Wie erkenne ich ob mein Server angegriffen wird?

[Kai-Behncke]

Hallo liebe Leute,
ich betreue einen kleinen Server auf dem ich allerhand teste.
Habe da jetzt das Tool "monit"installiert mit dem ich sehr zufrieden bin, schickt mir eine Mail, wenn mal was mit einem Daemon nicht reibungslos läuft.

Wie aber kriege ich raus ob ich angegriffen werde? Also ob jemand meinen Server kapern will (z.B. über ssh, oder auf andere Art und Weise).
Gibt es da auch ein Tool was so etwas registriert?
Danke im Voraus, Kai

P.S. Arbeite auf Debian Etch

 

[port29]

Naja, es gibt verschiedene Angriffsmuster. Generell sag ich mal so, dass nur wenige Server / Sicherheitssysteme einen direkten Angriff eines Profis überstehen werden. Kleine Angriffe von irgendwelchen Script Kiddies kann man aber problemlos abwehren bzw. auch einfach ignorieren.

Einem 0815 Angriff geht idR. ein Portscan voraus, damit stellt der Angreifer fest, welche Dienste auf dem Server laufen. So etwas abzuwehren ist recht einfach. Entweder schreibt man ein Dienst, der auf bestimmten Ports hört und sobald eine IP Adresse einige dieser Ports innerhalb einer bestimmten Zeit getroffen hat, wird per iptables die Verbindung zu der angreifenden IP untersagt. Früher hat man das mit portsentry gemacht.

Heute ist eine andere Methode "in". Man schützt das Netzwerk / die Server mit snort. Nur dummerweise hatte snort in letzter Zeit immer mal wieder bugs, die es Angreifern ermöglicht haben, die Kontrolle über den Rechner zu übernehmen, auf dem Snort lief. Aber das ist immer so ein Risiko. Deshalb verwende ich derzeit snort-inline. Dabei wird snort auf einem fast-Router installiert und schaut sich immer den traffic an, der zwischen zwei Netzwerkinterfaces läuft. Wird ein Angriffsvektor erkannt, so werden entsprechende Abwehrmaßnahmen eingeleitet. Sollte der "router" angegriffen und gekapert werden, so ist es auch kein Problem, die Kiste wird dann rebootet und updates eingespielt. Dann läuft das Ding wieder.

 

[Kai-Behncke]

Ok, danke für die Antwort.
Viele Grüße, Kai