne schon alleine deswegen meinen Server neu installieren, weil ich mal was anderes ausprobieren will, als SuSE. Man hört von SuSE eigentlich nur schlechtes, jedenfalls als Webserver, die sind ja eher auf Workstation mit GUI ausgerichtet. Was ich brauche ist apache, mysql, perl, ssh, ftp, email und eine firewall. Kannst du mir was emfehlen? Ich mache mir vor allem um die Firewall sorgen, ich komme eingentlich nur mit der SuSE Firewall klar, weil die eine gut verständliche config Datei hat.

          Ciao,
          Cruz

          1. und eine firewall.

            Wozu brauchst du auf einem Server eine Firewall?

            1. Hi,

              Wozu brauchst du auf einem Server eine Firewall?

              Um Datenpakete nach bestimmten Kriterien zu Filtern. Zumindest nutze ich die Firewalls auf meinen Servern für derartige Dinge.

              1. Wozu brauchst du auf einem Server eine Firewall?

                Um Datenpakete nach bestimmten Kriterien zu Filtern. Zumindest nutze ich die Firewalls auf meinen Servern für derartige Dinge.

                Warum sollte man das auf einem Server tun wollen?

                1. Warum sollte man das auf einem Server tun wollen?

                  Weil auch ein Server nicht alle Datenpakete verarbeiten muss, die im zugeschoben werden.
                  Ich hab z.B. einen Server im Internet, der stellt Webseiten nur für einige Intranets zur Verfügung, ansonsten arbeitet der nur als Mailserver.

                  Also was mach ich mit Anfragen, die nicht aus den Intranets kommen? Ich filtere die aus.

                  1. Ich hab z.B. einen Server im Internet, der stellt Webseiten nur für einige Intranets zur Verfügung, ansonsten arbeitet der nur als Mailserver.

                    Also was mach ich mit Anfragen, die nicht aus den Intranets kommen? Ich filtere die aus.

                    Sinnlos. In dem Fall bindet man den Apache auf das Interface für das Intranet. Ein Paketfilter ist Ressourcen-Verschwendung.

                    1. Sinnlos. In dem Fall bindet man den Apache auf das Interface für das Intranet. Ein Paketfilter ist Ressourcen-Verschwendung.

                      Dann erklär mir mal, wie ich bei einen Server, der über das Internet an mehrere Intranets angebunden ist, einen Service an das Interface innerhalb des Intranets binden soll. Soll ich von jedem der Intranets (die Weltweit verteilt sind) ein Kabel zum Server ziehen?

                      1. Sinnlos. In dem Fall bindet man den Apache auf das Interface für das Intranet. Ein Paketfilter ist Ressourcen-Verschwendung.

                        Dann erklär mir mal, wie ich bei einen Server, der über das Internet an mehrere Intranets angebunden ist, einen Service an das Interface innerhalb des Intranets binden soll. Soll ich von jedem der Intranets (die Weltweit verteilt sind) ein Kabel zum Server ziehen?

                        Allow from existiert.

                        1. Allow from existiert.

                          Dann mach du mal. Offensichtlich bist du um einiges schlauer als der Rest der Sysadmins, die einen Dienst nach aussen hin Abschotten und nicht nur den simplen Aufruf einer Webseite verhindern.

                          Und zur Info, ich hab die Webseite als Beispiel angegeben. Auch wenn es sich deiner Kenntnis entzieht, gibt es innerhalb von Netzwerken auch andere Dienste ausser Mail und Web. Kannst ja gerne mal erklären, wie du einen NIS-Server ohne Firewall nach aussen abschottest, wenn du alles besser weisst.

                          1. Hallo!

                            Dann mach du mal. Offensichtlich bist du um einiges schlauer als der Rest der Sysadmins, die einen Dienst nach aussen hin Abschotten und nicht nur den simplen Aufruf einer Webseite verhindern.

                            Nein, schlaue Sysadmins stellen einen Intranet-Server nicht auf die andere Seite des Internets ;-)

                            Und zur Info, ich hab die Webseite als Beispiel angegeben. Auch wenn es sich deiner Kenntnis entzieht, gibt es innerhalb von Netzwerken auch andere Dienste ausser Mail und Web. Kannst ja gerne mal erklären, wie du einen NIS-Server ohne Firewall nach aussen abschottest, wenn du alles besser weisst.

                            Wozu muss ein NIS-Server eine Verbindung zum Internet haben? Entsprechend sollte ein Intranet Server im lokalen Netz, ohne Zugriff auf das Internet stehen. Wenn man Standorte verbinden muss, dann greift man eben auf Sachen wie VPN/IPsec zurück...

                            Aber solche Server-Dienste auf irgendeinem Server im Internet anzubieten, und per lokalem Paketfilter den Zugriff zu kontrollieren, halte ich nicht wirklich für sinnvoll.

                            Abgesehen davon ist es ja nichtmal billiger, eher im Gegenteil...

                            Grüße
                            Andreas

                            --
                            SELFHTML Feature Artikel: http://aktuell.de.selfhtml.org/artikel/
                          2. Allow from existiert.

                            Dann mach du mal. Offensichtlich bist du um einiges schlauer als der Rest der Sysadmins, die einen Dienst nach aussen hin Abschotten und nicht nur den simplen Aufruf einer Webseite verhindern.

                            Den ausgebildeten(!) Administrator will ich sehen, der dir empfiehlt, einen Paket-Filter auf demselben Rechner zu installieren.

                            Und zur Info, ich hab die Webseite als Beispiel angegeben. Auch wenn es sich deiner Kenntnis entzieht, gibt es innerhalb von Netzwerken auch andere Dienste ausser Mail und Web. Kannst ja gerne mal erklären, wie du einen NIS-Server ohne Firewall nach aussen abschottest, wenn du alles besser weisst.

                            Du scheinst ein Problem mit deiner Infrastruktur zu haben.

          2. Hallo!

            Außerdem konnte ich sogar beobachten wie die Maschine abschmiert und zu diesem Zeitpunkt gab es keinen Angriff. Es muss also ganzklar etwas anderes sein.

            Kannst Du nichts Auffälliges in den Logs, kurz vor dem Ausfall finden? Nicht nur im syslog, sondern ggfs. auch bei den Diensten, z.B. Apaches access und error_log?

            Und ja ich würde schon gerne wissen was es ist, ich finde es allerdings sehr hart zu knacken. Wie ich erwähnt habe, habe ich neulich beobachten können wie es abgeschmiert ist. Ich hatte einen tail auf messages, dort war nichts zu sehen. top und netstat hatte ich leider gerade dann nicht offen, aber kurz vorher reingeguckt und es war alles in Ordnung. Nach dem Zeitpunkt des Absturzes ist nichts mehr in messages aufgetaucht, als wäre die Maschine tot. Sie aber per Ping erreichbar und zumindest der cron deamon müsste ab und zu mal im messages log auftauchen. Alles sehr merkwürdig.

            Allerdings.

            Hast Du evtl. irgendwas an der Konfiguration/Installation verändert, kurz bevor die Probleme aufgetreten sind? Hast Du einen System-Monitor wie MRTG oder Cacti installiert? Das kann manchmal auch aufschlussreich sein, je nachdem was man sich da darstellen lässt. Du könntest noch versuchen, per cronjob oder daemon interessante Daten zu sammeln, oder wenigstens versuchen rauszubekommen was auf dem System noch läuft wenn der Server nicht mehr erreichbar ist.

            Vielleicht ist es aber auch ein Hardware-Problem.

            Ich würde gerne schon alleine deswegen meinen Server neu installieren, weil ich mal was anderes ausprobieren will, als SuSE. Man hört von SuSE eigentlich nur schlechtes, jedenfalls als Webserver, die sind ja eher auf Workstation mit GUI ausgerichtet. Was ich brauche ist apache, mysql, perl, ssh, ftp, email und eine firewall. Kannst du mir was emfehlen?

            Naja, das erste was ich mit nem Server mache ist Gentoo installieren ;-)

            Das gute ist, die Installation auf einem Remote Server funktioniert fast genau so wie lokal. Die Installation erfolgt halt nicht von der Live-CD, sondern am besten aus einem Rescue-System (ohne dieses oder ohne Konsole sollte man das lieber lassen).

            Ein paar Sachen die man ggfs. lesen sollte:
            http://www.gentoo.org/doc/de/gentoo-security.xml (das ist das wichtigste!)
            http://www.gentoo.org/doc/de/virt-mail-howto.xml
            http://www.gentoo.org/doc/en/mailfilter-guide.xml

            Die deutsche Doku ist zwar meist recht aktuell, trotzdem ist die englische Doku immer auf dem aktuellsten Stand und am umfangreichsten.

            Größte Vorteile von Gentoo sind IMHO

            -> das geniale Paket-Management (portage, emerge)
            -> eine hervorragende Doku (auch in de)
            -> man installiert wirklich nur das was man brauchst
            -> Konfiguration erfolgt fast nur in den Standard-Konfigurationsdateien, was Dank der Doku wunderbar klappt

            Ich mache mir vor allem um die Firewall sorgen, ich komme eingentlich nur mit der SuSE Firewall klar, weil die eine gut verständliche config Datei hat.

            Ich zitiere mal aus den 1&1 FAQ:

            || Der Begriff Firewall beschreibt ein Konzept, um eine
            || Netzwerkinfrastruktur zu schützen, und den Datenverkehr in und aus einem
            || Netzwerk zu regulieren.
            ||
            || Bei einzelnen Servern, die direkt an ein Netzwerk angeschlossen sind,
            || lässt sich aus diesem Grund keine Firewall im klassischen Sinn - z.B. ein
            || System dass Pakete filtert, jedoch von der Hard- und Software des zu
            || schützenden Servers getrennt ist - realisieren.
            ||
            || Mittlerweile wird der Begriff Firewall auch für Paketfilter wie z.B.
            || IPTABLES genutzt. Ein Paketfilter ist in der Regel Bestandteil eines
            || Firewall-Konzepts.
            ||
            || Ein Paketfilter auf dem Server selbst ist in der Regel nur in speziellen
            || Szenarien notwendig. Bei Linux-Systemen haben Sie bei fast allen
            || angebotenen, IP basierten Diensten die Möglichkeit, diese an den
            || sogenannten localhost (Device 'lo' oder die IP 127.0.0.1) zu binden, oder
            || den Zugriff direkt über den Dienst selbst zu beschränken.
            ||
            || Den Zugriff über einen Paketfilter zu unterbinden, wäre die unsaubere
            || Herangehensweise. Ein Dienst der nicht benötigt wird, sollte generell
            || deaktiviert werden.

            Im Normalfall benötigt man auch keinen Paketfilter auf dem Server, wozu benötigst Du den ?

            1. Ein Dienst wird nicht benötigt -> abschalten, deinstallieren
            2. Ein Dienst wird nur lokal benötigt -> binde den Dienst an localhost

            Und wenn Du doch einen guten Grund kennst (es gibt welche ;-)), findest Du im oben verlinkten Gentoo Sicherheitsleitfaden hilfreiche Infos.

            Kann sogar gut sein dass die "Firewall" für Deine Probleme verantwortlich ist.

            Grüße
            Andreas

            PS: Die SELF-Server laufen ebenfalls mit Gentoo.

            --
            SELFHTML Feature Artikel: http://aktuell.de.selfhtml.org/artikel/
            1. Hallo Andreas,

              ich danke dir wirklich sehr für die Mühe und Hilfe, die du mir in diesem Thread geboten hast. Ich denke ich werde jetzt wirklich mal den Schritt wagen und auf Gentoo umsteigen. Da mein Server eh schon platt ist habe ich ja nichts zu verlieren. :)

              So aus dem Stehgreif fällt mir als sinnvolle Anwendung für einen Paketfilter ein, dass man damit dynamisch bestimmte IPs oder Ports sperren kann, die einen grad nerven. Es gibt z.B. diese Tools, die durch die Logs kriechen und dann genau das tun, wenn sie etwas Verdächtiges entdecken. Außerdem gibt es ja auch stateful Paketfilter, die nicht nur einfach doof Pakete Filtern, sondern auch auf connection Ebene arbeiten und und z.B. ein Session Hijacking verhindern können. Naja...nachdem ich die Docs die du mir gepostet hast durchgelesen habe, weiss ich sicherlich mehr.

              Danke nochmal,
              Cruz