[Ubuntu] Apache2 hohe Systemlast

[Crys]

[...]An die Daten/Mail/Wasimmer kommt die "Kundschaft dann halt, nachdem der Tunnel steht.

Was den ganzen Server aber etwas hinfällig machen würde!? Wenn man ständig den VPN aktivieren muss, um seine Mails abzurufen oder Termine zu syncen, dann wird man verrückt und lässt das sein und nutzt gleich wieder t-online und gmx ...
Ich weiß wovon ich rede: in einem halben Jahr China war ich auch immer gezwungen meinen VPN zu nutzten, da ja alles westliche geblockt ist. Das möchte ich nicht auf Dauer machen und die anderen machen das auch sicher nicht ...

Denke einfach darueber nach, was fuer Dich der schnellere und vor allem sicherere Weg ist.

Mal ein Beispiel: Snowden empfahl mal Signal, als sicheren Messenger. Wenn ich aber in der S-Bahn nach links und rechts schaue, keiner verwendet Signal, alle benutzen den FB-Messenger. Wieso das? Komfort schlägt Sicherheit.
FB verwende ich nicht, Signal mittlerweile auch nicht mehr (schlechte Bedienung, keine Nutzer). Ich gehe mit Threema einen Mittelweg ...

Fuer mich hat der Server mit allem was auf ihm ist, das Vertrauen verloren. [...] alles was wichtig ist sichern und ihn komplett neu aufsetzen.

Ich habe im groben zwei Mounts: das OS auf einer HDD und die Freigaben auf einem RAID. Wenn ich das OS neu aufsetzte, dann formatiere ich das OS (inkl. aller Programme, Grub, ... das komplette System eben). Das RAID werde ich wieder einbinden, eine Sicherung von Konfig-Dateien und SQL in das neue OS laden und gut ist es.

Als Außenstehender ist es einfach: formatieren, neu machen und gut und sicher ist es. Aber ich bin mir sicher, keiner meiner Helfer hier im Thread würde so einen harten schnitt von jetzt auf gleich machen. "Du Schatz, ich habe alle deine Mails gelöscht und du wirst bis auf weiteres auch keine versenden oder empfangen können. Und die Cloud geht auch nicht, ich hoffe du weißt die Nummer von deiner Mutter noch auswendig, denn die Kontakte und der Kalender gehen auch nichts mehr ... "

[...]Wie gut ist Dein Netzwerk gegen den Server abgesichert?

Natürlich gar nicht
Die Mails die ich gerade versendet habe, liegen auf dem Server, die Urlaubsfotos die ich gerade sortiere sind auch da drauf und den Film den ich später anschaue wird auf vom Server auf meinen Kodi gestreamt ... dafür ist der Server ja da

Ich wüsste jetzt nichts, was noch essentiell wichtiges vom Server abgegriffen werden sollte. Sonstige Zugangs- oder Bankdaten liegen dort nicht. Und alle Server-Zugangsdaten wurden getauscht (wobei ich nicht mal glaube, dass diese entwendet wurden, da es so viele gescheiterte Zugriffsversuche in der Vergangenheit gab, wie ein Brute-Force-Angriff).
Ich habe meinen Standpunkt hoffentlich gemacht. Ich gelobe Besserung und habe auch vorhin mein ssh-Zugang mit einem Zertifikat + Key erweitert.

Schönen Sonntag Abend noch

 

[mensch183]

@BBF: Wie geschrieben werde ich die Kiste mal neu aufsetzten. Aber nicht heute und auch nicht diesen Monat, da ich keinen Urlaub mehr habe. Es sind zu viele Leute Abhängig von dem Server,

Prima Grund, einen kompromittierten Rechner weiterhin laufen zu lassen.

 

[Crys]

@mensch183: Danke das du mir helfen möchtest. Wann hast du Zeit?

 

[Phneom]

Meist hilft es ssh auf einen anderen Port zu legen und damit für Ruhe zu sorgen.

Macht man das nicht so oder so schon sofort wenn man den Server betreibt?
So entgeht man doch vielen Skripten die alles mögliche auf den Standard Ports versuchen.

 

[Lord_X]

Macht man das nicht so oder so schon sofort wenn man den Server betreibt?

Das ist nicht wirklich viel sicherer. Das beste Mittel ist doch, SSH abzusichern:

1. Root Account deaktivieren! (PermitRootLogin no)
2. Login nur per SSH-Key (PubkeyAuthentication yes, PasswordAuthentication no)
3. Nur einen User zulassen (AllowUsers nasadmin)
4. Loginversuche begrenzen (MaxAuthTries 3, MaxStartups 3:30:8)
5. IP's von China/Russland etc. komplett per IPTables blockieren
6. Update immer zeitnah(!) einspielen, auch von Own/Nextcloud

Damit sollte dir geholfen sein.

 

[Crys]

@Phneom: Ich hatte das auch mal so gelesen, wie jetzt @Lord_X geschrieben hat, dass es Bots nicht erwähnenswert abhält. Und das es "Umstände" bereiten kann, da nicht mehr alle Programme ohne weiteres damit arbeiten können, vor allem im Bezug auf Ports von anderen Dienste (ftp, http, ....).
Aber seit ich mein ssh-Port geändert habe, gab es bisher keinen weiteren Anmeldeversuch aus Fernost. Laut Wireshark auch kein einzelnes Ping von oder an eine Fernostliche IP, auch von anderen Diensten. Deshalb behalte ich das auch erst mal so.

@Lord_X: Danke für die Zusammenfassung, so ähnlich habe ich das auf anderen Seiten auch recherchieren können. Punk 1-4 habe ich so umgesetzt.

Zu 5.: ist das überhaupt möglich? Am Freitag hatte ich versucht etliche chinesische IP-Bereiche mittels iptables zu blocken ... aber ich bin mit dem ergänzen nicht mehr nachgekommen.
Für Wireshark habe eine IP-Länder Tabelle heruntergeladen. Aber das ist ja im besten Fall nur ein aktueller Wert, die IPs ändern sich ja ständig. Alleine Für China müsste ich fast 17k IPv4-Bereiche blocken. Macht das wirklich Sinn? Oder werden da (wahrscheinlich) auch viele Deutsche-Adressen geblockt?

Zu 6.: Ubuntu Sicherheitsupdates werden immer gleich installiert.