Server härten
Werkzeuge zur Absicherung Ihrer Firmenpräsenz
Mit dem Anti-Botnetz Beratungszentrum stellen wir ein wichtiges Werkzeug in der Bekämpfung von Botnetzen zur Verfügung. Auch für Sie als Unternehmer und WebSeiten-Betreiber halten wir dort wertvolle Informationen zur Verfügung.
Während wir mit den DE-Cleanern und der DE-Cleaner Rettungs-CD Stand-alone-Tools zur Bereinigung infizierter Desktop-Systeme zur Verfügung stellen, bieten wir mit dem Browser- und Plugin-Check eine kostenfreie Prüfwebseite an, mit der Sie diese auf Aktualität und Angreifbarkeit prüfen können.
Im nachfolgenden stellen wir Ihnen Software vor, die speziell für die Absicherung von Servern entwickelt wurden. Diese Liste wird stetig erweitert und hat keinen Anspruch auf Vollständigkeit. Vielmehr soll sie als Anregung dienen.
- AIDE (Advance Intrusion Detection Environment)
AIDE ist ein Tool zur Entdeckung von Änderungen an wichtigen Systemkonfigurations- und Binärdateien. Hierzu erstellt AIDE einen kryptographischen Hash-Wert für jede zu prüfenden Datei und speichert diesen an einem sicheren Ort. In regelmäßigen Abständen (z.B. täglich) werden die als "gut" bekannten Werte mit denen der derzeitigen Kopien der Dateien verglichen, um herauszufinden, ob die Datei geändert wurde.
- Fail2Ban
Fail2Ban durchsucht Logdateien wie /var/log/pwdfail oder /var/log/apache/error_log und blockt IP-Adressen, die zu viele fehlgeschlagene Loginversuche haben. Es aktualisiert Firewallregeln, um diese IP-Adressen zu sperren. Fail2Ban kann mehrere Logfiles lesen - beispielsweise die von sshd oder apache. Die IP-Adressen werden nach einer vorher festgelegten Zeitspanne wieder aktiviert.
Eine sinnvolle Erweiterung zur fail2ban stellt das Projekt www.blocklist.de dar. Neben dem kolaborativen Ansatz (zentrale Blackliste), sorgt der Service auch dafür, dass angreifende Systeme vom Netz genommen werden, in dem die Netzprovider über den Vorfall informiert werden. Darüberhinaus finden Sie dort eine gut sortierte Sammlung von Filterregeln für fail2ban.
Offizielle Fail2Ban Webseite | Deutsche Fail2Ban FAQ
- ClamAV
ClamAV ist eine OpenSource (GPL) Antivirus engine und ein de facto Standard zum Betrieb von Mail-Gateways. Bei ClamAV handelt es sich um eine Bibliothek, die in eigene Software integriert werden kann, einen im Hintergrund laufenden Daemon und ein Kommandozeilen-Programm. Empfehlenswert in diesem Zusammenhang ist SaneSecurity, die die ClamAV-Standard-Signaturen sinnvoll erweitern.
Eine Anleitung zur um ClamAV in Verbindung mit ProFTPD zu verwenden finden Sie hier. ClamAV prüft dann jede Datei, die per FTP auf den Server geschoben wird auf Schadsoftware und löscht diese im Falle einer Infektion. Ein gutes Mittel um Malware bereits beim Hochladen auf Ihren Server zu finden.
- ModSecurity
Das Programm ModSecurity bietete verschiedene Mechanismen zur Erkennung, Abwehr und Protokollierung von Angriffen auf Webserver. Die Funktionsweise orientiert sich im wesentlichen an snort. Analog zu diesem IDS (Intrusion Detection System) wird der ein- und ausgehende Datenverkehr auf bestimmte Merkmale (=Signaturen) untersucht, die für einen "Angriff typisch sind". Wird eines dieser festgelegten Angiffsmuster erkannt, wird eine vorhher definierte Aktion ausgeführt.
- rkhunter
rkhunter (Rootkit Hunter) ist ein Linux-Werkzeug, welches nach Rootkits, Hintertüten und möglichen lokalen Exploits sucht. Dabei vergleicht es vorhandene Dateien anhand von MD5-Hashes mit kompromittierten Dateien, sucht nach von Rootkits angelegten Ordnern, falschen Dateirechten, versteckten Dateien, verdächtigen Strings in Kernelmodulen und führt eine Reihe weiterer Tests durch.
