Frage:

Woran erkennt man denn einen Einbruch?
Meistens ist es ja zuspät, weil der Provider bereits den Server gesperrt hat.

Antwort:

Es sind meist einfache Spuren:

Ein besonderer Augenmerk ist meist auf alle Aktivitäten und Dateien von User www|wwwrun|www-data zu richten, da die meisten Einbrüche per Cross-Site-Scripting (XSS) in schlecht gesicherten Web-/PHP-Anwendungen stattfinden.

Prevention:

Programme wie logwatch und rkhunter bringen zwar keine Verbesserung der Sicherheit, lassen aber rechtzeitige Aufschlüsse über Versuche zu.

Traffic-Auswertung per IAM z.B. helfen ebenfalls: Traffic über einzelne Ports messen

Ansonsten hilft ein ständiges Updaten aller Software-Pakete (apt-get, up2date oder yum) und vorallem ein anständig abgesichertes PHP.

Kategorien:

Stichwörter:

security · einbruch · hack · hacking · cron · tmp · iam · php · traffic · xss · www · wwwrun · www-data · apt-get · yum · mail · maillog ·