Ubuntu ISPC3 Banversuch

[mrcst4bs]

Guten Tag,


vorab: Habe die Forensuche sowie diverse Suchmaschinen bemüht, konnte jedoch keine konkreten Antworten auf meine Situation finden.


Mein System:
- Eingerichtet nach: The Perfect Server - Ubuntu 10.04 [ISPConfig 3] | HowtoForge - Linux Howtos and Tutorials
- System ist up2date.


Folgendes Problem:
Ich hoste diverse Webseiten, eine davon wird regelmäßig Opfer von Spambots. Da ich auf der Website einen Counter installiert habe, konnte ich den Ursprung der Bots schnell ausfindig machen. Wollte diesen nun via ssh > iptables temporär ausschließen, jedoch ohne Erfolg.


Danach habe ich nachgeschaut ob es ggf. eine Möglichkeit übers ISPC WI gibt, dort hab ich aber auch nichts gefunden.


Bevor ich nun meine fail2ban Config versuche anzupassen, oder irgendwelche .htaccess-mods auf die Website bringe, wollte ich mich hier mal umhorchen ob jemand eine Lösung parat hat.




Soweit,
vielen Dank im Voraus!


mrcst4bs

 

[juergen71]

mit iptables:

iptables -I INPUT -s 192.168.1.0/24 -j DROP

wenn du postest wie du es versucht hast wäre dir noch besser zu helfen ;-)

 

[mrcst4bs]

Mit iptables hatt ichs versucht, jedoch bekam ich per ssh mit root-Rechten die Aussage das iptables nicht gefunden wurden, das hat mich ein wenig sehr verwirrt.

Viel mehr hab ich bisher auch noch nicht gemacht, schien mir in meiner Hektik gestern so, als würde ich den relevanten Punkt übersehen, daher mein Post hier.


Heute morgen ist mir aufgefallen, dass jemand das CMS des vHosts gehackt hat. Habe einen CodeSchnipsel im <head> gefunden, mag wohl daran gelegen haben. (CMS ist webspell, - ja ich weiß, Schande über mein Haupt.)

Gibt es ein Script/Prozess welcher sich direkt auf die vHosts pflanzen lässt um dort seperat ähnlich wie f2b zu bannen/flood zu verhindern?

 

[Till]

Das macht man normalerweise mit den apache Modulen mod_evasive und mod_security.

 

[mrcst4bs]

Danke.

Bin mittlerweile Fündig geworden. Es handelt sich dabei um eine fiese Maleware, wo sie ins System kam weiß ich noch nicht. Gestern hab ich mir dann auf der Suche nach Lösungen über eine Webseite mit leerem swf Embed noch ein paar Exploits auf meinen PC gesaugt - das ließ sich allerdings relativ einfach wieder beheben.

Dennoch scheint mein anderes System nun versucht zu sein, deswegen sitz ich hier nun mit ner Lnx Distri. Nachdem ich diese Exploits entfernt hatte, hab ich auf mein WI zugegriffen, ca 2 Stunden später wurden die Files des WI gelöscht & ein Haufen Fehlermeldungen beim apache provoziert.

Habe daraufhin die Netzwerkverbindungen getrennt und via RS von einem mit-Admin die kompletten Zugänge ändern lassen.

Der jenige scheint 'nur' in die Apache/Web-Ecke gekommen zu sein, da alle anderen Instanzen normal funktionieren, ich nix auffälliges in den Logs finde usw...

Ggf. hat hier jemand ja noch einen Tip wonach ich schauen sollte, ansonsten werd ich mein WinOS + den Teil des Roots komplett cleanen und mit den Backups neu aufsetzen...


Nochmals, Danke für die Zeit!

 

[Till]

Das Linuxsystem würde ich mal mit rkhunter sowie chkrootkit checken. Wenn dort rookits gefunden wurden ist es am sichersten wenn Du neu installierst, da es sonst keine 100%ige Sicherheit gibt dass Du es komplett entfernt bekommst. Wenn wirklich nur eine Website im apache betroffen war und rkhunter und chkrootkit keine rootkit Dateien finden, dann reicht es meist das Web zu cleanen und ggf. neu aufzusetzen.

 

[mrcst4bs]

Das Linuxsystem würde ich mal mit rkhunter sowie chkrootkit checken. Wenn dort rookits gefunden wurden ist es am sichersten wenn Du neu installierst, da es sonst keine 100%ige Sicherheit gibt dass Du es komplett entfernt bekommst. Wenn wirklich nur eine Website im apache betroffen war und rkhunter und chkrootkit keine rootkit Dateien finden, dann reicht es meist das Web zu cleanen und ggf. neu aufzusetzen.

rkhunter lief und hat nix gefunden. chkrootkit werd ich mal drüber schauen lassen, danke für die Infos

& Schönes Wochenende