Hilfe /tmp Ordner absichern

Dieses Thema im Forum 'Server Security & technische Diskussionen' wurde von Ruby gestartet, 23 Juli 2009.

  1. Ruby - Premium Member -

    Mitglied seit:
    10 Juli 2009
    Erstellte Beiträge:
    184
    Zustimmungen:
    3
    Ich habe cpanel und bekomme immer wieder irgendwelche Penner auf meinen Server die in den /tmp Ordner Files ablegen und anscheinend versuchen irgendwas von dort auszuführen. Was kann ich machen? Interessant wäre auch zu erfahren was man von dort auf dem Server anrichten kann.

    Wer kann weiterhelfen?
  2. t-rex - Premium Member -

    Mitglied seit:
    22 Juli 2009
    Erstellte Beiträge:
    110
    Zustimmungen:
    6
    Hi,

    viel interessanter als cpanel wäre es zu wissen, ob es ein dediziertes oder ein shared Angebot ist. Dediziert Du nutzt den Server alleine. Shared Es sind mehrere Kunden auf dem Server. Und zusätzlich sollte man dann noch wissen, ob Du root Zugriff auf die Maschine hast. Was natürlich nur möglich sein kann, wenn es ein dediziertes Angebot ist.

    In beiden Fällen kannst Du aber davon ausgehen, dass Du oder ein anderer Webmaster auf dem Server ein Angebot betreibt, das den Zugriff auf das /tmp erst ermöglicht. Mögliche Kandidaten sind älteres Wordpress oder falsch upgedated. Joomla älterer Version. Zusatzscripte, die nur schlecht programmiert sind oder schlecht gepflegt werden. Eigene Scripte bei denen die einfachsten Sicherheitsmassnahmen nicht berücksichtigt wurden.

    Und damit sind wir dann bei "Was kann ich machen?"
    Ersteinmal solltest Du deine eigenen Scripte auf Sicherheitslücken prüfen und updaten. Gleichzeitig solltest du auch Deinen Webspace nach Dateien und Veränderungen untersuchen. Auch die Logfiles solltest du durchgehen, und nach Urls durchsuchen, die per GET an dein Angebot übergeben wurden.

    Solltest Du womöglich gar keinen Zugriff auf die Maschine oder Logfiles haben, weil es ein Managed Angebot ist, solltest Du unbedingt den Provider benachrichtigen. Und sorry wenn das hart klingt. Solltest Du ein Angebot mit root Zugriff nutzen, solltest Du evtl. über ein managed Angebot nachdenken.

    Und zum zweiten Teil Deiner Frage:
    Man kann eine ganze Menge anstellen, wenn man erst einmal auf dem Server sitzt. Man Tools installieren, die nach weiteren Sicherheitslücken auf Deinem eigenen Server suchen. Oder Tools, die das Internet nach weiteren Server mit Sicherheitslücken absuchen. Deine Angebote und Skripte können so manipuliert werden, dass Deine User gefährdet sind. In dem Fall wird versucht den Usern Trojaner und Viren unterzuschieben. Oder es werden Seiten und Inhalte unter Deiner Flagge (Domain) installiert, mit denen Du gar nichts zu tun haben willst. Z.B. Phishing Seiten.

    Es ist also keine einfache Geschichte und als Webmaster sollte man sowas auch nicht auf die leichte Schulter nehmen. Dies ist eine Geschichte, bei der man sofort handeln und eine endgültige Lösung anstreben muss.

    Den /tmp Ordner Absichern alleine ist da sicher nicht die Lösung. Es ist nur ein ganz kleines Puzzleteil bei der Absicherung eines Servers.

    Sonnige Grüsse
    HaPe
  3. SeoPunk - Royal Clan Member -

    Mitglied seit:
    7 Juli 2009
    Erstellte Beiträge:
    474
    Zustimmungen:
    19
    Sehr gute Erklärung von t-rex. Wenn du cpanel benutzt und es dein Server ist, kann das hier vieles lösen. Über SSH einloggen und
    Code:
    /scripts/securetmp
    > /tmp Partition wird remounted als " noexec,nosuid "
    > Verändert /tmp zur sticky bit directory ( chmod 1777 /tmp )

Dieses Thema weiterempfehlen: