Hallo Forum,

heute früh wurde ich per eMail darüber informiert, dass sich auf einem von mir benutzten Server Bilder mit schlüpfrigem Inhalt (Kinder) befänden. Eine rasche Kontrolle ergab, dass es sich tatsächlich so verhielt. Die Daten habe ich natürlich sofort gelöscht und das Zugangskennwort geändert.

Jetzt bin ich auf der Suche nach einem Programm, dass die "Bewegungen" auf dem Server überwacht. Sollte z.B. ein neues Verzeichnis angelegt werden, soll mir das Programm eine eMail schicken und mich darüber informieren.

Natürlich könnte ich mir selber ein kleines PHP-Script schreiben, das diese Aufgabe übernimmt und als Cronjob läuft, aber es wäre dann halt nur sehr rudimentär.

Kennt jemand ein entsprechendes Überwachungsprogamm?

Greets, speedy

Hi!

Sowas ist natürlich immer unschön.
Als erstes solltest du überprüfen ob deine Software auf dem neusten Stand ist.
Wenn das ein root-Server ist (sprich du hast komplette Kontrolle und damit auch Verantwortung für die Software und Aktualisierung des Servers), dann heisst das dass du wirklich alles aktualisieren musst, von Betriebssystemkernel über Webserver-Daemon bis hin zur Galerie-Software. In der Regel wird nicht dein Passwort erraten worden sein, sondern der Einbruch erfolgte über eine Sicherheitslücke irgendwo im System und solange die nicht gefunden und geschlossen ist, musst du immer wieder damit rechnen, dass sowas passiert.
Wenn du selber Software installieren kannst, dann ist vermutlich sowas wie "tripwire (http://sourceforge.net/projects/tripwire/)" das was du suchst.
Bei den meisten Linux-Distributionen gibt es fertige Pakete für Tripwire.

Sofern es eine Linux-Maschine ist (Root oder v-Server ist egal):
- Firewall bis auf alle benötigten Dinge abdichten
- Loglevel erhöhen
- bisherige Logs überprüfen
- wie schon erwähnt: Updates!

bei Windows ist im Prinzip das gleiche zu tun.
Logs sind einzusehen unter: start -> ausführen -> "eventvwr" -> OK

So wie du die Situation schilderst, hat dein Serveranbieter wohl Grundsätzlich Zugriff auf deine Kiste. Sehr Fragwürdig..........

So wie du die Situation schilderst, hat dein Serveranbieter wohl Grundsätzlich Zugriff auf deine Kiste. Sehr Fragwürdig..........

Oder es gab ne Abuse Meldung.

Richtig, viele Anbieter sind aber dafür bekannt ein Hintertürchen zu Ihren Servern im System zu haben.

Richtig, viele Anbieter sind aber dafür bekannt ein Hintertürchen zu Ihren Servern im System zu haben.

Bei vServern keine große technische Herausforderung, bei root-Servern schon kniffliger, vor allem wenn man direkt nach der Anmietung das Betriebssystem aktualisiert :mrgreen:
Es geht natürlich wenn man ein Rescuesystem bootet aber im laufenden System eher schwierig.

Ein ernsteres Problem ist dagegen, dass bei vielen vServern der Softwarestand nicht unbedingt immer aktuell ist. Bei managed Systemen genauso und da kann man nicht einmal was gegen unternehmen (außer Anbieter wechseln).
Als ich meinen root-Server angemietet habe, war eine ziemlich alte Distribution vorinstalliert und es gab auch fertig nichts neueres. Mit ein Grund warum ich von den verfügbaren Optionen Ubuntu Server Edition genommen habe, denn da kann man ohne allzu großes Risiko remote ein Distributionsupgrade machen.

Neben der Aktualisierung des Systems und der Dienste sollte man nach einem Einbruch zudem schauen, ob der ungebetene Gast nicht ggf irgendwelche Hintertürchen hinterlassen hat.
U.a. sollte man mithilfe von "netstat -na" nachschauen, ob irgendwelche Ports geöffnet sind, die man nicht haben will. Wichtig ist der Bereich TCP mit Einträgen mit Status "Listen". In der Spalte "Local Address" steht hinter dem Doppelpunkt jeweils der benutzte Port. Nummer 80 und ggf 443 stehen z.B. für den Webserver, Port 25, 110, 143, 587, 993 und 995 stehen für Mailserver.
Wenn man nicht weiss warum ein Port offen ist, kann man mit "fuser -n tcp PORTNUMMER" schauen welcher Prozess diesen Port benutzt und mit "ps PROZESSID" kriegt man den Namen des Prozesses raus.

So ein "Überwachungsprogramm" nutzt dir prinzipiell gar nichts, wenn der böse Wicht direkten Zugriff auf deine Maschine hat. Wer sich diese Mühe macht, achtet auch auf solche Dinge.

Dummerweise bist du bei Dingen wie root-Servern selbst in der Pflicht die nötigen patches und updates einzupflegen und die Maschine so sinnvoll zu konfigurieren, dass man von "einigermaßen sicher" sprechen kann. Bei einem Gerät das dazu da ist Dienste im Internet zur Verfügung zu stellen kann das leider schnell in richtig viel Arbeit ausarten, vor allem wenn man das nicht hauptberuflich macht.

Schwere Verstöße hier können soweit führen, das du mit haftbar bist, ähnlich wie wenn du dein Wlan nicht absicherst und jemand deine Leitung für "böse Dinge" nutzt.

Backbone

Bei vServern keine große technische Herausforderung, bei root-Servern schon kniffliger, vor allem wenn man direkt nach der Anmietung das Betriebssystem aktualisiert :mrgreen:
Es geht natürlich wenn man ein Rescuesystem bootet aber im laufenden System eher schwierig.

Bei vServern würde ich nicht von Hintertürchen sprechen. Der Hoster guckt drauf und sieht 1:1 was du siehst. Überwachung pur, wer das möchte: bitte gerne.

Auch bei Rootservern ist es für Hoster einfach auf die Kisten drauf zu schauen: Anstatt der üblichen Linuxkernel werden in den vom Hoster angebotenen Installationen eigene Kernel verwendet und SSH-Keys im System versteckt. Es ist auch legitim diese Maßnahmen rückgängig zu machen indem man einfach einen anderen Kernel verwendet - nämlich einen der Distributor. Wichtig ist auch die Quellen für Updates auszutauschen. Standardtisiert sind Quellen des Hosters eingetragen, hier müssen wieder die des Distributors rein. Sonst bringt ein Update rein garnichts.


Ein ernsteres Problem ist dagegen, dass bei vielen vServern der Softwarestand nicht unbedingt immer aktuell ist. Bei managed Systemen genauso und da kann man nicht einmal was gegen unternehmen (außer Anbieter wechseln).
Als ich meinen root-Server angemietet habe, war eine ziemlich alte Distribution vorinstalliert und es gab auch fertig nichts neueres. Mit ein Grund warum ich von den verfügbaren Optionen Ubuntu Server Edition genommen habe, denn da kann man ohne allzu großes Risiko remote ein Distributionsupgrade machen.


Generell sehe ich keinen Nutzen in vServern. Es mangelt an Vorteilen. Man teilt sich Hardware und kann nicht auf konstante Leistung zählen. BigBrother (der Hoster) schaut mir bei allem was ich tue über die Schulter und zu guter letzt trägt man die volle Verantwortung für das System.
Je nach dem was man auf der Kiste betreiben möchte, sind eine Sinnvolle Alternative nur noch Roots oder einfacher Webspace.

Wenn man eine Website betreiben möchte, zB um seine Fotos zu publizieren, ist der Aufwand viel zu groß dafür einen vServer/Root anzumieten, selbst die Administration und Verantwortung für die Technik zu haben. Für ein paar Euro mehr gibt es gute Hoster die Webspace in allen Variationen anbieten.
Aber das muss jeder für sich selbst entscheiden.

Auch bei Rootservern ist es für Hoster einfach auf die Kisten drauf zu schauen: Anstatt der üblichen Linuxkernel werden in den vom Hoster angebotenen Installationen eigene Kernel verwendet und SSH-Keys im System versteckt. Es ist auch legitim diese Maßnahmen rückgängig zu machen indem man einfach einen anderen Kernel verwendet - nämlich einen der Distributor. Wichtig ist auch die Quellen für Updates auszutauschen. Standardtisiert sind Quellen des Hosters eingetragen, hier müssen wieder die des Distributors rein. Sonst bringt ein Update rein garnichts.


Naja, einen Kernel zu modifizieren macht man auch nicht so mal eben. Zudem ist es ohne eindeutigen Hinweis in den AGBs auch illegal derartige Überwachungstools zu installieren.
Einen SSH-Key in den Root-Account zu packen ist je nach Vereinbarung mit dem Provider legitim, denn wenn der Kunde einige Dinge nicht selber machen will und vom Provider erledigt haben möchte, dann geht das kaum vernünftig anders. Muss aber halt vereinbart sein.
Die Quellen des Betriebssystems beim Hoster zu lagern hat in der Regel auch nichts mit Manipulation zu tun sondern schlichtweg mit dem Sparen von Bandbreite, denn für einen Provider gibt es keine "Flatrate", der zahlt den ganzen Traffic seiner Kunden nach Aufkommen und wenn alle Hosts beim Provider auf einen internen Quellen-Mirror zugreifen, dann spart das so einige Gigabyte im Monat und ist zudem für den Kunden auch noch schneller in der Übertragung.
Will man offizielle Quellen, dann ist das ja kein Problem das umzustellen. Wenn man nicht weiss wie man die Quellen konfiguriert, dann sollte man eh die Finger von root-Servern lassen. :roll:


Generell sehe ich keinen Nutzen in vServern. Es mangelt an Vorteilen.

Kosten? vServer sind für den Kunden schlichtweg billiger und je nach Vertrag erspart man sich das Aktualisieren des Betriebssystems. Außerdem ist man beim Ausfall von Hardware (die immer mal vorkommen kann) schneller wieder online als bei einem root-Server.
Für den Provider sind vServer durchweg von Vorteil, denn sie lassen sich jederzeit ohne großen Aufwand auf andere oder neuere/leistungsfähigere Hardware verschieben mit minimalster Downtime.


Man teilt sich Hardware und kann nicht auf konstante Leistung zählen. BigBrother (der Hoster) schaut mir bei allem was ich tue über die Schulter und zu guter letzt trägt man die volle Verantwortung für das System.
Je nach dem was man auf der Kiste betreiben möchte, sind eine Sinnvolle Alternative nur noch Roots oder einfacher Webspace.

Wenn man eine Website betreiben möchte, zB um seine Fotos zu publizieren, ist der Aufwand viel zu groß dafür einen vServer/Root anzumieten, selbst die Administration und Verantwortung für die Technik zu haben. Für ein paar Euro mehr gibt es gute Hoster die Webspace in allen Variationen anbieten.
Aber das muss jeder für sich selbst entscheiden.

Die geteilte Hardware ist bei vernünftiger Konfiguration durch den Hoster nicht zwingend von Nachteil, denn die physikalische Hardware ist in der Regel um Größenordnungen leistungsfähiger als ein Einzelserver. Wenn ein vServer lahmt, dann hast du vermutlich einen unfähigen Provider.
Über die Schulter schauen tun die meisten Provider dir auch nicht, denn dann hätten sie den lieben langen Tag nichts anderes zu tun.
Bei einem vServer hast du gegenüber einem einfachen Webspace halt den Vorteil dass du Software nachinstallieren kannst und fast alle Möglichkeiten eines root-Servers hast. Bei modernen Virtualisierungstechniken hast du sogar inzwischen die freie Wahl des Betriebssystems - ohne irgendwelche Modifikationen - bei der sogenannten Vollvirtualisierung. Da braucht nicht einmal der Kernel des Betriebssystems mehr angepasst werden und das OS bekommt gar nicht mehr mit, dass es virtualisiert läuft.
Für die allermeisten Fälle hat ein vServer kaum bis keine Nachteile zu einem dedicated Server.

Naja, einen Kernel zu modifizieren macht man auch nicht so mal eben. Zudem ist es ohne eindeutigen Hinweis in den AGBs auch illegal derartige Überwachungstools zu installieren.
Einen SSH-Key in den Root-Account zu packen ist je nach Vereinbarung mit dem Provider legitim, denn wenn der Kunde einige Dinge nicht selber machen will und vom Provider erledigt haben möchte, dann geht das kaum vernünftig anders. Muss aber halt vereinbart sein.

Warum sollte ein Hoster die Linux Kernel die sie in Ihrem Server-Manager zur Installation anbieten, nicht modifizieren? Weil es vielleicht aufwändig ist, wird sich davon kein Hoster aufhalten lassen. Gängige Methode ist zB ein cronjob der alle Stunde die laufenden Prozesse an den Betreiber übermittelt. Im Sinne der wahrung der AGBs: Nutzt der Kunde Programme/Dienste die nicht zulässig sind? Oftmals werden Dienste wie IRC-bnc's, TOR, Proxys oder torrent-Clienten schon Vertraglich nicht gedulded. Die Einfache Klausel in den AGBs "Anbieter XY hält sich das Recht vor, regelmäßig die Einhaltung der Bedingungen zu kontrollieren...." machts möhlich. Damit sind Linuxdistributionen zu gunsten des Hosters und hinterlegte SSH-Keys Legitim. Sowas findet sich besonders auch bei sehr günstigen Angeboten.

Macht der Kunde solche Maßnahmen rückgängig, kann er natürlich auch keine Serviceleistungen wie von Dir genannt erwarten.


Die Quellen des Betriebssystems beim Hoster zu lagern hat in der Regel auch nichts mit Manipulation zu tun sondern schlichtweg mit dem Sparen von Bandbreite, denn für einen Provider gibt es keine "Flatrate", der zahlt den ganzen Traffic seiner Kunden nach Aufkommen und wenn alle Hosts beim Provider auf einen internen Quellen-Mirror zugreifen, dann spart das so einige Gigabyte im Monat und ist zudem für den Kunden auch noch schneller in der Übertragung.
Will man offizielle Quellen, dann ist das ja kein Problem das umzustellen. Wenn man nicht weiss wie man die Quellen konfiguriert, dann sollte man eh die Finger von root-Servern lassen. :roll:

Klar ist das für den Provider günstiger. Aber: Wenn man einen Originalkernel installiert, und nicht die Quellen tauscht, macht das keinen Sinn, oder? ;)
Und es ging ja darum wie der Provider denn erfahren hat dass sich besagte Datei auf der Maschine befindet. Also entweder Abusemeldung oder er guckt auf die Maschine drauf.
Und letzteres kann man nun mal eben ausschließen wenn man den Kernel tauscht, die Quellen ersetzt, SSH-Keys löscht und und und. Darum gings mir.
Und sowieso: Wenn ich eine Traffic-Flat habe, dann interessiert mich doch nicht was das ziehen der Quellen füt Mehrkosten bei meinem Provider verursacht. ;)

Kosten? vServer sind für den Kunden schlichtweg billiger und je nach Vertrag erspart man sich das Aktualisieren des Betriebssystems. Außerdem ist man beim Ausfall von Hardware (die immer mal vorkommen kann) schneller wieder online als bei einem root-Server.
Für den Provider sind vServer durchweg von Vorteil, denn sie lassen sich jederzeit ohne großen Aufwand auf andere oder neuere/leistungsfähigere Hardware verschieben mit minimalster Downtime.

Die geteilte Hardware ist bei vernünftiger Konfiguration durch den Hoster nicht zwingend von Nachteil, denn die physikalische Hardware ist in der Regel um Größenordnungen leistungsfähiger als ein Einzelserver. Wenn ein vServer lahmt, dann hast du vermutlich einen unfähigen Provider.
Über die Schulter schauen tun die meisten Provider dir auch nicht, denn dann hätten sie den lieben langen Tag nichts anderes zu tun.


Richtig, vServer sind billiger. Und zwar massiv billiger! Aber zu welchem Preis? Genau: Performance-Verlust.
Guck Dir mal die vServer bei server4you an. Da wird knapp kalkuliert um solche Preise zu erreichen, ich möchte nicht wissen, welche Hardware du wirklich im Hostrechner hast und wie viele Virtualisierungen sich diese Teilen. :roll:

Und dir sollte auch bewusst sein, dass man auch performante Hardware vorgaukeln kann. Was dann nun wirklich im Rechner steckt, bekommt das OS garnicht mehr mit :)

Natürlich ist server4you nicht grade ein Musterbeispielt für gute Server. Ich würde selbst auch wo anders einkaufen.
Und ein gut konfigurierter vServer ist je nach Verwendungszweck klar für beide Seiten Kosteneffizient - da stimme ich zu.

Bei vServern greift aber auch wieder die Wahrung der AGBs. Und vServer sind wesentlich einfacher zu überprüfen.

Bei einem vServer hast du gegenüber einem einfachen Webspace halt den Vorteil dass du Software nachinstallieren kannst und fast alle Möglichkeiten eines root-Servers hast. Bei modernen Virtualisierungstechniken hast du sogar inzwischen die freie Wahl des Betriebssystems - ohne irgendwelche Modifikationen - bei der sogenannten Vollvirtualisierung. Da braucht nicht einmal der Kernel des Betriebssystems mehr angepasst werden und das OS bekommt gar nicht mehr mit, dass es virtualisiert läuft.
Für die allermeisten Fälle hat ein vServer kaum bis keine Nachteile zu einem dedicated Server.
Und bei einem einfachen Webspace kann man nichts nachinstallieren? Was denn zB nicht? Natürlich suche ich mir schon ein Angebot aus, was mir alles bietet was ich brauche: PHP5, x-mySQL DBs, x-eMail Postfächer und PLESK zur Verwaltung. Was fehlt Dir? Angenommen du willst später noch Perl-Scripts auf dem Server laufen lassen und es ist in deinem Hostingpaket nicht drin. Jeder gute Provider wird dir das auf Anfrage ermöglichen - wenn auch dann mit Anpassung der Kosten.

Selbes Problem, aber: vServer. Ich habe von Anfang an viel mehr Arbeit, denn ich muss den vServer erstmal einrichten um meine Website auf ihm betreiben zu können. Dazu gehören Webserver, Datenbank, php-Installation, SSL-Module hinzufügen, FTP-Server einrichten.... Anschließend muss die Kiste pflegen, Sicherungen selbst erstellen, dafür sorgen dass der verwendete Webserver-Dienst aktuell ist. Aber: ich hab vollen Zugriff - Juhu! Den brauch ich eigentlich nur wenn ich in Apache das Perl-Modul dazuladen möchte. Ansonsten lade ich die Dateien meiner Webseite einfach per FTP hoch.

Und dann noch die Kosten: ein vServer fängt (ums einfach zu machen) bei 10€ im Monat an. Webhosting mit Domain und mySQL, Perl, PHP, Python, Plesk und eMail-Accounts fängt bei 5€ im Monat an.
Macht für mich 50% Kostenersparnis im Gegensatz zur vServer-Variante. Und da ist die Zeit, die Du zur Administration aufwendest nicht mit eingerechnet!!!
Vorteile? Im Beispiel des Webservers um seine Fotos zu zeigen sehe ich keine. Das sieht bei anderen Anwendungsbereichen aber auch wieder ganz anders aus......

Bevor das Thema endgültig abschweift... vielleicht könnte Speedy mal Rückmeldung geben was nun eigentlich Stand der Dinge ist. Ansonsten ist das ganze hier nämlich rein akademisch.

Ansonsten ist das ganze hier nämlich rein akademisch.

Das ist es schon seit der zweiten Antwort :D

Der "Einbrecher" hat ganz einfach das Zugangskennwort geknackt, erraten oder gebruteforced, wie auch immer, er hatte den FTP-Zugang und damit konnte er, ungehindert seinen Müll bei mir deponieren.

Die Lehre daraus: Verwende keine zu einfachen Kennwörter.

Das genannte Sicherheitsprogramm ist deutlich zu überkandidelt. Es sollte wesentlich einfacher sein und nur "schreien", wenn ein neues Verzeichnis angelegt wurde.

Trotzdem interessant, eure Beiträge zu lesen. Vielen Dank für eure Teilnahme :top:

Greets, speedy

Ich diskutiere gerne :)
Hat noch jemand lust?

Ich diskutiere gerne :)
Hat noch jemand lust?

Merkt man ;)

Dann aber in einem neuen Thread. Bzw ist dann hier im SUF doch zu sehr off topic.
Wenn Speedy meint es habe wirklich nur an einem zu leicht zu erratenden Passwort gelegen, dann ist alles weitere hier müßig. Gut für ihn dass es wohl hoffentlich folgenlos geblieben ist.
Halten für die Allgemeinheit fest: Wenn ihr Webseiten betreibt, achtet auf sichere Passwörter, kuckt ab und zu mal auf eure Seite ob noch alles so ist wie ihr's hochgeladen habt und wenn ihr mehr als nur Webspace haben wollt, dann überlegt euch was ihr braucht und was ihr dann selber pflegen müsst.