Security & Firewalls

ID #1174 Woran erkennt man einen erfolgreichen Einbruch (Hack)?

Frage:

Woran erkennt man denn einen Einbruch?
Meistens ist es ja zuspät, weil der Provider bereits den Server gesperrt hat.

Antwort:

Es sind meist einfache Spuren:

  • Sehr viele unerklärliche Einträge im Maillog.
  • Cron-Einträge von Programmen, die Du nie installiert hast.
  • Software die im <code>/tmp/code>, <code>/var/tmp/code> oder <code>.../phptemp/code> installiert ist.
  • Ansteigender Traffic.

Ein besonderer Augenmerk ist meist auf alle Aktivitäten und Dateien von User <code>wwwcode>|<code>wwwruncode>|<code>www-datacode> zu richten, da die meisten Einbrüche per Cross-Site-Scripting (XSS) in schlecht gesicherten Web-/PHP-Anwendungen stattfinden.

Prevention:

Programme wie <code>logwatchcode> und <code>rkhuntercode> bringen zwar keine Verbesserung der Sicherheit, lassen aber rechtzeitige Aufschlüsse über Versuche zu.

Traffic-Auswertung per IAM z.B. helfen ebenfalls: Traffic über einzelne Ports messen

Ansonsten hilft ein ständiges Updaten aller Software-Pakete (<code>apt-getcode>, <code>up2datecode> oder <code>yumcode>) und vorallem ein anständig abgesichertes PHP.

 

sozial Bookmarking
Bookmarken bei YIGG Bookmarken bei Mister-Wong Bookmarken bei Icio Bookmarken bei del.icio.us Bookmarken bei Technorati Bookmarken bei Furl Bookmarken bei Spurl Bookmarken bei Yahoo Bookmarken bei Google

huschi, zuletzt 2006-06-13 20:42     Artikel ausdrucken Artikel weiterempfehlen Als PDF-Datei anzeigen

Dieser Inhalt ist unter der Creative-Commons Lizenz lizensiert.

Probleme bitte im Server-Support-Forum diskutieren.

überflüssig 1 2 3 4 5 wertvoll  
Durchschnittliche Bewertung:   0 von 5 (0 Bewertungen)

Artikel kommentieren

Kommentar von serverundso (2012-01-07 00:12:34):
Habe eine unbekannte IP in meinen Logs gehabt + ein Login über den Port 6608 ...problem ist nur, dass mein Server auf einen ganz anderen Port reagiert...was nun? Hack oder Fehler?