Angriff auf Joomla!-Installation

Vor ein paar Tagen wurde eine auf meinem vServer laufende Joomla!-Instanz massiv angegriffen. Der Inhaber dieser Seite bekam in ca. einer Stunde über 600 Mails vom Nachrichtensystem. So etwas ist bedauerlich und nicht gerade schön mit anzusehen.

Was war passiert?

Die Analyse des Logs /var/log/mail.log zeigte, dass Mails im 5-6 Sekunden-Takt vom Server an den Administrator gesendet wurden. 

Was wurde kurzfristig unternommen?

Zu allererst wurde der Versand der Systemmails der Joomla!-Installation deaktiviert. Damit konnte die Spam-Welle vorerst gestoppt werden. Bei der weiteren Analyse stellte sich heraus, dass die User-Registrierung aktiv war und sich über 600 User registriert hatten. Die dazu verwendeten eMail-Adressen hatten alle die Domain-Endung .ru. Im nächsten Schritt wurde die Registrierung ebenfalls deaktiviert. Warum diese aktiv war, kann ich leider nicht mehr nachvollziehen. Alle verdächtigen registrierten User der Seite wurden gelöscht.

Wie ging es weiter?

Da ich zu dem Zeitpunkt immer noch nicht genau wusste was genau passiert war, habe ich ein älteres Backup der Datenbank eingespielt (zum Glück werden Backups der Datenbanken, wie im Artikel „MySQL- Sicherung ohne Passwort im Script“ beschrieben, täglich automatisch angelegt). Nach dem Einspielen stellte sich heraus, dass hier nur die bekannten Administratoren als Benutzer in der Joomla!-Installation gespeichert waren. Die Registrierung wurde wieder deaktiviert und so die Sicherheitslücke geschlossen. Abschließend habe ich nachgeschaut, ob Dateien oder Verzeichnisse der Joomla!-Installation in den letzten Tagen verändert wurden. Dazu wechselte ich in das entsprechende Verzeichnis

und suchte die Änderungen der Dateien der letzten fünf Tage

Ausgabe:

sowie den Änderungen der Verzeichnisse

Ausgabe:

Die Dateien und Verzeichnisse wurden dann meinerseits überprüft. Da es hier keinerlei Auffälligkeiten gab, konnte auf das Einspielen eines Backups der kompletten Installation verzichtet werden.

Was war nun tatsächlich passiert?

Es konnten sich von außen User registrieren. Die so erstellten Accounts wurden aber nicht aktiviert, da die angegeben eMail-Adressen wahrscheinlich nicht valide waren. Das System verschickte jedoch bei jeder neuen Registrierung eine entsprechende eMail an den Superadministrator. So kam es zu einer massiven Welle von Registrierungsbestätigungen. Da die registrierten Accounts nicht aktiviert werden konnten, hatten die Aktionen keine Auswirkungen auf das System.

Kann das nochmal vorkommen?

Durch die deaktivierte Registrierung kann es zu dieser Art von Angriffen nun nicht mehr kommen.

MySQL- Sicherung ohne Passwort im Script

Nach dem ich nun nieder geschrieben hatte, wie ich meine SQL-Datenbanken automatisch sichere, kamen einige gute Anregungen in den Kommentaren. Darauf hin habe ich das System etwas umgestellt. Dazu wurde zu allererst der Storage vom root auf einen User übertragen. Somit konnte ich auch den Cronjob für den User einrichten. Der Eintrag, wie im ersten Artikel „MySQL-Sicherung“ in /etc/crontab wurde wieder entfernt. und der Cron neu gestartet.

Als eingeloggter User habe ich dem selbigen mit

folgenden Befehl eingetragen.

Dann wurde eine ~/.my.cnf

mit entsprechendem Inhalt erstellt. Diese enthält das MySQL root Passwort.

„meinpasswort“ musste hier natürlich angepasst werden. Nach dem Abspeichern wurden der Datei die Rechte 600 vergeben.

Im Anschluss habe ich ein neues Script mit dem Inhalt

erstellt und dieses mit

ausführbar gemacht. Um die Datenbanken besser auseinander halten zu können, bekamen alle Datenbanken dieses Mal ein separates Verzeichnis.

Nun werden die Datenbank-Sicherungen jeden Morgen 2:00 Uhr in von einander getrennten Verzeichnissen komprimiert abgelegt.

Der Servercow-Storage wurde mit der Nextcloud-App „External Storage“ in die Cloud eingebunden und die Sicherungen landen so regelmäßig auf meinem Notebook.

MySQL-Sicherung

Inspiriert durch den Artikel „Backup oder Datensicherung eines root-Servers / vServers / VPS„von Bitblokes habe ich mir Gedanken gemacht, wie ich meine MySQL-Datenbanken vernünftig und regelmäßig sichern kann. Die Snapshots von Servercow sind schon sehr gut, um ein Backup des ganzen Servers zu erstellen. Jedoch ist man hin und wieder auf eine einzelne Datenbank angewiesen.

Da ich bei Servercow einen zusätzlichen RAID5 HDD-Netzwerkspeicher von 150 GB und diesen in meine Nextcloud eingebunden habe, kann ich dort bequem meine Datenbanksicherungen ablegen. Bei jeder Synchronisation zu Hause, landen dann die Sicherungen auf meinem Notebook. 

Da ich bisher meine Datenbanken manuell mit mysqldump durchgeführt habe, wollte ich das Ganze nun automatisieren.

Dazu wurde das Script MySQLscript.sh

mit folgendem Inhalt erstellt.

Dabei ist „in**********“ der Name meiner ersten Datenbank. Der Eintrag „meinpasswort“ im Script muss natürlich durch das MySQL root Passwort ersetzt werden. 

Im Anschluss wird das Script ausführbar gemacht

und der Befehl mit 

in den crontab eingetragen.

So wird nach dem Neustart von Cron jeden Tag um 2:00 Uhr eine Sicherung jeder einzelnen Datenbank im Verzeichnis /samba_share/backup abgelegt.

Upgrade auf Roundcube 1.3.0

Gestern wurde Roundcube in Version 1.3.0 released. Ich habe das Upgrade heute gleich auf meinem vServer angestoßen. Dazu wurde der Download von Roundcube 1.3.0 in /var/www/html abgelegt.

Der Tarball wurde entpackt,

das neue Verzeichnis betreten

und das Upgrade ausgeführt. Der Pfad muss hierbei entsprechend angepasst werden. Da meine Roundcube-Installation in /var/www/mail/rc liegt, sieht die Eingabe wie folgt aus:

Roundcube 1.3.0

Das Upgrade verlief ohne Probleme. Zum Schluss konnten das temporäre Upgrade-Verzeichnis und der Download gelöscht werden.

Prosody kann auch nerven

Es hat einige Zeit gedauert bis ich den HTTP Server unter Prosody vernünftig einbinden konnte. Eigentlich wollte ich ja nur das Webinterface mod_admin_web nutzen. Egal wie ich es anstellte, ich bekam keinen Zugang, trotz Befolgung der Installationshinweise. 

Prosody Webadmin

Das Problem kam eigentlich nur zustande, da ich die Config aus meinem Artikel zur Installation des XMPP-Servers auf Uberspace übernommen hatte. Hierbei wurde der VirtualHost vor den SSL-Pfaden gesetzt. Dies macht aber den Zugang zum HTTP-Server unmöglich. 

Nachdem ich den VirtualHost, wie in meiner aktuellen Config nach den SSL-Pfaden eingetragen hatte, konnte ich endlich auch mein Webadmin wie gewünscht erreichen.

Auszug aus meiner alten Konfiguration bei Uberspace

Hier nun meine aktuelle prosody.cfg.lua:

Upgrade auf Roundcube 1.2.4

Heute habe ich das überfällige Upgrade von Roundcube auf Version 1.2.4 angestoßen. Dazu wurde der Download von Roundcube 1.2.4 in /var/www/html abgelegt.

Der Tarball wurde entpackt,

das neue Verzeichnis betreten

und das Upgrade ausgeführt. Dabei muss der Pfad individuell angepasst werden. Meine Roundcube-Installation liegt in /var/www/mail/rc.

Zum Schluss noch das überflüssige Verzeichnis und den Download entfernen.

Fertig!

Webadmin von ZNC nachträglich über SSL erreichbar machen

Als ich ZNC auf meinem Debian-Server installiert habe, hielt ich mich bei der Konfiguration an meine damalige Uberspace-Installation. Dort hatte ich die Standard-Abfrage

einfach nur bestätigt. Dies stellte nun kein gravierendes Problem dar. Im nachhinein war ich aber über den unverschlüsselten Zugang zum Webinterface via http://IP:Port nicht glücklich. Der Zugang über domain.tld:Port wurde logischerweise verwehrt.

Nun bin ich der Sache auf den Grund gegangen, warum ich das Webinterface nicht über domain.tld:Port erreiche. Hier verhinderte eine Kombination von dem Erzwingen von https und HSTS (HTTP Strict Transport Security) den Zugang zum Webinterface über intux.de. 

Der Entwickler rät davon ab die znc.conf im Editor zu bearbeiten. Stattdessen sollte hier das Webinterface zur weiteren Konfiguration genutzt werden. Dieses konnte ich ja, wie oben beschrieben, über http://IP:Port nutzen. Hier musste ich dann einen neuen Eintrag (anderer Port) in Listen Port(s) mit dem Häkchen SSL versehen. Über diesen Port ist dann nach dem Einpflegen von Let’s Encrypt das Webinterface via https erreichbar.

Ich verbinde mich nun mit mit dem ZNC-Bouncer via SSL mit:

Linux-Server – Das umfassende Handbuch

 

Linux-Server – Das umfassende Handbuch“ von Dirk Deimeke, Stefan Kania, Daniel van Soest, Peer Heinlein ist 2016 in der 4., aktualisierten Auflage im Rheinwerk Verlag erschienen. Das Buch umfasst 1151 Seiten. Als Zielgruppe dieses Werkes gilt der fortgeschrittene Administrator. Was unter dem Beruf Administrator zu verstehen ist und welche Aufgaben ihn begleiten, werden im ersten Kapitel ausgiebig beleuchtet.

Die weiteren Teile des Buches geben einen Einblick in die Grundlagen bis hin zur Sicherheit eines Linux-Servers. Die Schwerpunkte liegen in der 4. Auflage bei den Systemen Ubuntu, Debian, CentOS und openSUSE leap. Dabei wurde in dieser aktualisierten Auflage des Handbuches SUSE Linux Enterprise Server entfernt und erstmals durch openSUSE ersetzt. Auch das mit längerer Laufzeit unterstützte CentOS nahmen die Autoren des Buches mit auf, um so die Kompatibilität zu Red Hat Enterprise Linux zu wahren.

Im ersten Teil werden die Grundlagen eines Servers erklärt, u.a. der Umgang mit Festplatten und Devices, welche Dateisysteme i.d.R. zum Einsatz kommen und wie man mit Berechtigungen umgeht bzw. diese setzt. Nach dem Teil Aufgaben, wo sich das Buch mit der Paketverwaltung sowie der Sicherung des Servers und des Einspielens von Sicherungen beschäftigt, werden im Teil Dienste die verschiedenen Webserver Apache, Lighttpd und Nginx thematisiert. Weiterhin können Grundlagen zur Dateiübertragung über FTP-Server vermittelt werden. Dabei spielt die Sicherheit via FTP über SSL eine zentrale Rolle. Auch erfährt der Leser wie man einen Mailserver mit entsprechendem Spam- und Virenschutz aufbaut, diesen wartet und administriert. Erstmals in der 4. Auflage widmet sich das Handbuch Samba 4. Das Thema Druckserver bildet dann den Abschluss dieses speziellen Praxisteils. Die folgenden Teile Infrastruktur, Kommunikation, Automatisierung und Sicherheit, Verschlüsselung und Zertifikate zeigen nicht nur wie ein Hochverfügbarkeits-Cluster erstellt und betrieben wird, sondern helfen dabei die unterschiedlichen Linux-Server zu kontrollieren, konfigurieren und mit allen nötigen Sicherheitsmaßnahmen auszustatten.

Dieses umfassende Handbuch ist in sieben Teile mit 28 Kapiteln gegliedert.

  • Der Administrator

TEIL I Grundlagen

  • Bootvorgang
  • Festplatten und andere Devices
  • Dateisysteme
  • Berechtigungen

TEIL II Aufgaben

  • Paketmanagement
  • Backup und Recovery

TEIL III Dienste

  • Webserver
  • FTP-Server
  • Mailserver
  • Datenbank
  • Syslog
  • Proxy-Server
  • Kerberos
  • Samba 4
  • NFS
  • LDAP
  • Druckserver

TEIL IV Infrastruktur

  • Hochverfügbarkeit
  • Virtualisierung

TEIL V Kommunikation

  • Netzwerk
  • OpenSSH
  • Administrationstools
  • Versionskontrolle

TEIL VI Automatisierung

  • Scripting
  • Monitoring – wissen, was läuft

TEIL VII Sicherheit, Verschlüsselung und Zertifikate

  • Sicherheit
  • Verschlüsselung und Zertifikate

Leseproben und Downloads

Fazit

Wie schon eingangs erwähnt, richtet sich das Buch in erster Linie an den erfahrenen Administrator. Trotzdem ist dieses Nachschlagewerk auch jenen ans Herz gelegt, die in die Materie Server einsteigen wollen. Die umfangreichen Erfahrungen unserer vier Autoren Dirk Deimeke, Stefan Kania, Daniel van Soest, Peer Heinlein zum Standardwerk „Linux-Server – Das umfassende Handbuch“ helfen nicht nur Profis sondern auch Neueinsteigern Linux-Server einzurichten und zu administrieren.

vServer auf Servercow

Am 30.12.2016 mietete ich mir spontan einen vServer. Nach einigen Tagen der Einrichtung setzte ich einen Mailserver auf. Als alles zufriedenstellend lief, wurde schlussendlich mein Blog vom bisherigen Hoster mit rüber geholt. 

Bevor jedoch meine Unternehmung bzw. mein Projekt vServer startete, machte ich mir Gedanken, wo ich diesen mieten sollte. Da ich inzwischen einiges und nur positives über Servercow u.a. im OSBN gelesen hatte, war klar, dort werde ich es versuchen. Ein wirklicher Dauerbetrieb stand eigentlich nicht wirklich zur Debatte, sondern eher ein dreimonatiger Testlauf, um weitere Erfahrungen zu sammeln bzw. auszubauen. Da alles bisher so gut lief, werde ich jedoch den Server weiter betreiben.

Zu allererst wurde ein XMPP-Server, eine Nextcloud und ein IRC-Bouncer eingerichtet. Als das alles über eine eigens für dieses Unterfangen eingerichtete neue Domain lief, wagte ich mich an den aus meiner Sicht schwierigsten Part, den Mailserver.

Auch hier stellte sich heraus, dass Servercow die richtige Wahl für meine Bedürfnisse war. Der Betreiber und Tech-Blogger André Peters stellt mit Mailcow eine Mailserver-Suite, basierend auf Dovecot, Postfix, einem vorkonfigurierten Spamfilter sowie Virenschutz und weiterer Open-Source-Software, wie Roundcube und STARTTLS and SMTPS Support zur Verfügung. Ein sehr ansprechendes Web UI übernimmt nach dem Einrichten die User- und Server-Administration. Mailcow lässt sich ohne weiteres schnell, sicher und vor allem einfach aufsetzen. Die Mailcow-Mailserver-Suite ist für Debian 8 (Jessie) optimiert, unterstützt aber auch Ubuntu LTS 14.04 (Trusty Tahr) and Ubuntu LTS 16.04 (Xenial Xerus). Das kam mir sehr zu Gute, da ich mich ohnehin für Debian 8 als Server-Betriebssystem entschieden hatte. Zur Auswahl auf Servercow  stehen nicht nur große Betriebssystemvorlagen wie CentOS, Ubuntu, Fedora, FreeBSD, NetBSD sondern auch kleinere wie Alpine Linux oder Elastix. Andere Betriebssystem-ISOs sind auf Anfrage lt. Webseite problemlos einbindbar. 

Das Aufsetzen des Webservers Apache und der Umzug meiner Seite inkl. PIWIK waren zum Schluss nur noch Formsache.

Bei ein paar Kleinigkeiten musste ich jedoch den Support bemühen. Hierbei viel sofort positiv auf, wie schnell man sich kompetent und höflich den Problemen der Kunden annimmt. 

Als Bonus zu meinem Paket M und allen weiteren Konfigurationen stehen im Übrigen 150GB via FTP sowie Samba zur Verfügung.

Um einen kleinen optischen Eindruck zu gewinnen, habe ich ein paar Screenshots angehängt.

Screenshots – Servercow

Servercow – Information & Funktion
Servercow – Serversteuerung
Servercow – VPS-Panel
Servercow – Statistik
Servercow – Backups
Servercow – Storage-Server

Screenshots – Mailcow

Mailcow – Web UI
Mailcow – Admin-Zugang
Mailcow – Mail-Statistik
Mailcow – Spamfilter
Roundcube

Fazit

Mit Servercow habe ich einen sehr guten und fairen Server-Hoster gefunden, den ich bedenkenlos weiterempfehlen kann. Die 1 Gigabit-Anbindung sorgt für ordentlich Geschwindigkeit. Für Backups können drei Snapshots angelegt werden, bei Bedarf auch automatisch im wöchentlichen Intervall.