aus Webscript zu root-Rechten

Kann man aus einem Webscript heraus root-Rechte erhalten?

  • ja

    Votes: 29 93.5%
  • nein

    Votes: 2 6.5%

  • Total voters
    31

Huschi

Moderator
Staff member
Hallo,
mal ein einfache banale Umfrage:
Glaubt Ihr, dass es möglich ist aus einem Webscript heraus an root-Rechte zu kommen?

Konkreter an einem Beispiel: Nehmen wir ein installiertes Wordpress. Kann ein Hacker ggf. root-Rechte erhalten?

Knowhow, Technik, Umstände, etc. alles egal. Wirklich nur die Frage mit ja oder nein.

huschi.
 

elias5000

Site Reliability Engineer
So wie die Frage gestellt ist, kann man sie nur mit ja beantworten. Die Art der Fragestellung erinnert mich allerdings ein bisschen daran, wie meine Frau in der 14. Woche eine Aussage zum Geschlecht unseres Zweitgeborenen aus ihrem Frauenarzt heraus gepresst hat...

Die lange Antwort: Es kommt darauf an.
Gerade bei WP ist es auch eine Frage der individuellen Installation. Wenn z.B. ein Plugin installiert ist, dass eine remote code execution ermöglicht. Oder das Hochladen einer Datei in ein Verzeichnis unterhalb des Webroot, bei der man den Dateinamen bestimmen kann und somit z.b. ein PHP-Script hochladen und ausführen kann. Dann kann man damit dann weitere Funktionen ausführen. Z.B. das Installieren und Ausführen einer remote shell, mit der man dann ggf. eine ungepatchte Lücke für eine privilege escalation ausnutzen kann.
Das ganze ließe sich sicher auch über ein unsicheres Webscript abfeiern, dass eine remote code execution vulnerability aufweist. Und somit muss ich die Frage mit ja beantworten.
 
Last edited by a moderator:

d4f

Müder Benutzer
Für die Frage ist eigentlich irrelevant ob es sich um ein Webskript oder Shell-Zugang handelt: in beiden Fällen führt ein nicht priviegierter Benutzer Befehle aus.
Um root zu erlangen muss der Benutzer also eine grobe Fehlkonfiguration (bspw sudoers), sensitive Dateien (chmod Zugriff auf root Zertifikat), Bruteforce oder wie von elias5000 angesprochen privilege escalation zum Zug kommen.

Allerdings ist leider oft root nicht zwingend notwendig, bspw um andere Webspaces zu kompromittieren, da sehr viele Systeme unzureichende Rechteverwaltung und Benutzertrennung aufweisen.

Antwort: ja es ist möglich. Nein es ist generell nicht wahrscheinlich
 

nexus

Active Member
Nein es ist generell nicht wahrscheinlich
Die Frage tangiert den Topic zwar nur...aber gibt es eigentlich verläßliche Schätzungen (oder gar statistische Erhebungen) zur Höhe einer solchen Wahrscheinlichkeit oder zur Teilmenge korrumpierbarer bzw. korrumpierter Systeme im Verhältnis zur Gesamtmenge der Systeme, die 'im Netz' hängen?
Tante G konnt mir hierzu keine brauchbaren Ergebnisse liefern (oder mir fehlen einfach die richtigen Suchbegriffe ;) ).
 

d4f

Müder Benutzer
aber gibt es eigentlich verläßliche Schätzungen (oder gar statistische Erhebungen) zur Höhe einer solchen Wahrscheinlichkeit oder zur Teilmenge korrumpierbarer bzw. korrumpierter Systeme im Verhältnis zur Gesamtmenge der Systeme, die 'im Netz' hängen?
Bereits das bloße Scannen von Netzen auf Schwachstellen kann zumal im akribisch geregelten Deutschland mit den "Hackerparagraphen" schnell anecken und wird gerne mit Abuse-Meldungen quittiert. Es gibt zwar Studien und Analysen, diese sind jedoch nie vollständig und generell nur eine Schwachstelle betreffend während die wahre Gefahr meistens eher von einer Anreihung einzelner niedriger Schwachstellen ausgeht.

Anbieter veröffentlichen auch nicht gerne die Statistik der gehackten Kunden, aus dem Bauchgefühl kann ich aber behaupten dass bei uns so jeder 20te Webhosting-Kunde mindestens einmal betroffen ist. In letzter Zeit überdurchschnittlich viel über Trojaner auf dem jeweils eigenen Rechner.
Allein das bloße Durchlesen der Modsecurity- und CXS-Logs ist richtig interessant :D
 

IP-Projects.de

verifizierter Anbieter
Es fehlt der Punkt - Kommt drauf an - wie schon geschrieben.

Es kommt darauf an, wie der Server selbst konfiguriert ist und welcher Sicherheitsmechanismen existieren. Pauschal kann man das daher nicht sagen. Offensichtlich scheint es aber nicht besonders oft vorzukommen.
 

Joe User

Zentrum der Macht
Offensichtlich scheint es aber nicht besonders oft vorzukommen.
Ist es nicht eher so, dass es häufig vorkommt, aber nicht besonders oft entdeckt wird?



Ich vermute (Zahlen gibt es nicht), dass bis zu 15% aller Server weltweit "gehackt" sind, ohne dass deren Besitzer es weiss. In Deutschland ist die Quote noch höher, wie man aus diversen Malware-Studien schliessen kann.
 

MadMakz

Member
Aber wie oft von den sagen wir 15% geschiet über PHP? ^^ Bei den paar Fällen bei denen es rauskommt das ein Hack stattfand behalten sich mit der Ursache ja eher bedeckt.
 

d4f

Müder Benutzer
Entweder ich habe ausgezeichnet gutes Klientel oder diese haben Glück - über 1/10 Root-gehackte Server kann ich jedenfalls nicht verzeichnen und auch von Mitbewerber nicht bestätigen lassen.

Bei der absoluten Mehrheit interessiert sich der (automatisierte) Angreifer auch nicht um Rootrechte solange er auch ohne diese ausgehende Verbindungen öffnen oder seine Dateien plazieren kann.
 

elias5000

Site Reliability Engineer
Es scheint auf jeden Fall eine Menge gehackte Server zu geben. Ich verzeichne gerade eine Bruteforce-Attacke auf eine meiner WP-Installationen bei der ich bisher keine Wiederholung in den verwendeten IP-Adressen sehen kann.

Update: Ich habe eben mal stichprobenartig geschaut und es handelt sich offenbar nur um IPs aus dynamisch vergebenen IP-Ranges von ISPs. Offenbar kommen die Zugriffe von infizierten Client-Systemen.
 
Last edited by a moderator:

MadMakz

Member
Natürlich gibt es Massen an gehackten Servern. Die Frage war aber

Code:
Einstiegspunkt z.B. Apache oder Kommandozeile -> PHP-Script (ich nehme an OP geht von unprivilegiert aus) -> ? -> ROOT = möglich
Das Fragezeichen repräsentiert den missing Link bzw. die Antwort auf TEs Frage und ist auf einem sauber konfigurierten Server wohl meistens eine Privileg-Escalation oder Use after free. Daher ist die Antwort nach der Möglichkeit ganz einfach ja.

Ein Webspace/Server kann im Idealfall auch ohne ROOT Hack als Datenmüllschleuder missbraucht werden. Dazu hat PHP genug Bordmittel und braucht keine Superrechte
 
Last edited by a moderator:

elias5000

Site Reliability Engineer
Soweit ich den TE verstanden habe, ist die im Verlauf des Threads aufgekommene Fokussierung auf PHP gar nicht Bestandteil der ursprünglichen Frage sondern er hat explizit die verwendete Technologie offen gelassen und nur von Webscript geschrieben. Das bezieht auch Perl, Python, serverseitiges JavaScript und noch einen ganzen Arm voll mehr mit ein.

Da schon bei PHP alleine die überwältigende Mehrheit für "Ja" stimmt, dürfte davon auszugehen sein, dass durch das Öffnen der Antwort für weitere Sprachen die Wahrscheinlichkeit nicht geringer eingeschätzt wird.

PS: Mich würde mal interessieren, wer den Poll mit "Nein" beantwortet hat.
 

MadMakz

Member
Ich habe PHP aufgrund des genannten Beispiel von TE genommen (das war Wordpress).

Hätte auch anstatt PHP schreiben können "Setzen Sie hier ihren beliebigen Interpreter ein".
 
Last edited by a moderator:

Huschi

Moderator
Staff member
Ich melde mich auch nochmal kurz zu Wort:
Es fehlt der Punkt - Kommt drauf an - wie schon geschrieben.
Nein, es kommt wirklich nicht darauf an. Auch ein ständig gepflegter Server ist vor einer Zero-Day-Attacke nicht sicher. Die Laufzeit zur Verbreitung von Bugfixes ist immer noch zu lang. Zusätzlich die Faulheit des Admins: "Den Kernel-Update mit Reboot mache ich erst heute Abend, wenn keiner der Kunden mehr drauf ist..."
... Aber das ist eine ganz andere Diskussion ... :)

PS: Mich würde mal interessieren, wer den Poll mit "Nein" beantwortet hat.
Ich habe mit Absicht die "anonyme Abstimmung" gewählt. Sonst hätte sich wohl niemand getraut noch auf "nein" zu klicken.

huschi.
 

Huschi

Moderator
Staff member
Der Fall um den es hierbei geht, ist ein Wordpress. Der Server hatte unter /var/ nur noch einen einzigen Verzeichnisbaum: /var/www/..../wp-content/upload/.
Alle anderen Verzeichnisse (/var/log/ /var/spool/ oder alle anderen Webs) waren weg.
Im letzten verbliebenen Verzeichnis lagen neben ein paar PHP-Shell-Scripten eine "X.out" mit Ausführungsrechten und den User-Rechten von root.
Nun haben sich einige selbsternannte Experten (also wie hier ;)) darum gestritten, was passiert ist.
Außer Frage stand wohl für alle (bis auf mich), dass der Einbruch rein über ein Webscript kommen kann.

Vielleicht will hier noch jemand das Ratespiel weiter spielen?
Die Frage ist: was ist passiert?
Insbesondere mit dem Hintergrund, dass ein Hacker der root-Rechte erlangt, i.d.R. nicht destruktiv handelt. (Zumindest nicht in dieser Art.)

huschi.
 

elias5000

Site Reliability Engineer
Das ist natürlich eine ganz andere Frage. Jetzt ist die Frage nicht _ob_ man per Webscript root-Rechte erlangen kann sondern wie wahrscheinlich ist das im Vergleich zu anderen Gründen.

Mein Tipp nach den neuen Infos: Das war ein administratives Script (Backup, Housekeeping, Log-Rotation o.ä.), das ggf. kürzlich ein Update erhalten hat.
Oder auch interaktiver User-Error und derjenige wollte ungern zugeben, dass er den Server gegen die Wand gefahren hat.
Ich halte beides für wahrscheinlicher als einen Einbruch über das WP.
 

Joe User

Zentrum der Macht
Ein Einbruch per WP ist noch immer plausibel, so gar erheblich plausibler als vorher:
Angreifer kommt per WP ins System, legt seinen Kram in wp-content/upload ab, führt einen privilege-escalation-Exploit aus, hat jetzt root, lädt seinen Payload nach und löscht von wp-content/upload aus /var (und ggf. mehr), dadurch bleibt nämlich nur wp-content/upload bestehen, da es gerade busy ist und daher von rm nicht gelöscht wird.

Nur so als theoretisch mögliches Szenario...


Vermutlich hatte Betreiber auch noch 0777 auf upload, spielt in obigem Szenario aber keine Rolle.
 

elias5000

Site Reliability Engineer
Hmm. Die PHP-Shell-Scripte sprechen schon für einen Angriff auf das WP. Ein Angreifer sollte aber eigentlich daran interessiert sein, nicht entdeckt zu werden, da eine Entdeckung ihm die Kiste ja wieder weg nimmt.
Also könnte es auch eine Mischung aus Joes und meiner Theorie sein. Jemand hat das WP geknackt, sich root-Rechte beschafft und dann mittels dieser root-Rechte die Kiste vergurkt beim Versuch was damit zu machen. ;)
 

Huschi

Moderator
Staff member
Damit seit Ihr genau bei meiner Theorie angekommen.
Ich hatte keine Zeit die X.out zu decompilieren (zahlt ja auch keiner). Ich schätze das sie eine Backdoor-Shell war. D.h. der Hacker seine Befehle live eingegeben hat. Evtl. wollte er Spuren verwischen und irgendein Logfile löschen. Und dummerweise ist er bei "rm -f /var/" auf die Return-Taste gekommen.
Am upload-Verzeichnis brach der Befehl dann ab wegen "kann ich nicht".

Soweit die Theorie. In der Praxis ist es mir nicht gelungen es mit "rm" nach zu bilden. Entweder er bricht in dem Verzeichnis ab, lässt dann aber mehr Verzeichnisse zurück als nur das Eine. Oder löscht alles außen um die X.out herum ebenfalls. Sprich keine andere Datei bleibt erhalten.
Ich kann also die Situation nicht 100%ig nachstellen.
Meine einzige Erklärung dafür wäre, dass die X.out einen eigenen "rm" Befehl implementiert hat der anders funktioniert.

huschi.
 
Top