Magento Forum

   
Nach Magento install, hackangriffe ohne ende - Bitte um Hilfe bei fail2ban - iptable !!! 
 
pajama
Sr. Member
 
Total Posts:  95
Joined:  2008-10-15
 

Hi, ich habe vor paar Tagen Magento auf meinem Server installiert - leider wird seitdem mein vServer angegriffen (ist aber bestimmt zufall obwohl ich den vServer schon länger als 2 jahren habe und vorher noch nie gehacht wurde)

Hier mal Auszug aus error.log:

[Thu Jan 08 20:46:08 2009] [error] [client 67.18.216.154] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)
[Thu Jan 08 20:56:17 2009] [error] [client 216.245.195.90] File does not exist: /var/www/confixx/html/nonexistenshit
[Thu Jan 08 20
:56:17 2009] [error] [client 216.245.195.90] File does not exist: /var/www/confixx/html/mail
[Thu Jan 08 20
:56:17 2009] [error] [client 216.245.195.90] File does not exist: /var/www/confixx/html/bin
[Thu Jan 08 20
:56:17 2009] [error] [client 216.245.195.90] File does not exist: /var/www/confixx/html/rc
[Thu Jan 08 20
:56:18 2009] [error] [client 216.245.195.90] File does not exist: /var/www/confixx/html/roundcube
[Thu Jan 08 20
:56:18 2009] [error] [client 216.245.195.90] File does not exist: /var/www/confixx/html/webmail/bin

Der erste Error führt sogar temporär dazu, dass der Shop nicht angezeigt werden kann !

Jetzt habe ich gehört dass man solche Hackangriffe durch das Progi fail2ban unterbinden kann.
Habe es also auf meinem Apache - Debian vServer installiert und die fail2ban.conf auf meine Bedürfnisse angepasst (Bannzeit, automatische Email etc.)

Leider gibt mir die fail2ban-log aber Fehlermeldungen nach dem starten raus:

2009-01-08 21:06:06,522 fail2ban.actions.actionINFO   Set actionUnban iptables -D fail2ban-<name> -<ip> -j DROP
2009
-01-08 21:06:06,523 fail2ban.actions.actionINFO   Set actionCheck iptables --L INPUT grep -q fail2ban-<name>
2009-01-08 21:06:06,716 fail2ban.actions.actionERROR  iptables -N fail2ban-vsftpd
iptables 
-A fail2ban-vsftpd -RETURN
iptables -I INPUT -p tcp --dport ftp -j fail2ban-vsftpd returned 300
2009
-01-08 21:06:06,716 fail2ban.actions.actionERROR  iptables -N fail2ban-postfix
iptables 
-A fail2ban-postfix -RETURN
iptables -I INPUT -p tcp --dport smtp -j fail2ban-postfix returned 300
2009
-01-08 21:06:06,717 fail2ban.actions.actionERROR  iptables -N fail2ban-proftpd
iptables 
-A fail2ban-proftpd -RETURN
iptables -I INPUT -p tcp --dport ftp -j fail2ban-proftpd returned 300
2009
-01-08 21:06:06,717 fail2ban.actions.actionERROR  iptables -N fail2ban-couriersmtp
iptables 
-A fail2ban-couriersmtp -RETURN
iptables -I INPUT -p tcp --dport smtp -j fail2ban-couriersmtp returned 300
2009
-01-08 21:06:06,718 fail2ban.actions.actionERROR  iptables -N fail2ban-apache-noscript
iptables 
-A fail2ban-apache-noscript -RETURN
iptables -I INPUT -p tcp --dport http -j fail2ban-apache-noscript returned 300
2009
-01-08 21:06:06,820 fail2ban.actions.actionERROR  iptables -N fail2ban-wuftpd
iptables 
-A fail2ban-wuftpd -RETURN
iptables -I INPUT -p tcp --dport ftp -j fail2ban-wuftpd returned 300
2009
-01-08 21:06:07,043 fail2ban.actions.actionERROR  iptables -N fail2ban-sasl
iptables 
-A fail2ban-sasl -RETURN
iptables -I INPUT -p tcp --dport smtp -j fail2ban-sasl returned 300
2009
-01-08 21:06:07,153 fail2ban.actions.actionERROR  iptables -N fail2ban-apache
iptables 
-A fail2ban-apache -RETURN
iptables -I INPUT -p tcp --dport http -j fail2ban-apache returned 300
2009
-01-08 21:06:07,160 fail2ban.actions.actionERROR  iptables -N fail2ban-ssh
iptables 
-A fail2ban-ssh -RETURN
iptables -I INPUT -p tcp --dport ssh -j fail2ban-ssh returned 300

Es muss also wenn ich richtig verstanden habe an iptable liegen - und wenn ich per shell den status abfrage bekomme ich folgenden Fatal Error:

vadmin:~# iptables -L
FATALCould not load /lib/modules/2.6.18-xen/modules.depNo such file or directory
iptables v1.3.6
can't initialize iptables table `filter'iptables who? (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.

Könnte mir jemand bei dem Problem helfen, wäre echt super wink

 
Magento Community Magento Community
Magento Community
Magento Community
 
rack::SPEED
Guru
 
Avatar
Total Posts:  369
Joined:  2008-06-26
 

Dir fehlt das iptables Modul “filter”. Entweder du kannst es nachträglich installieren oder du musst dir einen eigenen Kernel backen um fail2ban nutzen zu können.

Als Hackangriff würde ich das Ganze nicht bezeichnen, da nur versucht wird verschiedene Dateien oder Ordner aufzurufen. Es werden weder Parameter übergeben noch irgendwas schlimmes versucht… - Solche Einträge gehören eher zum “Grundrauschen” des Internets… wink

Wenn du sicher gehen möchtest ist mod_security und der suhosin Patch eine bessere Idee, da du sonst evtl. Suchmaschinen wie Google und Co ausschließen könntest wenn diese versuchen alte und nicht mehr vorhandene Seiten aufzurufen…

 
Magento Community Magento Community
Magento Community
Magento Community
 
rack::SPEED
Guru
 
Avatar
Total Posts:  369
Joined:  2008-06-26
 

Ich muss mich leider korrigieren. Es sind wohl doch Hackverusche gegen Roudcube Mail, s. auch:

http://stateofsecurity.com/?p=550
http://p17-linuxzone.de/serendipity/index.php?/archives/87-msgimport-exploit.html

Dennoch würde ich fail2ban nicht benutzen, sondern RoundCube sofern vorhanden besser absichern…

 
Magento Community Magento Community
Magento Community
Magento Community
 
pajama
Sr. Member
 
Total Posts:  95
Joined:  2008-10-15
 

Vielen Dank für Deine Hilfe !!!

Ja jetzt müsste ich erstmal fail2ban wieder deinstallieren können - wie mache ich das ?
Muss ich vorher auch iptable deinstallieren ?

habe mit /etc/init.d/fail2ban stop zumindest gestoppt.
Aber das deinstallieren will nicht so recht funktionieren :(

Ich schaue mir gerade mal mod_security an, scheint wirklich die bessere Lösung zu sein, werde es dann gleich mal installieren.

Soll ich vorher diesen suhosin Patch installieren ?  - habe mal eben suhosin-patch-5.2.7-0.9.6.3.patch gedownloadet, wie und wo führe ich das denn aus ?

Sorry für die vielen Fragen, ich hoffe ihr könnt mir dennoch helfen grin

 
Magento Community Magento Community
Magento Community
Magento Community
 
rack::SPEED
Guru
 
Avatar
Total Posts:  369
Joined:  2008-06-26
 

Wie das Ganze eingerichtet wird hängt von deinem System, deiner Linux-Distri und vielen weiteren Faktoren ab. Müsstest du dir leider selber “ergoogeln”, da die Vorgehensweise recht unterschiedlich sein kann....

Mit der Installation alleine ist es auch nicht getan, da du die Module auch entsprechend konfigurieren musst.

 
Magento Community Magento Community
Magento Community
Magento Community
Magento Community
Magento Community
    Back to top