En webbserver på mitt internet.

[Forcevision]

Tjabba !

Har satt upp en webbserver som står bakom min router. Funderade lite hur stor är chansen att man kan komma åt mitt interna lan via webbservern ?
Menar om någon skulle hacka sig in på webbservern och sedan då hur stor är chansen att man kan ta sig in på dom andra datorerna i det interna nätverket ?

/Force

[philip5]

Jag skulle säga att risken är nästan obefintlig om webbservern står skyddad bakom routern på ditt LAN utan kopplingar mot internet (routern eller andra burkar pekar vidare trafik på din webbserver). I så fall måste någon annan burk på LANet hackas eller routern i sig och sedan från någon av dem angripa webbservern men då har hackaren ju redan kommit åt ditt LAN. Skillnaden blir så klart om du öppnar upp din interna webbserver så du ger åtkomst av den tjänsten mot internet för då behöver du säkra upp din webbserver. Normalt kommer webbservern som rätt säker out-of-the-box om man inte sätter upp en massa extra eller konstiga saker som man bör se över.

[AlexF]

Har du öppnat upp portar som dirigerar trafiken till webbservern eller lagt den i DMZ, eller har du den enbart för internt bruk?

Oavsett så brukar det inte innebära någon större risk att ha en webbserver på sitt nätverk, om du ser till att hålla den uppdaterad, och har starka lösenord/policys på de tjänster/processer som körs på den.

[Forcevision]

Routern har ju naturligtvis brandvägg. Webbservern står bakom routern men den har ju öppna portar till sig från routern så som port 80 , 110, 25 samt 21 sedan har jag installerat ehcp kontrollpanel på servern. Som sagt tänkte om någon lyckas hacka sig in på webbservern hur då mitt interna lan är skyddat eller om det är helt öppet i princip ?

hur stor är chansen att man lyckas hacka en webbserver som är nästintill default inställningar på ?

[Dr Phil]

Routern har ju naturligtvis brandvägg. Webbservern står bakom routern men den har ju öppna portar till sig från routern så som port 80 , 110, 25 samt 21 sedan har jag installerat ehcp kontrollpanel på servern. Som sagt tänkte om någon lyckas hacka sig in på webbservern hur då mitt interna lan är skyddat eller om det är helt öppet i princip ?

hur stor är chansen att man lyckas hacka en webbserver som är nästintill default inställningar på ?

Är även användarnamn och lösenord default så tar det inte många minuter innan någon zombie har hittat rätt kombination.

[AlexF]

Risken är rätt liten att du utsätts för manuell hacking. Däremot kan det finnas en hel del bots som ligger och pumpar på din SSH-server. Men se till att ha ett starkt lösenord för alla dina användare på burken så är du tillräckligt säker enligt mig. Och ser du bara till att hålla burken uppdaterad, plus att inte ha en massa tjänster körandes på den så är det en väldigt liten risk att bots kan komma åt din server.

Om någon lyckas ta sig in på servern så kan dem ju därifrån scanna och rota runt i ditt interna nätverk. Dock kräver det ju i så fall att du har "öppna" tjänster internt också, så som utdelningar, FTP, m.m. utan lösenord eller annat skydd.

Är även användarnamn och lösenord default så tar det inte många minuter innan någon zombie har hittat rätt kombination.

Exakt, men vilka tjänster låter man köras med förinställt lösenord?

[barzam]

Det bästa och absolut enklaste sättet att säkra upp SSH är att byta port från 22 till nån annan.

[Forcevision]

Jepp men jag har ett lösenord på 23 tecken siffror blandat med bokstäver stora och små.

Kollade i min postfix logg och ser väldigt konstigt ut i filen mail.warn ser ut som följande:

• Feb 26 19:22:48 postfix/smtpd[12226]: last message repeated 16 times
  Feb 26 19:23:12 postfix/smtpd[12226]: last message repeated 3 times
  Feb 26 19:23:12 postfix/smtpd[12294]: warning: unknown[203.146.189.100]: SASL LOGIN authentication failed: auth$
  Feb 26 19:24:17 postfix/smtpd[12294]: last message repeated 16 times
  Feb 26 19:24:41 postfix/smtpd[12294]: last message repeated 3 times
  Feb 26 19:24:41 postfix/smtpd[12226]: warning: unknown[203.146.189.100]: SASL LOGIN authentication failed: auth$
  Feb 26 19:25:45 postfix/smtpd[12226]: last message repeated 16 times
  Feb 26 19:26:10 postfix/smtpd[12226]: last message repeated 3 times
  Feb 26 19:26:10 postfix/smtpd[12294]: warning: unknown[203.185.68.100]: SASL LOGIN authentication failed: authe$
  Feb 26 19:27:14 postfix/smtpd[12294]: last message repeated 16 times
  Feb 26 19:27:39 postfix/smtpd[12294]: last message repeated 3 times
  Feb 26 19:27:39 postfix/smtpd[12226]: warning: unknown[203.146.189.100]: SASL LOGIN authentication failed: auth$
  Feb 26 19:28:43 postfix/smtpd[12226]: last message repeated 16 times
  Feb 26 19:29:07 postfix/smtpd[12226]: last message repeated 3 times
  Feb 26 19:29:07 postfix/smtpd[12294]: warning: unknown[203.146.189.100]: SASL LOGIN authentication failed: auth$
  Feb 26 19:30:12 postfix/smtpd[12294]: last message repeated 16 times
  Feb 26 19:30:36 postfix/smtpd[12294]: last message repeated 3 times
  Feb 26 19:30:36 postfix/smtpd[12226]: warning: unknown[203.146.189.100]: SASL LOGIN authentication failed: auth$
  Feb 26 19:31:41 postfix/smtpd[12226]: last message repeated 16 times
  Feb 26 19:32:05 postfix/smtpd[12226]: last message repeated 3 times
  Feb 26 19:32:05 postfix/smtpd[12294]: warning: unknown[203.146.189.100]: SASL LOGIN authentication failed: auth$
  Feb 26 19:33:09 postfix/smtpd[12294]: last message repeated 16 times
  Feb 26 19:33:33 postfix/smtpd[12294]: last message repeated 3 times
  Feb 26 19:33:33 postfix/smtpd[12226]: warning: unknown[203.185.68.100]: SASL LOGIN authentication failed: authe$
  Feb 26 19:34:38 postfix/smtpd[12226]: last message repeated 16 times
  Feb 26 19:35:02 postfix/smtpd[12226]: last message repeated 3 times
  Feb 26 19:35:02 postfix/smtpd[12294]: warning: unknown[203.185.68.100]: SASL LOGIN authentication failed: authe$
  Feb 26 19:36:07 postfix/smtpd[12294]: last message repeated 16 times
  Feb 26 19:36:31 postfix/smtpd[12294]: last message repeated 3 times
  Feb 26 19:36:31 postfix/smtpd[12226]: warning: unknown[203.146.189.100]: SASL LOGIN authentication failed: auth$
  Feb 26 19:37:36 postfix/smtpd[12226]: last message repeated 16 times
  Feb 26 19:39:00 postfix/smtpd[12226]: last message repeated 3 times
  Feb 26 23:50:43 postfix/smtpd[12586]: warning: valid_hostname: numeric hostname: 200
  Feb 27 01:56:47 postfix/smtpd[12708]: warning: 113.166.167.236: address not listed for hostname localhost
  Feb 27 01:57:00 postfix/smtpd[12708]: warning: 113.166.167.236: address not listed for hostname localhost
  Feb 27 06:04:02 postfix/smtpd[12958]: warning: 88.131.62.201: address not listed for hostname mail3.anp.se
  Feb 27 07:05:30 postfix/smtpd[13163]: warning: 117.4.218.242: address not listed for hostname localhost

Vad sjutton är detta någon som vet ?

Sedan hur blockerar man ip nummer så detta ip nummer inte kan komma åt servern alls ?

[Rag3Rac3r]

Feb 26 19:23:12 postfix/smtpd[12294]: warning: unknown[203.146.189.100]: SASL LOGIN authentication failed: auth$

Det är ett försök att logga in och använda din SMTP server som relä för att skicka ut spam-mail.
Som du ser, så misslyckades det. Jag tror jag har ett ton av dessa i min maillog, så det är långt ifrån ovanligt.
Förslag på lösning: fail2ban

Sedan hur blockerar man ip nummer så detta ip nummer inte kan komma åt servern alls ?

hosts.deny eller iptables. Lättast med hosts.deny

Feb 27 06:04:02 postfix/smtpd[12958]: warning: 88.131.62.201: address not listed for hostname mail3.anp.se

mail3.anp.se är faktiskt ifrån ett företag som jobbar med att skicka ut nyhetsbrev åt andra företag. Har för mig bl.a VikingLine Club använder deras tjänst (men kan även vara Jotex, HGF, Nokia Music Store, har dåligt minne om vilken exakt, men får mail ifrån dom).

Att det står "address not listed" tyder på att det är ett fel någon annanstans, kanske i nån form av DNS-uppslagning. Så börja leta i den änden.

[Forcevision]

Okej så det är spam som försöker skickas ut via min server. Varför lyckas den inte skicka då ?

Sedan kan vem somhelst skicka från min smtp server nu ?

För tar man tex om du skall skicka via telias server så skall man ju använda sig av samma inloggningsuppgifter i pop som till smtp. men vad jag vet har jag inget sådan inställning i min postfix för jag kan skicka mail i thunderbird utan att behöva skriva i inlogging eller lösen.

[philip5]

Bara för att du har port 80 öppen i routern betyder inte det att det går att nå webbservern från Internet till webbservern på ditt LAN. Routern måste peka trafiken till webbservern för att webbservern som tjänst ska bli nåbar från Internet. Annars är det bara enheter på ditt LAN som når webbserver och kan försöka hacka den.

[Rune.K]

Okej så det är spam som försöker skickas ut via min server. Varför lyckas den inte skicka då ?

Sedan kan vem somhelst skicka från min smtp server nu ?

För tar man tex om du skall skicka via telias server så skall man ju använda sig av samma inloggningsuppgifter i pop som till smtp. men vad jag vet har jag inget sådan inställning i min postfix för jag kan skicka mail i thunderbird utan att behöva skriva i inlogging eller lösen.

Som jag ser det, så det första du behöver göra är att kolla så att din epost-server är rätt konfigured och säker.
Börjar den skicka ut spam, är risken stor att du blir svartlistad och det kan nog vara svårt att bli av med...

[Forcevision]

Hur vet man om den är rätt konfigurerad ?

Jag har kontrollpanelen ehcp http://www.ehcp.net och den konfigurerar själv postfix sedan har jag lagt till denna raden i postfix

Kod: Markera allt

smtpd_recipient_restrictions = permit_mynetworks,permit_sasl_authenticated,check_client_access hash:/var/lib/pop-before-smtp/hosts,reject_unauth_destination,reject_rbl_client bl.spamcop.net,reject_rbl_client sbl.spamhaus.org,

så har jag lagt till spamcop.net och spamhaus.org dessa skall tydligen vara riktigt bra mot spam. skall kolla på fail2ban som Rag3Rac3r rekommenderar.

[Rag3Rac3r]

Okej så det är spam som försöker skickas ut via min server. Varför lyckas den inte skicka då ?

Sedan kan vem somhelst skicka från min smtp server nu ?

För tar man tex om du skall skicka via telias server så skall man ju använda sig av samma inloggningsuppgifter i pop som till smtp. men vad jag vet har jag inget sådan inställning i min postfix för jag kan skicka mail i thunderbird utan att behöva skriva i inlogging eller lösen.

Eftersom det står "SASL Authentication failed" så har antagligen ehcp cp:n löst biten med authentication för att använda SMTP.

Men som jag sa med mail3.anp.se är det ett mail som *ska* ha skickats till dig, och kommit fram. Utan det är bara det att nåt felar i din postfix server så den inte kan göra en namnuppslagning. Drar ett exempel ifrån min webserver sen, har lite bråttom ner att träffa chefen.

[Forcevision]

Hur skriver man i ipnummer i host.deny om man vill att ett ip nummer inte skall kunna kontakta servern över huvudtaget ?

Är det bara att skriva in ip numret i filen eller måste man skriva något speciellt ?

[Rag3Rac3r]

Hur skriver man i ipnummer i host.deny om man vill att ett ip nummer inte skall kunna kontakta servern över huvudtaget ?

Är det bara att skriva in ip numret i filen eller måste man skriva något speciellt ?

Kollade i min hosts.deny:

# DenyHosts: Sun May 3 21:26:11 2009 | sshd: 125.181.10.26
sshd: 125.181.10.26
# DenyHosts: Sun May 3 21:26:11 2009 | sshd: 93.95.65.44
sshd: 93.95.65.44
# DenyHosts: Sun May 3 21:26:11 2009 | sshd: 72.9.229.74
sshd: 72.9.229.74
# DenyHosts: Sun May 3 21:26:11 2009 | sshd: 174.142.45.28
sshd: 174.142.45.28
ALL: 211.151.64.220
ALL: 118.129.166.120
ALL: 80.74.137.161

"daemon: ip" är formatet som du ser, om du skriver ALL ist för ett daemon namn så spärras ip:t ifrån alla portar på servern...

Men som jag sa i föregående inlägg... Allt som står i dina loggar är INTE attack försök för att använda din server för spamutskick.
mail3.anp.se är en fullt pålitlig mailserver, den försöker enbart skicka ett mail till dig ifrån en mailinglista du är med i.
Så du får leta lite efter något mindre fel någonstans eftersom det står "unknown" på ett antal adresser som försöker skicka mail till dig.

Och släng bara in dom som det står "SASL Authentication failed" på i hosts.deny. Slänger du in fler ip:n som du är osäker på om dom försöker nåt så kan du fixa mer problem för dig själv.

Du kan förresten ta IP:n i mitt citat ovan, det är "dumma" ip:n, och speciellt dom det står sshd före är hackförsök (har en failed ssh login logg på runt 1.5 miljoner inlägg).

[Forcevision]

Hur långt i tiden tillbaka sparas loggarna från tex postfix, apache vsftpd m.m ?

[Rag3Rac3r]

Det beror på vad du ställer in det till.

Antagligen sköts det av logrotate, och då *borde* det vara i mappen logrotate.d som du hittar infon.

[Forcevision]

Nja hittar inget om postfix men vsftpd apache2 och lite andra. Men förstår inte riktigt hur man ändrar i filen ?

[Rune.K]

Du kan ju även se i /var/log hur mycket som loggas och hur länge det sparas, med originalinställningarna.
Gamla loggfiler brukar komprimeras...