Linux-security

sziasztok!
ismét ügyféllel kapcsolatos kérdés miatt fordulok hozzátok.
a kérdés a következő: ha egy ügyfeletek (egyébként teljesen ismeretlen webes levélküldő) 3rd party szoftvert szeretne telepíteni az általatok felügyelt szerverre, milyen szempontokat vesztek figyelembe a döntés során?

úgy, mint:
* biztonság?
* stabilitás?
* ügyfél elégedettsége?
* php jogosultságai?
* kell-e módosítani az alapkonfigon, ami az összes többi ügyfél számára tökéletes?

még valami?

hogy döntitek el adott szoftverről, hogy azt végül hajlandóak vagytok-e telepíteni vagy sem?
egyelőre nem szeretnék konkrétumokba bocsátkozni, ha a későbbiekben érdekessé válik, melyik szoftverről van szó jelen esetben, akkor update-elek.

segítségeteket előre is köszönöm!

Üdv mindenkinek !

Olyan problémám lenne, hogy van egy visszatérő pajtásom aki folyton be betör az apache-om ra. a /tmp és /var/tmp könyvtárokba ír, és botokat helyez el amikkel szépen floodol is. időről időre kilőttem a pidjüket, és eltávolítottam a botokat, de ujra visszatért az illető. Ekkor raktam fel suphp-t mert "aztmondták az jó". A probléma nem oldódott meg, csak annyiban hogy más könyvtárba írkál. www-data userként futtatja a filejait, szoval még nem szerzett más jogosultságot.

roundcube , drupal 6.9 , dragonfly cms, gamecontrolpanel van rajta. a dragonfly már maintenance módban fut, azthittem az a bugos, de ma reggel megint bejött a srác.

Itt vannak a verziók:

Server version: Apache/2.2.9 (Debian)
Server built: Jan 21 2009 00:10:51

PHP 5.2.6-1+lenny2 with Suhosin-Patch 0.9.6.2 (cli) (built: Jan 26 2009 21:54:14)
Copyright (c) 1997-2008 The PHP Group
Zend Engine v2.2.0, Copyright (c) 1998-2008 Zend Technologies
with the ionCube PHP Loader v3.1.33, Copyright (c) 2002-2007, by ionCube Ltd., and
with Zend Extension Manager v1.2.2, Copyright (c) 2003-2007, by Zend Technologies
with Zend Optimizer v3.3.3, Copyright (c) 1998-2007, by Zend Technologies

Egyelőre ötletem sincs hogyan előzzem meg, mert a log fileban csak az van hogy leszedte ezt és ezt a filet, nem pedig az hogy hogyan és miként.
Ha tudnátok segíteni nagyon megköszönném!

device

Feb 13 04:00:07 marvell su[24797]: Successful su for root by root
Feb 13 04:00:07 marvell su[24797]: + ??? root:root
Feb 13 04:00:07 marvell su[24797]: (pam_unix) session opened for user root by (uid=0)
Feb 13 04:00:07 marvell su[24797]: (pam_unix) session closed for user root

Kerdesem lenne... hogy a fentii bejegyzes mi? Marmint... ez a

Feb 13 04:00:07 marvell su[24797]: + ??? root:root

sor megzavar... Ez ugy szamomra fura... Mostansag a rendszer furcsa dlgokat tesz ezert kezdtem el nezni a logokat...

mert egy sima su

Feb 17 11:03:53 marvell su[31027]: Successful su for root by rmed
Feb 17 11:03:53 marvell su[31027]: + pts/0 rmed:root
Feb 17 11:03:53 marvell su[31027]: (pam_unix) session opened for user root by (uid=1001)

igy nez ki...
plusz a session zaras a vegen
de ez egybol nyitotta es zarta
nemtudni miylen terminalrol
root inditotta a root-nak

ebbol egy csomo van egymas utan...
Feb 13 04:00:07 marvell su[24797]: Successful su for root by root
az elso a sorban
Feb 13 04:05:26 marvell su[25943]: (pam_unix) session closed for user root
ez az utolso...
minden masodpercen van 3-4 iylen block...

/* ssh-n keresztul nemlehet, mert sshd-ban root bejelentkezes ki van tiltva... */

es igen... 13-i ez a bejegyzesem is ugyan erre a serverre:
http://hup.hu/node/67176

hali

Ez az első iptables beállítási kisérletem. Van egy belső hálózat, annak van egy caching dns szerver beállítva, melyet egy iptables-sel kellene védeni (mely rajta vann), eddig jutottam el:

az itt a lényeg alatt ki kommentezett két sor ilyen állapódban van akkor is működik a dns feloldás de piszok lassan úgy kábé 20-30 másodperc de lehet hogy hosszabb a kérdés tehát MI A PROBLÉMA AZ IPTABLES-ben, HOGY ILYEN LASSÚ A DNS FELOLDÁS??? (ha kiveszem a kommentből - úgy ez minden kommunikációt engedélyez a belső hálózat felől ezt nem szeretnénk -, akkor minden szépen gyorsan megy). Előre is köszi

x.x.x.x - isp name szervere
y.y.y.y - a belső hálózat tartománya

iptables -F

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

########################################## ez mindent engedélyez a belső hálózatból
# itt a lényeg
# ########################################
#iptables -A INPUT -p tcp -s 10.100.10.0/24 -j ACCEPT
#iptables -A INPUT -p udp -s 10.100.10.0/24 -j ACCEPT

# dns
iptables -A INPUT -p udp -s x.x.x.x --sport 53 --dport 1024:65535 -j ACCEPT
iptables -A INPUT -p tcp -s x.x.x.x --sport 53 --dport 1024:65535 -j ACCEPT
iptables -A INPUT -p udp -s y.y.y.y/24 --sport 1024:65535 --dport 53 -j ACC$
iptables -A INPUT -p tcp -s y.y.y.y/24 --sport 1024:65535 --dport 53 -j ACC$
iptables -A INPUT -p udp -s y.y.y.y/24 --sport 53 --dport 53 -j ACCEPT
iptables -A INPUT -p tcp -s y.y.y.y/24 --sport 53 --dport 53 -j ACCEPT

Sziasztok!

Segitseget ill. inkabb tippekjet kernek Toletek.
A helyzet az, hogy felkerultunk egy-ket spamlistara, es nem a legjobbakra..
Szoval volt mar ilyen az eletemben, de azok hala a gyors leiratkozasnak ill. az ertelmes adminoknak konnyen megoldott, de ez esetben mar nem tudok mit kitalalni.
Jelenleg: a sorbs ill. a spamcannibal szzerint spammer vagyok.
Az utobbi kozlekenyebb egy jan 24-ei bejegyzesre hivakozik ami valahogy igy nez ki:
"Received: from google.com (itt van az IP cimem)
by ns2.bizsystems.net with ESMTP id n0OFrYmh024950
for ; Sat, 24 Jan 2009 07:53:38 -0800 (PST)
Received: from [118.112.119.147] (HELO google.com)
by gentle-wronggee.us; Sat, 24 Jan 2009 16:53:31 +0100"

LEhet, hoy en vagyok a hulye, de nekem nagyon nem ugy tunik, mintha en spammelnek a zarojeles resz vagyok..
Atnyalaztam mindent, be/kifele csak egy uton lehet kuldeni (mailszerver), de annak logjait atnezve semmit sem talatam.
A vicces, hogy a ket spamlista datumbelyege masodpercre ugyanannyi, az ora meg csak a zonakbol adodoan ter el.
Leiratkozin ezekrol viszont oszettettebb, mint vizenjarni.
Probaltam indket helyen tanacsot kerni, de semmi.

Szoval, ha van valakiek tippje, hogy mit hol, kinek, hogyan nezzek/kuldjek akkor nagyon halas lennek, mert 400 userem van, akiknek turelmuk fogytan.

Suse10+Exim4 a rendszer

A bejovo szurest egy Mcafee 3100-as vegzi.

nyc

"Sziasztok!

Mostanában DOS gyanús támadások érték az apache-ot(child process dos). Mióta frissítettem, azóta nem halt meg teljesen(lekopogom), de a swap használatban azért megjelennek a grafikonon néha tüskék. Arra gondoltam megpróbálok tűzfalas védelmet használni, hogy ne terhelődjön feleslegesen a szerver."

Korábban ezt gondoltam mert a processek valóban elszaporodnak, de valójában azért, mert a nagy memória foglalás miatt belassul a rendszer. Mint kiderült a php memory limit csak safe módban működik, így azt kivétel nélkül mindenhol be kell kapcsolni.

Szeretnek megvalositani titkositott root file rendszert tavoli gepen, pontosabban hogy minden olyan resz amiben erdemi adat, konfig stb lehet azok kodolva legyenek, de ugyanakkor ujra tudjam inditani tavolrol is a gepet optimalis esetben es lehetoleg csomagbol legyenek felteve az alkalmazasok es ha mar pofatlan akarok lenni akkor debian (szeru) rendszer legyen. :)
Amikre gondoltam, h teljes titkositott particiok, ezesetben nem problema a csomagbol felrakni dolgokat vagy h mit hova tesz, igazabol a gondot csak az ujrainditas megoldasa okozza, ami viszont eleg lenyeges hiba lehet.
Masik megoldas amire gondoltam, h root, etc, usr nincs kodolva es a problemas konfigokat meg amik veluk jar beallitom mindenben h mashol van amit hasznaljon, ez kevesbe jar gonddal restart eseten, viszont idovel sokmindenre kell figyelni h mashova tegye, egy esetleges csomagfrissites netan modosithatja a konfigot amiben le van irva mi hol van...
Harmadik megoldasnak gondoltam olyat, h kulon particio problemas konfigoknak es tarsainak amire nem atirnam h onnan dolgozzon, hanem csak symlink-el atlinkelnem az eredeti helyere, igy csomagfrissites eseten (csak kititkositott particiok eseten lenne errol szo) nem irna felul olyat amit nem kellene, viszont meg lenne a lehetosege 1-2 alkalmazasnal h mig nem kodolom ki azt amin az adatok vannak addig megprobalna restart eseten elindulni az alkalmazas es ha nem talal konfigot vagy logfile-t csak semmire mutato linket akkor legeneralja magatol ujonnan.
Kinek mi a velemenye vagy milyen egyeb otletei vannak?

U.I.: bar bizok benne ennek nincs kulonosebb jelentosege, de mindezt sw-es raid1-en kellene megvalositani :)

Ma kaptam egy spamot egy olyan e-mail címre, amihez kapcsolódó domain és postafiók csak pár napja él.
Konkréten: info@masiksajatdomain.hu
Mivel ezt a címet egyenlőre csak én ismerem, ezért megnéztem a levél forrását.

Ezt látom:

Received: (qmail 17580 invoked by uid 0); 6 Dec 2008 12:35:40 +0100
Received: (qmail 17569 invoked from network); 6 Dec 2008 12:35:40 +0100
Received: from unknown (HELO user-386) (217.145.202.68)
by engepem.sajatdomain.hu with SMTP; 6 Dec 2008 12:35:40 +0100
Received-SPF: none (engepem.sajatdomain.hu: domain at fw.hu does not designate permitted sender hosts)
Received: from user-386[127.0.0.1] by user-386[127.0.0.1]
(SMTPD32); Sat, 6 Dec 2008 12:35:42 +0100
Message-ID: <775a0647ef4e7831a165a2f8001dd04c@fw.hu>
From: "Hotelclub Residence"
To:

ebből én most annyit látok, hogy valaki sikeresen beHELLO-zott az engepem.sajatdomain.hu -ra, és küldött egy levelet az info@masiksajatdomain.hu -ra. Ezt azért nem értem, mert az smpt szerverem authentikációt igényel. El tudná nekem mondani valaki, hogy itt mit csinált a spammer? Utal ez valami befoltozatlan biztonsági résre a gépemen?

Köszönöm előre is

Szaisztok!

Van egy USB-penndrive, amin olyan dolgok vannak, amit ha elhagyok nem volna jó hogy más kezébe kerüljön. (Céges adatok, forráskódok........) Hogyan tudom, ezt titkosítani? Ha lehet akkor multiplatformosan (szóval win-el is megoldható legyen, hogy lássam mert a cég egyenlőre only MS, de lesz linux is :) 1-2 hónapon belül).

Üdv,

Volna egy szerver, ahol csak és kizárólag levél kiküldésére van használva postfix.
Kintről nem is nyitott a levelező szerver, sem port sem szolgáltatás szinten.

PHP alapú egyedi fejlesztésű webes projectek futnak a gépen, amelyekhez minimális mértékben
van használva a levelezés. Ennek ellenére nap mint nap betalál egy két érdekes kísérlet, aminek
nem találom a forrását.

Íme egy rövid részlet a naplófájlokból:

Nov 5 05:48:22 szerverneve postfix/smtpd[12975]: warning: non-SMTP command from localhost[127.0.0.1]: http://vegyélviagrát.link1
Nov 5 09:37:56 szerverneve postfix/smtpd[14428]: warning: non-SMTP command from localhost[127.0.0.1]: http://vegyélviagrát.link2
Nov 5 09:41:55 szerverneve postfix/smtpd[15563]: warning: non-SMTP command from localhost[127.0.0.1]: http://vegyélviagrát.link3
Nov 5 09:42:19 szerverneve postfix/smtpd[15563]: warning: non-SMTP command from localhost[127.0.0.1]: http://vegyélviagrát.link4
Nov 5 09:43:22 szerverneve postfix/smtpd[15563]: warning: non-SMTP command from localhost[127.0.0.1]: http://vegyélviagrát.link5

Át lett vizsgálva a szerver és eddig nem találtam nem oda illő programot.
Egyesével a webes projectek is át lettek nézve tartalmilag illetve a hozzá tartozó adatbázis.
Sehol semmi kapcsolat az SMTP hívásokhoz.

Valaki ehhez hasonlóval találkozott régebben vagy mostanság?

Egyetlen tippem van, hogy valami bot program játszik a tcp fejlécekkel és így találnak be.