[speedy12]

Hallo Forum,

heute früh wurde ich per eMail darüber informiert, dass sich auf einem von mir benutzten Server Bilder mit schlüpfrigem Inhalt (Kinder) befänden. Eine rasche Kontrolle ergab, dass es sich tatsächlich so verhielt. Die Daten habe ich natürlich sofort gelöscht und das Zugangskennwort geändert.

Jetzt bin ich auf der Suche nach einem Programm, dass die "Bewegungen" auf dem Server überwacht. Sollte z.B. ein neues Verzeichnis angelegt werden, soll mir das Programm eine eMail schicken und mich darüber informieren.

Natürlich könnte ich mir selber ein kleines PHP-Script schreiben, das diese Aufgabe übernimmt und als Cronjob läuft, aber es wäre dann halt nur sehr rudimentär.

Kennt jemand ein entsprechendes Überwachungsprogamm?

Greets, speedy

[duncan.blues]

Hi!

Sowas ist natürlich immer unschön.
Als erstes solltest du überprüfen ob deine Software auf dem neusten Stand ist.
Wenn das ein root-Server ist (sprich du hast komplette Kontrolle und damit auch Verantwortung für die Software und Aktualisierung des Servers), dann heisst das dass du wirklich alles aktualisieren musst, von Betriebssystemkernel über Webserver-Daemon bis hin zur Galerie-Software. In der Regel wird nicht dein Passwort erraten worden sein, sondern der Einbruch erfolgte über eine Sicherheitslücke irgendwo im System und solange die nicht gefunden und geschlossen ist, musst du immer wieder damit rechnen, dass sowas passiert.
Wenn du selber Software installieren kannst, dann ist vermutlich sowas wie "tripwire" das was du suchst.
Bei den meisten Linux-Distributionen gibt es fertige Pakete für Tripwire.

[ELIXIER]

Sofern es eine Linux-Maschine ist (Root oder v-Server ist egal):
- Firewall bis auf alle benötigten Dinge abdichten
- Loglevel erhöhen
- bisherige Logs überprüfen
- wie schon erwähnt: Updates!

bei Windows ist im Prinzip das gleiche zu tun.
Logs sind einzusehen unter: start -> ausführen -> "eventvwr" -> OK

So wie du die Situation schilderst, hat dein Serveranbieter wohl Grundsätzlich Zugriff auf deine Kiste. Sehr Fragwürdig..........

[duncan.blues]

Zitat:

Zitat von ELIXIER

So wie du die Situation schilderst, hat dein Serveranbieter wohl Grundsätzlich Zugriff auf deine Kiste. Sehr Fragwürdig..........

Oder es gab ne Abuse Meldung.

[ELIXIER]

Richtig, viele Anbieter sind aber dafür bekannt ein Hintertürchen zu Ihren Servern im System zu haben.

[duncan.blues]

Zitat:

Zitat von ELIXIER

Richtig, viele Anbieter sind aber dafür bekannt ein Hintertürchen zu Ihren Servern im System zu haben.

Bei vServern keine große technische Herausforderung, bei root-Servern schon kniffliger, vor allem wenn man direkt nach der Anmietung das Betriebssystem aktualisiert
Es geht natürlich wenn man ein Rescuesystem bootet aber im laufenden System eher schwierig.

Ein ernsteres Problem ist dagegen, dass bei vielen vServern der Softwarestand nicht unbedingt immer aktuell ist. Bei managed Systemen genauso und da kann man nicht einmal was gegen unternehmen (außer Anbieter wechseln).
Als ich meinen root-Server angemietet habe, war eine ziemlich alte Distribution vorinstalliert und es gab auch fertig nichts neueres. Mit ein Grund warum ich von den verfügbaren Optionen Ubuntu Server Edition genommen habe, denn da kann man ohne allzu großes Risiko remote ein Distributionsupgrade machen.

Neben der Aktualisierung des Systems und der Dienste sollte man nach einem Einbruch zudem schauen, ob der ungebetene Gast nicht ggf irgendwelche Hintertürchen hinterlassen hat.
U.a. sollte man mithilfe von "netstat -na" nachschauen, ob irgendwelche Ports geöffnet sind, die man nicht haben will. Wichtig ist der Bereich TCP mit Einträgen mit Status "Listen". In der Spalte "Local Address" steht hinter dem Doppelpunkt jeweils der benutzte Port. Nummer 80 und ggf 443 stehen z.B. für den Webserver, Port 25, 110, 143, 587, 993 und 995 stehen für Mailserver.
Wenn man nicht weiss warum ein Port offen ist, kann man mit "fuser -n tcp PORTNUMMER" schauen welcher Prozess diesen Port benutzt und mit "ps PROZESSID" kriegt man den Namen des Prozesses raus.