Immer wieder wird ein Rootserver Ziel einer Attacke. Ob Spamer versuchen über den Server Mails zu versenden, der SSH Port angegriffen wird, es gibt sehr viele Angriffspunkte und diese müssen geschützt werden.

Ein Punkt ist das unterbinden von Bruteforce. Dazu muss iptables installiert und die Firewall beim booten aktiviert sein.

Dazu installiert man sich das Programm Fail2Ban wie folgt:

apt-get install fail2ban -y
cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

Anschliessend öffnet man die Datei /etc/fail2ban/jail.local und aktiviert die Dienste die man schützen möchte. Wenn man mein Debian Confixx HowTo verwendet hat für das Serversetup, dann sind folgende Zeilen zu aktivieren:

[ssh]
enabled = true
[proftpd]
enabled = true
[postfix]
enabled = true
[sasl]
enabled = true

Anschliessend muss man den Service nochmals neustarten mit:

/etc/init.d/fail2ban restart

Versucht anschliessend Jemand aus den Server zu connecten, dann wird seine IP für 5 Minuten auf den betroffenen Ports gesperrt. Einfach und schnell.

 

Ich musste ein Shellscript verschlüsseln,damit der Empfänger das gekaufte Skript nicht für sich selbst erweitern oder weiterverkaufen kann.

Da bin ich bei Francisco Rosales über ein Skript gestolpert, was die ShellScripte in C übersetzt und anschliessend compiliert. Ist zwar kein 100%iger Schutz, aber benötigt Aufwand zum decompilieren was den Meisten zu viel ist.

Der zuvor sehr gut lesbare und bearbeitbare Quellcode (Links) sieht dann wie Zeihenmuss (Rechts) aus.

Die Installation Weiterlesen

Wie alle PC haben auch Server ein User/Passwort zum verbinden und einloggen.

Unter Linux heisst der höchst privilegierteste User root.
Ist man im Besitz eines eigenen Linux Servers (Root Server) hat man Zwangsweise Bruteforce Attacken auf den SSH Dienst.
Eine Schutzmassnahme ist den Port von 22 auf ein anderen Port zu verlegen, um die Skriptkiddies abzuhalten. Leider ist dies aber keine richtige Schutzmassnahme.

Ein sicheres Passwort ist daher die Schutzmassnahme Nr2. Was ist sicherer als ein Passwort?
Nennen wir es mal ein Passwort mit 2000 Zeichen? Ein Key zum authentifizieren.

Diesen können wir zum Beispiel mit erstellen.


Als erstes kann man die Einstellungen vornehmen, das ein 2048bit Schlüssel generiert wird, wobei ich das DSA Verfahren bevorzuge.

Anschliessend kann man auf “Generate” drücken. Sobald man dies gemacht hat, werden die Mausbewegungen (bis der Balken voll ist) im Key Feld aufgezeichnet und damit ein zufälliger Wert generiert, welcher Einmalig ist und damit wie ein Fingerabdruck auf dich passt und am Ende Weiterlesen

Ohne DNS würde heute Internet noch in den Kinderschuhen stecken und nicht so benutzerfreundlich daherkommen.

Der DNS Dienst sorgt dafür, dass eine Anfrage nach www.google.ch auch einen Google Server mit einer 127.152.39.223 Nummer findet. Wer könnte sich denn einfach für jeden Dienst eine IP Adresse merken?

Wenn ein Land gewisse Seiten blockieren möchte, leitet es einfach die DNS Anfragen auf eine andere IP Adresse um und die Seite scheint “verschwunden” zu sein. Hätte man aber die direkte IP Adresse, könnte man die Seiten weiterhin öffnen. Eine Blockade wie im Moment in Lybien wäre dadurch nutzlos.

Dennoch sind DNS Namen einfacher zu merken und werden daher immer vorgezogen. Eine gute Beschreibung zu DNS findet man bei Wikipedia.

Bei E-Mails nutzt man zusätzlich den Reverse DNS (RDNS). Was ist das? Man fragt nach einer IP Adresse an und bekommt die Domain zurückgeliefert. Eben das umgekehrte Vorgehen einer DNS Abfrage. Warum?

Sagen wir dies mal so, ich gehe mit einem SpamServer online und verschicke gleich im Namen von Google Spammails.
Die Empfänger Server schauen nun welche IP mein Server hat und machen ein Reverse DNS lookup und bekommen als Antwort ‘hanswurst.ch’ geliefert. Die Mailserver wissen so sehr schnell das dies ein Spamserver ist, denn die Rückmeldung müsste auf ‘irgednwas.google.ch’ lauten. Die Einträge in den Maildienst ist daher wichtig (z.B. in Postfix).

Sind die Einträge falsch, findet man im mail.info Log solche Einträge:

Feb 23 19:47:16 vserver3149 postfix/smtp[28214]: B4B5C12A967: to=<blubber@werimmer.de>,
relay=mail.deinedimain.ch[xx.xx.xx.xx]:25, delay=0.36, delays=0.06/0.03/0.24/0.04, dsn=5.5.2, status=bounced
(host mail.deinedimain.ch[xx.xx.xx.xx] said: 504 5.5.2 <www-data@server1111>:
Sender address rejected: need fully-qualified address (in reply to RCPT TO command))

Wie findet man seine Reverse DNS Namen raus?
Weiterlesen