Nachdem ich gestern ein bisschen drin rumgeklickt haben, bin ich auf ein Modul gestoßen welches automatisch den Server auf Rootkits, Trojaner und Viren überprüft. Am Ende der Überprüfung, die angeblich bis zu 30 Minuten dauern kann, bekommt man ein Logfile mit Tipps, wie man Sicherheislöcher stopfen kann.
Bei mir kamen 2 Sicherheitslöcher zum Vorschein. Zum Einen waren manchen Programmversion nicht mehr ganz up-to-date zum Anderen war bei mir der Root Login möglich. Letzteres kann man relativ leicht abschalten. Ob es über die Plesk Umgebung möglich ist kann ich jedoch nicht sagen, bzw. habe ich es über SSH gemacht, den Zugang hat man bei dem Paket ja auch inklusive. Also mit Hilfe von Putty eingelogt und in der vi /etc/ssh/sshd_config die Zeile PermitRootLogin no einkommentiert. Nun muß man nur noch kurz den Dienst neustarten mit /etc/init.d/ssh restart und schon sollte man sich beim nächsten einloggen nicht mehr gleich als ROOT einlogen können.
Wer sich jetzt fragt, wie er dann überhaupt noch reinkommt sollte vielleicht vorher noch mit useradd name -m -s /bin/bash sich einen neuen User kreieren. Mit diesem kann man sich dann über ssh einloggen und mit Hilfe von su zum User ROOT wechseln.
Wozu der ganze Aufwand gut ist kann ich euch auch verraten. Das Problem bei Standardusern ist einfach, jeder kennt ihren Namen. Das heißt der Angreifer muß nur noch das Passwort erraten und schon hat er ROOT-Rechte.