Frage zu Hacking

S

sbr2d2

Registered User
Hi leute,
Ich bin mir zwar grade nicht ganz sicher,aber eine Frage brennt mir in letzter zeit ein wenig.
Und zwar,was für Wege gibt es überhaupt einen Root zu hacken.

Nehmen wir mal als Vorraussetzung einen Root mit debian drauf,als Lamp-system.
Wo sind da die Schwachstellen?
Dann sind noch 4 Benutzer drauf,für ein paar Gameserver.
Sämtliche Zugangsnamen sind Zungenbrecher,die Passwörter genauso.
Root-login per SSH ist unterbunden.

Ich frage das,um der Sicherheit vorzubeugen.

Falls jemand nicht öffentlich über das Thema schreiben möchte,bitte PN an mich.

thx im vorraus s.b.
 
Was für ein weites Feld ... ;)

Da wären mal diverse Userprogramme, die du laufen läßt, die irgendwelche Sicherheitslücken haben und über die man ein Rootkit einschleusen kann. Mit dem Rootkit ist dann alles ganz, ganz einfach ...

Eine pauschale Antwort ist somit überhaupt nicht möglich.

Der sicherste Rechner ist übrigens der, der *nicht* am Netz hängt :rolleyes: ...
 
Hallo!
Ich beantworte die Frage immer gern so:
Mein Auto hat gute Reifen, Bremsen, Airbags und einen Sicherheitsgurt. Mir kann nichts passieren. Verstehst du, worauf ich hinaus will?

mfG
Thorsten
 
Mein Auto hat gute Reifen, Bremsen, Airbags und einen Sicherheitsgurt. Mir kann nichts passieren.
Click to expand...

Falsch, wenn du gegen ein Baum u.a Knallst Hilft dir auch kein Gurt keine Guten Reifen und auch kein Airbag ;) genauso sehe ich es mit Servern wenn es Knallt dann richtig.
 
dereine said:
Falsch, wenn du gegen ein Baum u.a Knallst Hilft dir auch kein Gurt keine Guten Reifen und auch kein Airbag ;) genauso sehe ich es mit Servern wenn es Knallt dann richtig.
Click to expand...
Ich denke, so meint er es!

Das sicherste Auto seiner Klasse bringt nichts mit einem unfähigen und unvorsichtigem Fahrer und wenn das Auto nicht regelmässig gewartet wird, wird es anfälliger.
 
dereine said:
Falsch, wenn du gegen ein Baum u.a Knallst Hilft dir auch kein Gurt keine Guten Reifen und auch kein Airbag ;) genauso sehe ich es mit Servern wenn es Knallt dann richtig.
Click to expand...


Ich denke das war mit ein wenig Ironie gwürzt.
Denn sein hat Auto hat lauter tolle Dinge die es sicherer machen, trotzdem kann er sich tot fahren damit.

Um es mal drastisch zu sagen.

Edit : Da war jemand schneller
 
Hallo!
v40 said:
Denn sein hat Auto hat lauter tolle Dinge die es sicherer machen, trotzdem kann er sich tot fahren damit.
Click to expand...
Exakt so war es gemeint.

mfG
Thorsten
 
Danke erstmal :)
Ok,so im Groben war mir das auch klar.

Dann mal zu den Userprogrammen.

Es laufen nur Gamserver (cs:s),und ein Teamspeakserver.

Sonst weiter nichts,keine Mirc Dienste wie Bouncer etc.

Meine grösste Sorge ist der Apache2 Server,Mysql und Postfix.
Die Domains werden über Syscp verwaltet.

Andere Frage nebenbei,bevor ich einen Fehler mache.Darf ein Root PW auch mehr wie 8 Zeichen haben?

Dann möchte ich ja immer noch,die Benutzer für die Gameserver und dem Teamspeakserver in ihren Verzeichnissen einsperren.
Hab bis jetzt aber noch nicht ganz gerafft,wie es geht.

Dann habe ich irgendwo von einem Programm gelesen,welches "failedtoban"heissen soll.Es bewirkt das wenn sich jemand mit falschen Zugangsdaten auf dem SSH-Port einloggen will,erstmal per Ip gebant wird.Vielleicht weiss jemand von Euch wo ich das herbekomme.
 
Mehr als 8 Zeichen funktionieren (zmd. unter SuSE) nicht. Nach 8 Zeichen wird das Passwort abgeschnitten.

Zu den Serverdiensten:
Der Apache sollte einem wirklich sorgen bereiten, da er eine nette Angriffsfläche für (D-)DoS-Attacken bietet. Das einzig Vorteilhafte: ausschließlich der Apache fällt meist aus, nicht das komplette System.
 
sbr2d2 said:
Dann habe ich irgendwo von einem Programm gelesen,welches "failedtoban"heissen soll.Es bewirkt das wenn sich jemand mit falschen Zugangsdaten auf dem SSH-Port einloggen will,erstmal per Ip gebant wird.Vielleicht weiss jemand von Euch wo ich das herbekomme.
Click to expand...
Dieses Programm kenn ich nicht, aber wir haben hier ein Programm im Forum, welches das gleiche Ziel verfolgt:

Auto SSH Login Blocker

Hallo! Da einige hier Probleme mit fehlgeschlagenen SSH Loginversuchen haben, sei an dieser Stelle auf http://www.newald.de/index.php?id=305 hingewiesen. Das Script unterbindet nach einem fehlerhaften Login (variabel) neue Anmeldeversuche von der selben IP Adresse für einen einstellbaren...
serversupportforum.de serversupportforum.de
 
Oh Mann, seit Ihr OffTopic gewesen... :(

Ich muß erstmal aufräumen:
cipher said:
Mit dem Rootkit ist dann alles ganz, ganz einfach ...
Click to expand...
Sobald man soweit ist, ist alles ganz einfach. Vorher steht die Hacker-Arbeit an, denn die Aussage "die irgendwelche Sicherheitslücken haben und über die man ein Rootkit einschleusen kann." ist vollkommen falsch.
Nicht das RootKit sorgt für den Root-Zugang. Den muß man sich erst hart erarbeiten. Ein RootKit dient der Einnistung und Verschleierung von Backdoors/Keytraps etc.

Und nun zur eigendlich Frage:
Die größte und häufigste Gefahr ist immer, daß in irgendwelchen PHP/CGI-Scripts Sicherheitslücken bestehen, die ein Cross-Site-Scripting (CSS) oder eine Code-Injection erlauben. Hier werden dann Scripte in ein Temp-Verzeichnis geladen und ausgeführt.
Diese verrichten entweder DDoS-Angriffe oder versenden massenweise Spam oder dienen als Phishing-Seite.
Damit sind die meisten Hacker bereits am Ziel und brauchen keine weiteren Root-Rechte.

huschi.
 
StickyBit said:
Mehr als 8 Zeichen funktionieren auch unter SuSE wunderbar ...
Click to expand...
Jedesmal diese Pauschal-Aussagen.
Spezifiziert es doch bitte genauer, denn:
Linux speichert jeweils die Passwörter verschlüsselt in der /etc/shadow.
Wenn das System noch das veraltete Crypt-Verfahren verwendet, so werden nur die ersten 8 Zeichen des Passwortes cryptiert. Wenn bereits neuere Verfahren genutzt werden (wie z.B. MD5), sind (fast) beliebig lange Zeichenfolgen möglich.

Und wie Ihr seht: da steht etwas von "veraltet", was in der Computer-Welt nicht gerade heißt "vor 50 Jahren". Wann die Verfahren bei den jeweiligen Distributoren ausgetauscht worden sind, weiß ich nicht. Und solange Ihr nicht Eure Suse-Version bei solchen Aussagen mit angibt, kann überhaupt niemand etwas mit Euren pauschalen Aussagen anfangen.

huschi.
 
Danke für die vielen Antworten.

Weswegen ich eigentlich frage ist,vor kurzem habe ich in einem der Logfiles entdeckt,das jemand mehrmals,über mehrere Tage,immer in den Morgenstunden,versucht hat über ssh zu conecten.

Jedesmal mit so stupiden Namen wie,marlboro,loveman usw.
Wird wohl Wahrscheinlich irgendsoein Standart-progi sein,welches mit einem Benutzernamen,dann diverse Passwortlisten abarbeitet.
Wobei derjenige da nicht weit kommt.
Mein weiters vorgehen wird dann sein,das die Domains vom Gameroot auf einen Vserver kommen.
Apache2,Mysql und alles was dazu gehört,kann dann runter.

Wo sind dann noch Schwachstellen,ausser auf dem SSH-port?

Den Port auf einen x-beliebigen zusetzen hat mir mein Hoster abgeraten,da das eher neugierig macht,als das es abschreckt.

gruss s.b.

edit:Um nochmal dran zu erinnern,es ist ein Debian Sarge System drauf.
 
Last edited by a moderator:
sbr2d2 said:
Den Port auf einen x-beliebigen zusetzen hat mir mein Hoster abgeraten,da das eher neugierig macht,als das es abschreckt.
Click to expand...
Darf man erfahren welcher Hoster dir diesen Unsinn erzählt hat?
Wieso kann man seinem Kunden davon abraten? Verstehe ich nicht.
Wenn man den Port schön "hochverlegt", dann hat man zumindest nicht mehr diese nervigen Standartscans von irgendwelchen Scriptkiddies. Und wenn du den Rest deiner Ports schön überwachst und unnötige Dinger schließt kann der "Angreifer" auch noch so neugierig werden. :D
 
<mode type='eigenwerbuung'>

Für die Chemnitzer Linux Tage 2003 hab' ich mit einem Kumpel mal einen Vortrag als Übersicht über ein paar der (damals) gängigen Angriffstechniken gehalten.

Das Script dazu könnt ihr euch hier ansehen:
http://ilai.homeunix.org/sicherheit-clt5.pdf

</mode>

Das ist bei weitem nicht vollständig, aber kann denke ich einen kleinen Überblick über die Vielseitigkeit der Gefahren geben.
 
Und was ist heutzutage so angesagt.

Die Scriptkiddis werden wohl scheitern.

Die Domains habe ich bis auf eine runter.
Es laufen dann nur noch SSH-dienste.
Den FTP-Server kann ich doch eigentlich auch schliessen oder?

Und als abschliessende Frage,wenn alles runter ist(apache,mysql,postfix und ftp) bis auf die Benutzer im Home-Verzeichnis,wo ist der Root dann noch angreifbar?

thx schon mal bis hierhin :)

edit: Der Hoster ist Hostingparadise
 
Potenziell angreifbar ist er imemr auf allen Diensten, die er anbietet. Wenn dort also z.B. ein Webserver läuft, dann sind solche Sachen wie XSS oft möglich.
Greift der Webserver auch noch auf eine Datenbank zu, kann man ggf. auch noch solche Sachen wie SQL Injections rein bringen - von beiden gibt's täglich neue Exploits.
Den FTP Server kansnt dfu natürlich abstellen, wenn du en eh nicht benötigst. Statt dessen dann scp verwenden, denn den SSH Port wirst du wohl oder übel ja vermutlich offen lassen.
Statt Password Authentifikation dort lieber ein 2 KBit PubKey Login verwenden ist auch keine schlechte Idee.
Den SSH Port würde ich verlegen - ich wüsste nicht, was dagegen spricht.
Zwar kann man den mit einem Banner Scan immer noch sehr leicht finden, aber die 08/15-Dummscriptkiddieprogs sind damit schon am Ende ihrer Möglichkeiten (wurde hier ja schon erwähnt).

Weiterhin kannst du ja den Zugriff auf den SSH Server nur von bestimmten Netzblöcken aus zulassen, dann müsste ein Angreifer auch noch den selben Provider nutzen, wie du. Dazu solltest du allerdings die Netzblöcke deines Providers gut kennen, und ggf, einen _kompetenten_Techniker bei deinem Provider fragen. Halte ich aber eigentlich schon für etwas paranoid.

Pflicht ist natürlich Bugtraq und regelmässige Updates.

Noch was, was ich vergessen habe?

Ach ja: Root Login verbieten, dann muss ein Angreifer schon mindestens zwei Passwörter bzw. ein Passwort und einen PubKey kennen.

Das bezieht sich jetzt natürlich alles auf den SSH Server. XSS und Injections zu verhindern sind etwas komplizierter, und würden hier doch etwas den Rahmen sprengen.
 
Jo Danke erstmal an alle,

Den Rootlogin über SSH hab ich schon abgestellt,den Port werde ich dann
wieder umlegen.
Ftp werd ich auch schliessen,weil das meiste was auf den Server kommen wird,läuft dann über Wget.
Wenn dann der Webserver und das ganze andere Zeugs runter sind,sollten solche Sachen wie XSS und SQL Injections nicht mehr funzen.
Desweiteren bleibt dann wohl wie gehabt,tägliche Traffickontrolle und Logfiles schauen.

Sollte ich mich da irren,bitte ich um Antwort,ansonsten hoffe ich das nie so ein ProHacker den Server zerlegt :)

gruss s.b.
 
You must log in or register to reply here.
Back
Top