Twitter Timeline
- RT @cyman_de: FreeNAS updates to v8.0.3 and is rid of some rubbish and small enough to fit on most usb sticks. netatalk works now with lion1 month ago
- Allen Lesern einen guten Rutsch und ein ein frohes neues Jahr. Unser guter Vorsatz: Mehr bloggen!1 month ago
- RT @slith76: Vim: revisited http://t.co/GIdKrKMz1 month ago
- So sieht es aus, wenn Kunden einen Newsletter rausschicken :) #mailgraph http://t.co/ULg29jon2 months ago
- FreeBSD Buchverlosung: http://t.co/a9t1MZO02 months ago
- RT @jcfrick: Die Cloud hat halt auch Nachteile ;-) http://t.co/vxqdcl6G2 months ago
- Neu im Blog: US-Proxy für YouTube und Co. bei Server4You - das war wohl nix http://t.co/UWow2jzp2 months ago
- Neu im Blog: Iphone 4S gestohlen, Telekom hilft nicht http://t.co/r57REuwI2 months ago
- Shortcuts zur iPhone Prefpane ... nicht ganz so gut wie mit Jailbreak, aber immerhin. http://t.co/TFyZypE13 months ago
- RT @Linux: Fedora 16 "Verne" released! http://t.co/vX7A5Gar #Fedora #Linux3 months ago
- Neu im Blog: Schutz bei (D)DOS Angriffen mit Iptables http://t.co/vDeOdt2w3 months ago
- RT @nbbilliger: Mozilla Firefox 8.0 erschienen http://t.co/Ecn6h1Mp3 months ago
- Fazit nach 2 Tagen iPhone4s: Nett, aber kein Muss, wenn man da 4er hat. Siri ist recht nutzlos atm, Kamera besser. Akku 1:1 bisher. ^rk3 months ago
- Das Nginx-Modul "nginx-sticky-module" erfolgeich getestet und im Einsatz. Blogpost folgt bei Gelegenheit :) http://t.co/G1xBhuWX3 months ago
- Mehrere Kollegen wurden für das Blog begeistert, mal sehen ob gute Artikel folgen ^^ (rk)3 months ago
- Willkommen in der Encoding-Hell: U+C4?U+E4, U+D6?U+F6, U+DC?U+FC, U+DF, U+E4, U+F6, U+FC #german #umlauts3 months ago
- Neu im Blog: Top of the Tops http://t.co/DPx5TreY3 months ago
- Danke, gerne :-) RT @admn_blog_com: Neu im Blog: Acer EasyStore H341 als NAS für SMB und AFP mit Ubuntu Server http://t.co/BGneIG5Q3 months ago
- Neu im Blog: Acer EasyStore H341 als NAS für SMB und AFP mit Ubuntu Server http://t.co/BGneIG5Q3 months ago
- RT @Linux: Ubuntu 11.10 "Oneiric Ocelot" released! #Ubuntu #Linux4 months ago
- Info: Der calendarserver unter Debian Lenny ist inkompatibel mit iOS5. Unter Squeeze hingegen keine Probleme.4 months ago
- Das sind schon ein paar Cores ;-) http://lockerz.com/s/1152337947 months ago
- Nettes Nagios-Monitoring-Tool für das iPhone: NagiMon. Hat allerdings Probleme mit Leerzeichen als Services. http://lockerz.com/s/1131691968 months ago
- JavaScript PC-Emu bootet Linux: http://bit.ly/iygoXG9 months ago
- RT @boeserseo: Mit die beste "How To" Absicherung für Linux Server die ich je gesehen habe! #NSA -> http://klick.es/2z9 months ago
Sunday, 11. December 2005
Böse Sachen finden ...
Da besonders Shared-Webserver mit Perl/PHP gern das Ziel diverser Hackversuche sind, müssen diese natürlich besonders überwacht werden. Zur Unterstützung stetigen manuellen Prüfung auf der Konsole und zusätzlichen Nagios-Überwachung habe ich noch ein kleines Perlscript geschrieben, welches mehrmals täglich via Cron aufgerufen wird. Dabei wird die Ausgabe von "netstat" analysiert. Sollten über die Whiltelist von Ports/Diensten hinaus Aktivitäten stattfinden, wird eine simple Mail generiert und an den Admin gesendet. Natürlich ist dies kein wirklicher Schutz vor Rootkits etc, manche tollen Prozesse zum Portscan ("r0nin" und co.) wurden dadurch aber bereits frühzeitig entdeckt und konnten gleich eliminiert werden ... eine regelmäßige Analyse der Systeme von Hand ist dennoch zu empfehlen. Besonderes Augenmerk sollte dabei auch die Temp-Verzeichnisse (/tmp, /var/tmp etc.) gerichtet sein. Da tummelt sich gern allerhand Komisches, zumal dort i.d.R. ja jeder Schreib- und Ausführungsrechte hat. Auf Systemen mit grsecurity und ACL's haben derartige Geschichten natürlich fast keine Chance, aber das hat ja nicht jeder Server ...
Das Perl-Script findet der interessierte User hier im Sourcecode! Das Script ist nur unter Linux getestet und wird wohl auch auf keinem anderen OS ohne Anpassungen laufen. Anregungen sind natürlich willkommen!
Das Perl-Script findet der interessierte User hier im Sourcecode! Das Script ist nur unter Linux getestet und wird wohl auch auf keinem anderen OS ohne Anpassungen laufen. Anregungen sind natürlich willkommen!
Kommentare
Ansicht der Kommentare:
(Linear | Verschachtelt)
Um meine Server gegen Rootkits zu sichern verwende ich gerne Tripwire für die Integritätschecks sowie rootkithunter einmal nächtlich für die automatisierte Suche nach eben solchen.
Das einzige Problem bei Tripwire ist natürlich, dass das System nur so gut ist, wie die Regeln, die man selbst anlegt. Sprich: Vergißt man ein wichtiges Verzeichnis zu monitoren oder man monitored darin enthaltene Dateien nicht ausreichend vollständig (z.B. kein Inode-Check oder ähnliches), greift die zusätzliche Sicherheit nicht.
Das einzige Problem bei Tripwire ist natürlich, dass das System nur so gut ist, wie die Regeln, die man selbst anlegt. Sprich: Vergißt man ein wichtiges Verzeichnis zu monitoren oder man monitored darin enthaltene Dateien nicht ausreichend vollständig (z.B. kein Inode-Check oder ähnliches), greift die zusätzliche Sicherheit nicht.
Nettes Skript hab es mal angepasst und teste es mal. Gute Arbeit.
Danke für das Skript, ich werde es auch einmal testen.. Nagios setze ich schon länger ein.
Nettes Skript 
Ich habe bei mir aus
$A = 'netstat -nlp';
folgendes gemacht
$A = 'LC_ALL=C netstat -nlp';
Damit klappt es dann auch etwas besser.
Danke für das Skript!
Ich habe bei mir aus
$A = 'netstat -nlp';
folgendes gemacht
$A = 'LC_ALL=C netstat -nlp';
Damit klappt es dann auch etwas besser.
Danke für das Skript!
powered by
Suche
Kommentare
04.01.12 20:34
Hallo Freunde,
Da ich genau das gleiche Pr [...]
12.12.11 02:46
Hi, ich habe seit einem halben Jahr das Acer [...]
07.12.11 10:03
Ich bin gestern auf Ultrasurf (http://ultras [...]
29.11.11 17:24
Versuchs mal mit Proxys von hidemyass.com - [...]
24.11.11 09:13
Habe den Server nun wieder gekündigt. War wo [...]
16.11.11 19:13
In der USA sind leider manchmal auch ein paa [...]
16.11.11 17:27
Nette Sache, war der Speed in Ordnung? Der P [...]
16.11.11 17:24
Ich habe für den Zweck ein SSH-basierten Pro [...]
16.11.11 17:04
Ja, außerdem sollte es doch dann mit Tinypro [...]
16.11.11 17:03
In der squid.conf den Parameter
forwarded [...]
Nettes kleines Skript, um vergessene Dienste bzw. unerwünschte Dienste schnell mitzubekommen. Am besten packt an das gleich in cron.hourly rein.Böse Sachen finden... bei Adminstrator's Blog
Aufgenommen: Feb 28, 23:37