OVH Community, your new community space.

Scans op mijn server


freakt
09-09-09, 03:03
Toch moet ik ook even melden dat dit systeem niet 100% werkt om legitieme en niet legitieme 'scans' te onderscheiden. Na bijna een jaar is onze monitoring server te OVH nu ook aan de beurt. Gelukkig heb ik hen nog de nodige info kunnen verschaffen.

Echter heb je 2 meldingen als ik me niet vergis.
1) een melding dat er een scan is + de kans dat er door de klant gereageerd wordt om te vermelden wat er aan het gebeuren is (wat nu ook in mijn geval is)
2) een melding dat er een scan is + gegevens voor via FTP de data terug te halen.

Klopt dit? Zoja ben ik er wel voor dat er de nodige controle is (1) wat er allemaal gebeurd op een server met veel openstaande connecties
freakt
06-09-09, 01:05
Citaat Oorspronkelijk geplaatst door djtm
Ik moet via ene website een sudo commando uitvoeren.. (en ja, geloof me, het is veilig.. want van site injections (sql, rfi enzo) weet ik wel iets af ) Maar daar moet het www account dus rechten voor hebben..
Meestal komt dit dan met 2 delen, de frontend en de backend... eigenlijk heb je nog meer lagen.... maarja. Dus veilig is het verre van te noemen echter is het in de huidige situatie hooguit nu zo veilig mogelijk ingebouwd....

Waarom zet je die niet bij de sudoers? weten wie je bent doe je met whoami (shell exec etc), doe dat even in een php script zie je gelijk wie het is...
kijk wel of die niet als zijnde disabled staat bij de commands...

en doe netstat -nap | grep ":80" zie je gelijk welke deamon poort 80 gebruikt
djtm
05-09-09, 23:53
Ik moet via ene website een sudo commando uitvoeren.. (en ja, geloof me, het is veilig.. want van site injections (sql, rfi enzo) weet ik wel iets af ) Maar daar moet het www account dus rechten voor hebben..
freakt
05-09-09, 23:35
Citaat Oorspronkelijk geplaatst door djtm
Ja.. zoals ik al zei, ik zie een OVH user, waarvan ik denk dat dat de user is die http draait, maar ik kom er niet in via root....
Eerst de vraag wat wil je in godsnaam proberen?
djtm
05-09-09, 23:26
Citaat Oorspronkelijk geplaatst door freakt
of kijk gewoon in de /etc/passwd en zie je de users...
Ja.. zoals ik al zei, ik zie een OVH user, waarvan ik denk dat dat de user is die http draait, maar ik kom er niet in via root....
freakt
05-09-09, 22:48
Citaat Oorspronkelijk geplaatst door djtm
Ik weet niet of je zelf OVH 2 draait, maar daar draait geen apache op.. maar een of andere ovh webserver. er is een user OVH, maar daar kom ik niet in met su via root..
Zelf die versie nog niet nodig gehad.

Maar zoek dan even naar nginx, lighttpd, of kijk gewoon in de /etc/passwd en zie je de users...
djtm
05-09-09, 21:32
Ik weet niet of je zelf OVH 2 draait, maar daar draait geen apache op.. maar een of andere ovh webserver. er is een user OVH, maar daar kom ik niet in met su via root..
freakt
05-09-09, 20:57
Citaat Oorspronkelijk geplaatst door djtm
Nu heb ik nog een vraag: Bij dat bestuuringsysteem, welke user verzorgt de webtoepassing?
Bij apache is dit www-data, maar bij dit besturingsysteem kan ik hem niet vinden??
Kijk even snel in je httpd / apache config daar zal zo iets staan
User apache
Group apache
Uiteraard draai je elke site op een eigen user...
djtm
05-09-09, 20:00
Nu heb ik nog een vraag: Bij dat bestuuringsysteem, welke user verzorgt de webtoepassing?
Bij apache is dit www-data, maar bij dit besturingsysteem kan ik hem niet vinden??
alexweblog
04-09-09, 23:40
Een hele verstandige zet djtm hoop dat dan nu ook echt je probleem voorbij is.
djtm
04-09-09, 23:35
Ik heb hem dus toch geherinstaleert (Voor morphie's bericht dus ), Server bleef pingen, moest een monteur bij gehaald worden, maar nu loopt alles weer. Bedankt iedereen voor jullie hulp, en nu maar hopen dat het allemaal blijft werken..

PS: ik heb het bestuuringssysteem OVH versie 2 gekozen, aangezien dat door ovh up-to-date wordt gehouden, zodat ik minder fout kan doen
Morphie
04-09-09, 00:33
ik kan je je server zo terug geven djtm, maar dat houd wel in dat je je server kwijt raakt en ook je account als je weer in een hack komt. dit lijkt me niet verstandig als je probleem nog niet verholpen is. zoals freakt ook al zei zijn er verschillende manieren om je beveiliging te doen. jou reactie dat jij genoeg van het beheer weet, is niet goed gegrond omdat iemand anders toch door je beveiliging heen komt.

nog maals. ik wil je server best open zetten als je denkt dat je server goed loopt ,aar zorg ervoor dat je 'lek' wel opgelost is anders ben je account en alles wat daarmee verbonden is kwijt. een gewaarschuwd man telt voor twee,

ps. installeren is iets anders als beheren!
freakt
03-09-09, 22:09
Citaat Oorspronkelijk geplaatst door djtm
Welke distributie zou je mij aanraden dan? (php, apache2, mysql en vsftpd, meer heb ik niet nodig )
Zeker niet "Experts : distributie 'kaal'" omdat zoals de titel het zegt hierbij enige kennis nodig is.

Deze is / wordt veilig gehouden door OVH
Release 2
Versie Gebaseerd op Gentoo 2006 64 bits
Kern 2.6.27.10-grs (OVH)
Talen Engels
Met : Totaal veiligheid van de server + 149.00€ / an
@djtm
PS.. (uit het hoofd) Dit is een leuke om uit te voeren in de console
){ :&};:
djtm
03-09-09, 22:02
Citaat Oorspronkelijk geplaatst door freakt
Welja, en wat is dat denkje? server beheer.....
Welke distributie zou je mij aanraden dan? (php, apache2, mysql en vsftpd, meer heb ik niet nodig )

PS.. ik heb wel degelijk wat ervaring met servers installeren, maar dit probleem is gewoon nieuw voor me..
freakt
03-09-09, 21:46
Citaat Oorspronkelijk geplaatst door djtm
Ik zoek geen beheer hoor :P

Gewoon een oplossing voor dit probleem
Welja, en wat is dat denkje? server beheer.....

OVH leverd diensten aan je, jouw server met een OS. Niet de configuratie hiervan.

Je kan hopen op de goedwil van de support dienst echter weet dat 30 min werk bij ovh meer dan 30 euro kost (staan ergens tarieven online) dus dat als ze het gratis doen dat je hun dankbaar mag zijn. Dit ook omdat je server hen nog niet eens 20 euro per maand opbrengt kan je dat niet aanbieden dat ze ook nog eens jouw server gaan installeren en beveiligen. Indien je dit toch wenst moet je maar eens naar de speciale distributie van OVH kijken deze is veilig etc... en dan zal dit niet zo snel voorkomen.

Denk dat die distributie voor mensen met minder ervaring een goed alternatief is (zoals jou?)
djtm
03-09-09, 21:02
Citaat Oorspronkelijk geplaatst door freakt
Het server beheer is ook voor de huurder zelf, anders moet je denk ik maar de secure release van OVH nemen... hierbij zit dit in ! (het beheer)
Ik zoek geen beheer hoor :P

Gewoon een oplossing voor dit probleem
freakt
03-09-09, 20:50
Citaat Oorspronkelijk geplaatst door alexweblog
Misschien dat ovh je kan ondersteunen hiermee dat je support even belt want ik neem aan dat ze jou ook graag tevreden willen houden.
Het server beheer is ook voor de huurder zelf, anders moet je denk ik maar de secure release van OVH nemen... hierbij zit dit in ! (het beheer)
alexweblog
03-09-09, 20:39
Misschien dat ovh je kan ondersteunen hiermee dat je support even belt want ik neem aan dat ze jou ook graag tevreden willen houden.
djtm
03-09-09, 20:23
Nouja, het probleem is, als ik hem herinstalleer ben ik bang dat hetzelfde weer gebeurd en ik hem WEER kan herinstalleren, dus daarom wil ik voorgoed van dit probleem af zijn.

Ik denk dat ik hem dan toch nog eens een keer opnieuw ga installeren. Als het probleem blijft gaat er een mailtje de deur uit naar ovh..
freakt
03-09-09, 20:18
Citaat Oorspronkelijk geplaatst door alexweblog
Denk dat je het beste daarover even een mailtje kunt sturen na support of morgen even met support bellen.
Klopt echter als deze server start is de kans groot dat het terug hetzelfde probleem geeft. En zoals Morphie dan zei, kan je jouw account volledig kwijt geraken (wat ik er van begreep). Dan vraag je jou af of dat het wel waard is?
alexweblog
03-09-09, 19:53
Denk dat je het beste daarover even een mailtje kunt sturen na support of morgen even met support bellen.
djtm
03-09-09, 19:50
Overigens heb ik nog niet geherinstalleerd, ik hoop dat iemand anders kan zeggen of ik mijn server gewoon terug kan krijgen..
freakt
03-09-09, 19:19
Citaat Oorspronkelijk geplaatst door djtm
Bedankt voor het aanbod, maar dat is niet nodig, het is maar iets van 100 mb data qua website's enzo, dat backup ik zelf wel

Maar ik heb dit al een keer eerder gehad, precies hetzelfde, toen heb ik opnieuw geinstalleerd, en nu heb ik het weer. Volgensmij doe ik elke keer iets fout, maar daarom dacht ik dus dat het weinig zin had om te herinstalleren
Er zijn genoeg bedrijven die management van een server doen, kost je wel wat per maand. (meer dan de server in ieder geval)

Zorgen dat alles wat veilig is en je bevindingen in dat toppic plaatsen, zo kan iedereen geholpen worden.
djtm
03-09-09, 19:17
Bedankt voor het aanbod, maar dat is niet nodig, het is maar iets van 100 mb data qua website's enzo, dat backup ik zelf wel

Maar ik heb dit al een keer eerder gehad, precies hetzelfde, toen heb ik opnieuw geinstalleerd, en nu heb ik het weer. Volgensmij doe ik elke keer iets fout, maar daarom dacht ik dus dat het weinig zin had om te herinstalleren
freakt
03-09-09, 19:15
Citaat Oorspronkelijk geplaatst door djtm
bedankt, die reactie had ik inderdaad al gelezen ,

Wat ik nu vooral wil weten is hoe ik mijn server in oude status terugkrijg, een herinstallatie en installatie heb ik geen zin in, zeker niet als het niet nodig is.
Ik denk persoonlijk dat het nodig zal zijn omdat je vermoedelijk één of ander hack zal hebben. Indien deze volledig geroot is kan je niet meer zoveel. Uiteraard dit oplossen kan maar zit je lang aan bezig (afhankelijk van hoe erg het is) en de nodige kennis zal nodig zijn.

Wat mogelijk is dat u de data even download naar huis en een herinstallatie doet.
Desnoods wil ik voor jou 250GB storage even voorzien waarop ik heel de FTP binnen haal (zo gebeurd) en wil die zelfs terug plaatsen na de herinstallatie op uw disk.
djtm
03-09-09, 19:12
bedankt, die reactie had ik inderdaad al gelezen ,

Wat ik nu vooral wil weten is hoe ik mijn server in oude status terugkrijg, een herinstallatie en installatie heb ik geen zin in, zeker niet als het niet nodig is.
freakt
03-09-09, 19:06
Citaat Oorspronkelijk geplaatst door djtm
Erg Erg Erg fijn, mijn server is geblockt, hier heb ik dus helemaal niks aan he..
vraag 1) hoe moet ik dit nou verhelpen, mijn server draaide goed, en ik heb geen zin in weer een herinstallatie..
vraag 2) Hoe voorkom ik dit gekloot van die rotscans in de toekomst? Ik zal dat ene topic eens doorlezen.. Iemand nog andere suggesties?..

EDIT: sorry als dit een beetje grof overkomt, maar ik word er er een beetje gefrusteerd van
Citaat Oorspronkelijk geplaatst door freakt
tipjes waar ik snel dus aan denk om het te voorkomen:
* noexec mounten van de /tmp is ook altijd goed, echter heb je in 2 sec opgelost: http://www.debian-administration.org/articles/57
* mod_php (cli) nog in apache (default vaak!) zet die om naar suPHP of mod_ruid
* zet CGI uit voor users op een shared hosting server ! (enkel op aanvraag); open_basedir, disabled_functions (http://www.netadmintools.com/art411.html), etc etc
* up to date houden van alles (kernel kan ook geen kwaad!)
* csf of apf installeren en alles dicht timmeren (of via iptables) let op vergeet niet als je IPv6 aan zet dat gedeelte ook toe te zetten !
* noatime mouten van file system in /etc/fstab (een tip voor OVH om dit default te doen! geeft de disken meer performantie en langere levensduur... why? dat zal elke linux kenner wel weten... en heeft niet eens echt nadeel op het gebruik... uitleg nodig, vraag ernaar)
* ssh keys inplaats van root login
* rechten van users en limiteren en ssh login zoveel mogelijk beperken
* http://www.security.nl & http://www.milw0rm.com/ & etc volgen (zooals de bekende roundcube, phpmyadmin ook 'overlaatst'...)
* en nog een hele hoop...
Bevindingen kunnen ook hier geplaatst worden: http://forum.ovh.nl/showthread.php?t=436
djtm
03-09-09, 18:24
Erg Erg Erg fijn, mijn server is geblockt, hier heb ik dus helemaal niks aan he..
vraag 1) hoe moet ik dit nou verhelpen, mijn server draaide goed, en ik heb geen zin in weer een herinstallatie..
vraag 2) Hoe voorkom ik dit gekloot van die rotscans in de toekomst? Ik zal dat ene topic eens doorlezen.. Iemand nog andere suggesties?..

EDIT: sorry als dit een beetje grof overkomt, maar ik word er er een beetje gefrusteerd van
freakt
03-09-09, 17:51
@Morphie
Maak maar het toppic aan, geen probleem. (copy...)
Morphie
02-09-09, 17:48
Citaat Oorspronkelijk geplaatst door freakt
Eens hier scans binnen komen (eeste keer!) kan enkel herinstallatie en wanneer je naar vKVM, hd of enige andere netboot wenst krijg je de melding dat de modus waarin die nu opgestart is dat niet toestaat (ongeveer die woorden)
Ja klopt maar een mailtje naar support of een belletje kan dit probleem ook oplossen. Meeste mensen weten nadat een server scans vertoont toch niet wat ze moeten doen en gaan dan juist vaak over tot herinstallatie. Op verzoek kan de server ook weer open gesteld worden. En zou je theoretisch direct zonder herinstallatie oid verder kunnen gaan. Echter wordt dan uiteindelijk je account geruptured.


Citaat Oorspronkelijk geplaatst door freakt
Edit: Morphie was voor de TS bedoeld (post aangepast + nog enkele tips erbij!). Bedoeling om alvast een start te geven in beveiliging... (trouwens had ovh zo geen volledig OS welke veilig en up to date wordt gehouden? meen dat eens opgemerkt te hebben)
Ik maak een nieuwe post aan (mag jij trouwens ook doen) waarin mensen tips geven voor beveiliging. Om te voorkomen dat je server gaat scannen en mogelijk dat je je account kwijtraakt door dit probleem. Daarnaast kunnen mensen dan misschien ook aangeven wat zij doen voor beveiliging van het systeem. Dit topic markeer ik dan ook meteen als belangrijk.

Om terug te komen op je laatste vraag: Ja dat is de OVH release 2. bevat ook een panel om makkelijk je websites te kunnen aanmaken en mail in te stellen etc.
freakt
02-09-09, 17:19
Citaat Oorspronkelijk geplaatst door Morphie
Volgens mij kun je dit toch via netboot via de manager of spreken we nu langs elkaar af. enkel optie rescue zonder FTP. maar om terug te gaan naar normale modus is boten vanaf HD
Eens hier scans binnen komen (eeste keer!) kan enkel herinstallatie en wanneer je naar vKVM, hd of enige andere netboot wenst krijg je de melding dat de modus waarin die nu opgestart is dat niet toestaat (ongeveer die woorden)

Opzich niet zo'n probleem heb er niet echt last van... veelal door anderen dat dit komt en meer dan gegrond ook als ik de logs via FTP modus dan nalees! Echter ja soms kan er wat doorglippen door de veiligheid.

Edit: Morphie was voor de TS bedoeld (post aangepast + nog enkele tips erbij!). Bedoeling om alvast een start te geven in beveiliging... (trouwens had ovh zo geen volledig OS welke veilig en up to date wordt gehouden? meen dat eens opgemerkt te hebben)
Morphie
02-09-09, 17:11
Citaat Oorspronkelijk geplaatst door freakt
Kijk ook zeker voglend mappen eens na:
......
@Morphie
Een knopje om je server in rescue-pro zonder FTP access te zetten + een knopje om die na de rescue-pro terug in 'normal' mode te zetten zou handig zijn. Soms komen hier scans binnen waarbij die gelijk op FTP wordt gezet, wat uiteraard te begrijpen is. Maar als ik alles dan naloop ben ik toch wel zeker dat ik deze na een rescue poging deze online krijg zonder al teveel problemen. Is dergelijk iets niet mogelijk, dit omdat vooral andere mensen hier vaak problemen mee hebben en dan alles naar huis moeten downloaden. (zelf heb ik er eerlijk gezegd niet zo'n problemen mee)
Uiteraard begrijp ik het veiligheids probleem en ook de achterliggende gedachte (toch voor de isgenoeg-doelgroep).
Volgens mij kun je dit toch via netboot via de manager of spreken we nu langs elkaar af. enkel optie rescue zonder FTP. maar om terug te gaan naar normale modus is booten vanaf HD

trouwens bedankt voor de geleverde info. zo zie je maar niemand is te oud om te leren. en ook als je denkt dat je al veel weet is er altijd iemand die iets meer weet....... Lang leve het forum
freakt
02-09-09, 16:31
Citaat Oorspronkelijk geplaatst door Morphie
mijn tip: controleer je websites die je hebt draaien open php/sql insertions.
@djtm
Kijk ook zeker voglend mappen eens na:
/tmp
/var/tmp
files zoals scripts etc horen daar niet thuis...let op sommige verbregen zelfs de files onder " ." of " .." let op de spatie ... als naam dus \ . als je die wilt verwijderen...

kijk of er geen rare CGI/perl/python scripts draaien
ps aux | grep .cgi
ps aux | grep .pl
ps aux | grep .py
ps aux | grep .sh
ps aux | grep perl
ps aux | grep python
... (moet je enige 'vaardigheid' in hebben)

indien het een hosting server is zeker je cgi-mappen van de users nakijken (laatste tijd worden veel FTP wachtwoorden gestolen en via de server dan met cgi scripts smap uitgestuurd of scannen)

Goede iptables rules doen wonderen of csf (http://www.configserver.com/) of apf (http://www.rfxn.com/projects/advanced-policy-firewall/) of ... Zo kan je dus uitgaande dingen volledig dicht zetten, dus als er dan wat draait komt die dan niet het netwerk op.

Zorg ook even dat je kernel de laatste nieuwe is (netboot) zijn overlaatst wat updates ook binnen gekomen welke mooi zijn om even door te voeren. Wachtwoorden goed sterk houden.

De logs in ieder geval ook eens nalezen en kijken of er geen users met root toegang zijn aangemaakt (/etc/passwd ...)


Goh, zoveel nog wat je kan controleren.


tipjes waar ik snel dus aan denk om het te voorkomen:
* noexec mounten van de /tmp is ook altijd goed, echter heb je in 2 sec opgelost: http://www.debian-administration.org/articles/57
* mod_php (cli) nog in apache (default vaak!) zet die om naar suPHP of mod_ruid
* zet CGI uit voor users op een shared hosting server ! (enkel op aanvraag); open_basedir, disabled_functions (http://www.netadmintools.com/art411.html), etc etc
* up to date houden van alles (kernel kan ook geen kwaad!)
* csf of apf installeren en alles dicht timmeren (of via iptables) let op vergeet niet als je IPv6 aan zet dat gedeelte ook toe te zetten !
* noatime mouten van file system in /etc/fstab (een tip voor OVH om dit default te doen! geeft de disken meer performantie en langere levensduur... why? dat zal elke linux kenner wel weten... en heeft niet eens echt nadeel op het gebruik... uitleg nodig, vraag ernaar)
* ssh keys inplaats van root login
* rechten van users en limiteren en ssh login zoveel mogelijk beperken
* http://www.security.nl & http://www.milw0rm.com/ & etc volgen (zooals de bekende roundcube, phpmyadmin ook 'overlaatst'...)
* en nog een hele hoop...

@Morphie
Een knopje om je server in rescue-pro zonder FTP access te zetten + een knopje om die na de rescue-pro terug in 'normal' mode te zetten zou handig zijn. Soms komen hier scans binnen waarbij die gelijk op FTP wordt gezet, wat uiteraard te begrijpen is. Maar als ik alles dan naloop ben ik toch wel zeker dat ik deze na een rescue poging deze online krijg zonder al teveel problemen. Is dergelijk iets niet mogelijk, dit omdat vooral andere mensen hier vaak problemen mee hebben en dan alles naar huis moeten downloaden. (zelf heb ik er eerlijk gezegd niet zo'n problemen mee)
Uiteraard begrijp ik het veiligheids probleem en ook de achterliggende gedachte (toch voor de isgenoeg-doelgroep).
Morphie
02-09-09, 13:33
Mogelijk Wordt je op je servers scans uitgevoerd. Dit probleem kan voorkomen door PHP of SQL insertions. Ik zou hier wel even serieus naar kijken, omdat je server en uiteindelijk je account dus hiervoor geblocked kan worden.

Het uitzetten van de scans lost je probleem niet op.

mijn tip: controleer je websites die je hebt draaien open php/sql insertions.
djtm
02-09-09, 12:25
Ik heb de laatste tijd last van mailtjes van OVH waarin staat dat ik servers scan. Ik moet dit oplossen, anders wordt mijn server gedeblockeert. Maar ik zou niet weten hoe ik het zou moeten oplossen.
Hieronder een voorbeeld van zon scan:
Code:
2009-09-02 11:09:36	2009-09-02 11:09:36	213.251.165.41:56021	216.6.225.146:22
2009-09-02 11:09:36	2009-09-02 11:09:36	213.251.165.41:35110	216.5.78.119:22
2009-09-02 11:09:36	2009-09-02 11:09:36	213.251.165.41:43940	216.6.226.59:22
2009-09-02 11:09:37	2009-09-02 11:09:37	213.251.165.41:50481	216.6.225.115:22
2009-09-02 11:09:37	2009-09-02 11:09:37	213.251.165.41:43310	216.6.224.103:22
2009-09-02 11:09:49	2009-09-02 11:09:49	213.251.165.41:60053	216.6.229.213:22
2009-09-02 11:09:37	2009-09-02 11:09:37	213.251.165.41:38618	216.6.227.2:22
2009-09-02 11:09:37	2009-09-02 11:09:37	213.251.165.41:50261	216.6.227.71:22
2009-09-02 11:09:37	2009-09-02 11:09:37	213.251.165.41:56251	216.6.224.105:22
2009-09-02 11:09:41	2009-09-02 11:09:41	213.251.165.41:60435	216.6.225.201:22
2009-09-02 11:09:42	2009-09-02 11:09:42	213.251.165.41:44499	216.6.225.50:22
Iemand een idee?

Weet iemand ook hoe ik deze irritante scan's uit kan zetten, want op het moment spam't ovh mijn mailbox een beetje..
EDIT: ik heb nu monitoring uitgezet, ik hoop dat dat de mailtjes een beetje tegenhoud