Hallo Leute,
ich war gestern in einem IRC-Chat, da postete auf einmal jemand meine Linux-Welcome-Message.
WTF?
Wo hat der die her?
Ich hab nen SuSE 8 Server/Router/PDC, der nach außen mit ner SuSEfirewall2 gesichert ist:


FW_DEV_EXT="ppp0"
FW_DEV_INT="eth0"
FW_DEV_DMZ=""
FW_ROUTE="yes"
FW_MASQUERADE="yes"
FW_MASQ_DEV="$FW_DEV_EXT"
FW_MASQ_NETS="0/0"
FW_PROTECT_FROM_INTERNAL="no"
FW_AUTOPROTECT_SERVICES="yes"
FW_SERVICES_EXT_TCP="10000 21 23 http https ssh" # webmin, ftp, ftp2
FW_SERVICES_EXT_UDP=""
FW_SERVICES_EXT_IP=""
FW_SERVICES_DMZ_TCP=""
FW_SERVICES_DMZ_UDP=""
FW_SERVICES_DMZ_IP=""
FW_SERVICES_INT_TCP=""
FW_SERVICES_INT_IP=""
FW_TRUSTED_NETS="192.168.1.0/16"
FW_ALLOW_INCOMING_HIGHPORTS_TCP="ftp-data"
FW_ALLOW_INCOMING_HIGHPORTS_UDP="DNS"
FW_SERVICE_AUTODETECT="yes"
FW_SERVICE_DNS="no"
FW_SERVICE_DHCLIENT="no"
FW_SERVICE_DHCLIENT="no"
FW_SERVICE_DHCPD="no"
FW_SERVICE_SQUID="no"
FW_SERVICE_SAMBA="yes"
FW_FORWARD=""
FW_FORWARD_MASQ="0/0,192.168.1.105,tcp,23" # FTP Server auf Client im Netzwerk
FW_REDIRECT=""
FW_LOG_DROP_CRIT="yes"
FW_LOG_DROP_ALL="no"
FW_LOG_ACCEPT_CRIT="yes"
FW_LOG_ACCEPT_ALL="no"
FW_LOG="--log-level warning --log-tcp-options --log-ip-option --log-prefix SuSE-FW"
FW_KERNEL_SECURITY="yes"
FW_STOP_KEEP_ROUTING_STATE="no"
FW_ALLOW_PING_FW="no"
FW_ALLOW_PING_DMZ="no"
FW_ALLOW_PING_EXT="no"
FW_ALLOW_FW_TRACEROUTE="yes"
FW_ALLOW_FW_SOURCEQUENCH="yes"
FW_ALLOW_FW_BROADCAST="no"
FW_IGNORE_FW_BROADCAST="yes"
FW_ALLOW_CLASS_ROUTING="no"

Ist es gefählich sowas zu posten wenn man keine Ahnung hat? :D
Naja, is nichts besonders tolles, ne mehr oder weniger Std. Konfig denk ich ma...
Was gibt es für Möglichkeiten an meine Loginmessage zu kommen OHNE ein User:PW zu haben?
Was könnte ich noch für Sicherheitslöcher haben?

PS: Mein System muss nicht 100% sicher sein, da is nix wichtiges drauf... aber ärgerlich find ichs schon, wenn da einfach irgend ein dahergelaufener IRC User mein System knacken kann, nur mal so zum Spass.
Leider war er direkt ausm Channel, sonst hätte ich ihn ma gefragt... :rolleyes:


~Gh05t~

hallo ~Gh05t~

ich kenn zwar die suse-fw nicht so gut, aber haste ein bisschen viel offen?!?

FW_SERVICES_EXT_TCP="10000 21 23 http https ssh" # webmin, ftp, ftp2
wozu telnet wenn du sowieso schon ssh offen hast?
was läuft auf port 10000?
brauchst du ständig ftp?

ABER:
bedenke, dass es auch client-side exploits gibt. d.h. wenn es einen fehler im irc-client gibt, kommt im zweifelsfall auch darüber auf deine büchse.

/g0dzilla

p.s.

Ist es gefählich sowas zu posten wenn man keine Ahnung hat?
ja! :ugly:

10000 is Webmin, das hab ich schon rausgeworfen, über 23 läuft bei mit der 2. FTP Server im Int. Netzwerk. Den brauche ich eigentlich nicht so oft, den könnte ich auch deaktivieren.
Den normalen FTP brauch ich schon!
http und ssh auch.

ist das ein öffentlicher (anonymous) ftp?
- davon würde ich in jedem fall abraten! viele ftpd's sind einfach super-buggy,
und fehler lassen sich mit einem anon-account bestens ausnutzen!
- webmin ist imho echter schrott (nicht nur security-technisch).
- http(s) (apache) sollte weniger das prob sein, ssh auch nicht.

haste mal geschaut ob du noch allein auf deinem rechner bist?!?
wenn da einer deine motd geposted hat, solltest du das überprüfen!
(lsof -i, /etc/passwd, chkrootkit, etc.)

/g0dzilla

An die login message könnte er per telnet, evtl auch per ssh gekommen sein.

MFG fsd.

An die login message könnte er per telnet, evtl auch per ssh gekommen sein.
STOP! reden wir von
/etc/issue.net oder
/etc/motd ?

denn das ist mal ein gewaltiger unterschied ;)

/g0dzilla

wir reden von motd!
Scheinbar bin ich alleine, keine User in passwd, keine weiteren Logins.
Alle user außer meinem und root haben /bin/false, also kommt man auch nur mit root PW oder meinem User rein.
Die PWs sind 8-stellig mit Buchstaben und Zahlen, d.h. es gibt 136.325.893.334.400 Möglichkeiten für meine PWs. Die habe ich gerade nochmal geändert.
Ich hab nen Anonym FTP, vsftp...
Hat da jemand begründet die Meinung das das unsicher ist?

Axo, Telnet fällt weg, das hab ich deaktiviert. Der Port wurde ja auch weitergeleitet zu nem netzwerkclient. Das hab ich aber deaktiviert.
Und wie soll man über ssh an die motd kommen ohne Username:PW?

Lösche doch einfach den Inhalt der Dateien:
/etc/issue
/etc/issue.net

Dann sollte man nur noch eine normale Loginaufforderung bekommen, die so aussieht:

Rechnername Login:

So ist erst einmal nicht zu erkennen mit welchem OS Du unterwegs bist, denn wenn er versucht hat sich bei Dir anzumelden sieht er die Login message, falls ich Dich hier Richtig verstanden habe. Und hol Dir doch Hier mal eine neue firewallscript:

http://www.harry.homelinux.org/

iptables-Generator v1.16

Da muss man nicht so viel Ahnung haben und dieses Script ist wirklich gut!
Vielen Dank Harry:-)

Ich weis nicht ob er sich versucht hat anzumelden, falls er es auf dem Weg versucht hat, muss er auch reingekommen sein... weil die motd kommt nunmal erst NACH dem korrekten login.
Und das jemand nicht in mein System kommen soll weil er nicht weis was es für eins ist... naja, das is jetzt nicht soo ein toller Schutz!
@Firewallscript: werds ma angucken!

Also, ich hab noch ma in meiner History von der Chatsession geguckt (die hatte ich gespeichert).
Der Typ hatte mit nem anderen über "exploit" und über n nicht vorhandenes Kernelpatch geredet.
:confused:
Ich hab noch den 2.4.18-4GB (i686) Kernel der bei SuSE 8 dabei war...
Gibt es bei dem irgendwelche Sicherheitslücken die man was weis ich wie ausnutzen kann?



Also anscheinend gibt es genug Sicherheitslücken... bei der Updatesammlung (http://www.suse.de/de/private/download/updates/80_i386.html)

such auf deiner büchse mal nach rootkits mit dem programm "chkrootkit"

Also anscheinend gibt es genug Sicherheitslücken... bei der Updatesammlung man kanns nciht oft genug sagen: wer keine sicherheitsupdates einspielt, braucht sich über nichts zu wundern .... Es gibt kein perfektes System und jedes Update macht die eigene Kiste ein wenig sicherer... Wer auf Updates verzichtet hat selbst schuld ... :ugly:

# chkrootkit
bash: chkrootkit: command not found

http://www.chkrootkit.org/

und öfters mal ein apt-get update && apt-get upgrade :D

scnr

Empfehlen kann ich dann auch noch die Programme :

tiger
aide
logcheck logtail usw
und Tripwire natürlich nicht zu vergessen.

Auch noch was grundlegendes zu security:
http://www.gentoo.de/inhalte/doku/gentoo-security/

Hast du schonmal deine Ports von aussen gescannt? Wenn du ausm Netz nicht an deinen Rechner musst kannst du ja um Porttechnisch auf nummer Sicher zu gehen mal ein

iptables -A INPUT -i ppp0 -j DROP

machen.

Nutzt allerdings nix gegen Fehler im Programm oder intelligente rootkits

Hey, versteht mich nicht falsch, ich update mein system schon regelmäßig...
Wollte damit nur die Frage nach Bugs relativieren... ;)

Was ist eigentlich ein rootkit?

hallo,

schau mal hier..

http://cert.uni-stuttgart.de/forensics/rootkits/

einfach gesagt ist es ein etwas ausgereifeter trojaner.
ein prozess, der sich selber versteckt und jemandem von aussen eine rootshell bietet.

Also, chkrootkit spuckt nur "nothing found", "not infected" und "nothing deleted" aus...

Also ich weis jetzt immer noch nicht wie man an meine motd kommt.
Naja, ich gehe jetzt noch mal die Liste von der gentoo page durch die DarkSorcerer angegeben hat, das sieht recht interessant aus... danach kann ich sagen ich habe alles gegeben was ich als "Nicht-Hacker" so für die Sicherheit leisten kann... :D

PS: Thx für die vielen Beiträge schon mal!