Apache Tor-Server unbedingt absichern

Article by · 12. November 2017 ·

In letzter Zeit wurden immer wieder Server im Tor-Netzwerk (Darknet) stillgelegt. Eigentlich sollten die Computer wegen der Tor Hidden Services nicht zu lokalisieren sein, denn diese versteckten Dienste sind besondere Webseiten, die alle die Endung .onion im Namen tragen und nur mit speziellen Browsern aufgerufen werden können, die direkt mit dem Tor-Netz verbunden sind.

Doch einige Administratoren machen bei der Konfiguration des Apache Tor-Servers schwere Fehler, wodurch Dritte von außen auf die Server-Protokollierung zugreifen können. Aus diesen Informationen lässt sich unter anderem der Standort der Computer ermitteln. Diese Schwachstelle ist lange bekannt, doch scheinen einige Betreiber von Tor-Servern den Schuss immer noch nicht gehört zu haben.

mod_status in Apache wird zum Verräter

Das Status-Modul ist für Administratoren gedacht, die sich im laufenden Betrieb über den Zustand des Servers und Besucher-Zugriffe informieren wollen. Für diesem Zweck ist bei Apache das Modul mod_status zuständig. Hiermit lassen sich die Status-Daten auf einer speziellen Webseite des Servers anzeigen:

http://127.0.0.1/server-status

Der Zugriff ist aus Sicherheitsgründen nur direkt vom Server aus (localhost, 127.0.0.1) erlaubt und für externe Besucher nicht zugänglich. Allerdings läuft der Tor Hidden Service ebenfalls auf localhost, sodass die Status-Seiten unglücklicherweise über das Tor-Netzwerk abrufbar sind. Das hatte bereits für einige Betreiber fatale Folgen, denn es konnte jeder im Darknet die verräterischen Informationen abrufen, was einige Ermittler auch taten und die Server aus dem Verkehr zogen.

http://<domain>.onion/server-status

Neben dem Zustand des Servers und Hostnamen (FQDN) werden auf der Status-Seite auch alle GET-Anfragen inkl. Query-String angezeigt.

Das Status-Modul ist oft in der Basiskonfiguration des Apache-Servers vorinstalliert, wodurch ein nachlässiger Administrator nicht einmal mitbekommt, was er da am Laufen hat.

mod_status in Apache deaktivieren

Um das Status-Modul zu entfernen, reicht es einen Befehl auszuführen.

sudo a2dismod status

Unter Linux kann man auch einfach die symbolischen Links von /etc/apache2/mods-available/status.load und /etc/apache2/mods-available/status.conf nach /etc/apache2/mods-enabled/ löschen. Anschließend muss der Server neu gestartet werden.

Eine kurze, aber gute Anleitung zum Aufsetzen eines Tor-Servers findet sich bei riseup.net. Sehr ausführliche Informationen über Tor gibt es direkt auf der Herstellerseite torproject.org.

Mehr zu diesem Thema:

Flattr this!

5 Comments

  • comment-avatar

    t4c

    Sorry, aber das koennt Ihr echt besser.
    Seit wann sind alle Hidden Services Apache getrieben?
    Und Mod Status ist wirklich nur einer von vielen Fehlern, wie waers mit SSL Certs die ihren Ursprung verraten, weil sie nicht auf die Onion Adressen laufen, php info Seiten, etc pp.
    Das kann ja selbst (s)Heise besser –> https://www.heise.de/ct/ausgabe/2017-22-Deanonymisierung-von-Tor-Hidden-Services-verhindern-3851695.html

  • comment-avatar

    Max

    @Toristnichtsicher
    Und was hat das eine („Hidden Services“) mit Relays und Exit Nodes zu tun?

  • comment-avatar

    Toristnichtsicher

    By the way, fast alle Tor-Exits-Nodes und Tor-Server
    http://194.63.141.179/

    Have fun.

    • comment-avatar

      Gynni

      Empfehlung für nicht Nerds?

      • comment-avatar

        Tom

        Ganz einfach die Finger vom Betrieb von Webservern lassen. Egal, ob diese über Tor-Hidden-Services laufen, oder nicht. Wenn man nicht weiss, wie etwas zu handhaben ist, sollte man es nicht ins (öffentliche) Netz stellen.


Leave a comment