Hacker Hunting - logging på debain server

Du behøver ingen værktøjer, det er altsammen indbygget i linux og i de linux applikationer der findes. Werbalizer er ikke til sikkerhedslogging og kan ikke rigtig bruges til at fange hackere med.

At opdage at en hjemmeside er blevet hacket kan være svært eller let, det kommer helt and på hjemmesiden og på hvilken form for hacking der er foretaget. En simpel defacing kan jo ses direkte og er der tale om at serveren er overtaget og database indhold stjålet så kan det være meget vandskeligt.

Endelig kan sporing være meget vandskeligt for dig som privat mand, da en hver hacker med respekt for sig selv skjuler sig bag andre IP adresser.

Du kan forøge sikkerheden medden indbyggede netfilter firewall samt evt snort, men hvis du ikke selv kan tolke dem, så kan ingen værktøjer hjælpe dig. Husk på at hvis du kunne fange hackere med et let overskueligt værktøj, så var der nok flere der blev fanget

Jeg er sådan set enig i ovenstående - mit problem er at jeg er blevet hacket på flere af min CMS systemer og vil gerne kunne finde og lukke de huller.
Problemet er så bare at jeg ikke kan se hvor de er kommet ind på mit nuværende webhotel - derfor jeg sætter min egen server op.
Jeg vil gerne kunne sikre mine mapper og filer bedre og blokere bestemte ip range så siderne kan være i fred.
Men hvilke logs er der som logger ip til mapper/ filer i debian - er det apache/access.log du mener ?

Det jeg allerhelst kunne tænke mig er en serverlog for hvert domain så min server fungerer som et rigtigt webhotel - jeg har nu ca. 10 domains og  nogle består af mere end 1000 filer så en serverlog bliver hurtigt for uoverskuelig - kan man ikke lave en serverlog pr domain eller pr hostmappe ?
eller er der en anden måde at administrere loggen på evt.

Nå men det er måske noget af det her jeg skal bruge ....

Log Rotation and Filtering

We use newsyslog for log rotation and use filter-syslog for syslog analysis instead of the standard Debian packages. This is for a variety of reasons, mostly related to staff familiarity with newsyslog and its improved support for saving logs into AFS. At some point, we may modify logrotate to do what we need, but it's not a high priority project.

Fra http://www.eyrie.org/~eagle/notes/debian/server.html

Hvordan du griber sagen an afhæjger lidt af hackeren dygtighed og hvor meget de gør ud af det. Først og fremmest bør du sikre din log, f.eks. ved at placerer loggen på en syslogserver da den så er svære at editerer i for hackeren. på denne syslogserver bør du så placerer din server log, din web server log, din firewall log og dine snort logs.

Det at se hvad der er sket og undersøge hvad hackeren har gjort kn intet værktøj hjælpe dig med, det er manuelt arbejde med at pille loggen fra hinanden.

Hvis din server ikke har meget trafik kan du overveje at opsætte en TCPDump sniffer probe foran din web server, derdumper alt trafik til en fil. Denne probe vil hackeren ikke kunne røre hvis du gør det ordentligt (han kan faktisk ikke se den). TDPDump capture filen vil indeholde alt netværkstrafik der er kommet forbi og dermed give dig et meget klart billed af hvad der er sket

Log Rotation of filtering vil ikke nødvendigvis give dig noget, det kommer helt an på hvilke teknikker der anvendes.

Jeg kan i øvrigt hjælpe dig både med loganalysen og analyse at sniffet trafik

Ok - det lyder som et godt tilbud du kommer med.
Min server kører ligenu som testserver og jeg er ved at bygge den op så den er køreklar med de værktøjer som er nødvendige.

Jeg vil gerne bruge din hjælp næste gang den bliver ramt og vil gerne betale for det - så det kommer under opgaver eller du kan kontakte mig via mail på http://serverservice.dk - så kan vi aftale hvordan vi gør.

Du vil få den adgang som du har behov for - f.x via ftp eller putty eller vnc - det er lidt op til dig hvad du har brug for, men det kan du lige skrive på mail.
Eftersom mere end 5 af mine 10 hjemmesider er ramt - vil jeg tro at muligheden for hacking kunne ske igen og vil derfor gerne være lidt bedre forberedt.

Jeg behøver ikke betaling, jeg er ved at opbygge en gruppe af mennesker der skal lave log analyse og netværksovervågning og det er en perfekt opgave for dem så lad og bare få logfilerne.

Du behøver ikke være nervøs for confidentialitet, alle er officielt sikkerheds godkendt og har tavshedspligt.

en ftp adgang til logfilerne er perfekt

ok det er en aftale - så fang mig lige på mail og jo I skal nok få noget for at hjælpe så jeg finder på noget måske i form af hardware fra min webshop når den er kørende igen. takker herfra

Denne TCPDump fil vil den ikke lynhurtigt komme til at fylde voldsomt meget? Forudsat der bare er en smule trafik af en eller anden form på serveren?

->Bufferzone - du kan fange mig på support(a)serverservice.dk .
Jeg har oprettet dig med ftp adgang til serveren - jeg mangler bare at lægge et link til /var/log mappen og lave rettighed til mapper og filer derinde - er det nok til at kunne se alle logs ?

Serverservice, hvis kan går ind på din side i FF3 får man en rød side med "Anmeldt angrebswebsted!" smidt i hovedet. Dette ville jeg nok få undersøgt og fjernet

->swiatecki - ja det er netop mit problem da siden har været hacket og den blev redirected til sider med spyware og derfor blev blokeret i google og firefox.
Men den er ren nu - jeg mangler bare at gøre min server færdig så siden kan flyttes og der er logging på siderne.
Jeg har kontaktet google , men de ved ikke nøjagtigt hvor lang tid der går inden den bliver fjernet igen.
Så det har da været lidt et irritationsmoment at skulle bruge noget af min kostbare ferie på det - på den anden side skal man se det positive - nu får jeg en god og stærk løsning som på længere sigt er bedre , ja faktisk kan jeg ikke forestille mig en bedre webserver løsning. Serveren kommer desuden i en sikret server rum. Kanon god løsning , selvom det tager tid.

tak for hjælpen herinde...