PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Merkwürdige Kernel-Meldung: "Treason uncloaked!"



Krischi
08.07.05, 01:12
Tja, ehrlich gesagt weiß ich nicht, ob ich damit im richtigen Unterforum bin (Ich hoffe eigentlich sogar inständig, daß ich hier völlig falsch bin), aber meine dilletantische Übersetzung der Meldung ("Verrat enthüllt!") läßt zumindest Befürchtungen aufkommen.

Auf folgende Meldungen machte mich logcheck aufmerksam:
Jul 7 17:33:20 localhost kernel: TCP: Treason uncloaked! Peer 202.174.152.66:31324/51801 shrinks window 5445027:5446463. Repaired.
Jul 7 18:00:41 localhost kernel: TCP: Treason uncloaked! Peer 202.174.152.66:31324/52065 shrinks window 1953611887:1953613323. Repaired.
Jul 7 18:02:41 localhost kernel: TCP: Treason uncloaked! Peer 202.174.152.66:31324/52065 shrinks window 1953759795:1953761231. Repaired.

Was will mir das sagen?

Eine Suche hier im Forum warf nur einen Thread aus.
Dort hatte jemand mit einer solchen Meldung ein Sicherheitsproblem, aber wenn ich das richtig sehe wurde in dem Thread nie geklärt, ob das Problem in irgendeinem Zusammenhang mit dieser Meldung stand.

Dieser Thread war dann auch das einzig deutschsprachige, was dazu per Suchmaschine zu finden war.
Und die englischen Suchergebnisse, die ich mir dazu angeschaut habe verstehe ich im Moment nicht wirklich (Hoffe, das ist nur die Müdigkeit).

Sofort-Maßnahmen:
chkrootkit: ohne Befund
rkhunter: ohne Befund

Ich sehe auch keine ungewöhnlichen Prozesse (zumindest nicht im Moment)

Ich bin ratlos.

System ist Debian unstable.
Ist ein Desktop-System. Hier rennt kein Apache o.ä. SSH, Telnet o.ä. ist hier alles Fehlanzeige.
Sonstige eventuell nötige Informationen liefer ich gerne nach, wenn ich wacher bin.

Kann es sein, daß diese Meldung auf ein Sicherheitsproblem hinweist?
Wenn ja: was für eines?

Wenn es kein Sicherheitsproblem ist (was ich nach wie vor hoffe), was ist es dann?

Ist es überhaupt ein Problem?

*ratlos und auf Hilfe hoffend*

Detrius
08.07.05, 01:51
Ich hab mal kurz im Netz gesucht und bin auf das gestoßen:
http://groups.google.de/group/muc.lists.debian.user/browse_thread/thread/c357fffc4498c767/9c577e6b1dcaaa12?q=linux+Treason+uncloaked&rnum=4&hl=de#9c577e6b1dcaaa12
http://lists.debian.org/debian-user/2002/04/msg05198.html

Scheint also auf der Gegenseite ein komischer TCP/IP Stack zu sitzen, der verbotene Sachen macht. Der Rechner sollte also weiterhin völlig sicher zu sein. ;)

marce
08.07.05, 08:15
solche Meldungen haben wir hier reichlich - sind bei uns meist irgendwelche PDAs oder ähnliches, die Webseiten bei uns abrufen...

cane
08.07.05, 08:50
Hallo Krischi,

gerade gestern habe ich einen Artikel zu der Thematik im aktuellen Linux-Magazin gelesen :)

Du kennst ja bestimmt den grundlegenden Aufbau einer TCP/IP Verbindung:

Die Flags werden gesetzt (SYN, ACK, ...) und gleichzeitig Sequenznummern vergeben um doppelte und illegal eingeschleuste Pakete zu verwerfen.

Wenn nun ein Angreifer eine TCP/IP Verbindung illegal beenden doder hijacken will muss er neben dem relativ einfach zu erratenden Quadrupel SRC-IP, SRC-Port, DST-IP und DST-Port die Sequenznummer raten. (das einzigste was nicht so einfach zu erraten ist ist hier die SRC-IP)

Für die Sequensnummer stehen 2³² Möglichkeiten (~ 4,2 Millarden) zur Verfügung, sieht erstmal so aus als wäre das unmöglich. Ist aber nicht so weil der Bereich sich stark einschränkt...

Jetzt kommt zusätzlich noch die Window-Size ins Spiel: Da sich TCP/IP Pakete im Internet gegenseiig überholen können wird ein Bereich von Sequenznummern angegeben den das System akzeptiert. Dieser liegt je nach System im Bereich von 5480 Byte (Linux 2.4 und 2.6) bis 65535 Byte (w2k SP3 und SP4, XP). Dadurch kann die Sequenznummer schon mal viel leichter erraten werden.

Es kommt aber noch besser: Existiert die TCP/IP Erweiterung Window-Scaling in einem der beiden IP-Stacks kann das system die Window-Size selbst anpassen um beispielsweise bei hohen Latenzen oder grosser Bandbreite das Fenster zu vergrössern und somit schneller zu arbeiten (mehr Pakete werden akzeptiert, es muss seltener nachgefragt werden). Laut Linux-Magazin erhöht ein Linux-System bei Aufruf von "top" über eine SSH-Verbindung den Wert bereits von 5480 auf über 16000 Byte!

Warum dein System diese Erhöhung des Window-Size nicht akzeptiert (in Hinsicht auf Sicherheit gesehen ist das sogar gut) kann ich dir nicht sagen; Eventuell hast du den GR-Security Patch installiert oder händisch Änderungen in /proc/sys/net/ipv4/tcp_rmem, /proc/sys/net/ipv4/tcp_wmem oder tcp_rmem / tcp_wmwm in /etc/sysctl.conf eingetragen?

Das ganze ist äusserst interessant und ich empfehle allen die TCP/IP Verbindungen über lange Zeit aufrecht erhalten müssen (BGP, SSH) die aktuelle Ausgabe des linux-Magazin zu lesen!

Eine Bemerkung zum Abschluss: die BSD-Familie ist auch bei dieser Thematik wieder einmal am sichersten da schon das o.g. Quadrupel SRC-IP, SRC-Port, DST-IP und DST-Port nicht einfach zu erraten ist weil der SRC-Port zufällig vergeben wird (alle anderen Betriebssysteme beginnen mit einem definierten SRC-Port und erhöhen ihn pro Verbindung um 1).

Hoffe ich konnte sowohl Krischis Problem erläutern als auch eine kleine Einführung in die Problemetik "Illegales Beenden von TCP/IP-Verbindungen geben". Ich hätte auch alles noch genauer ausführen können aber es wäre unfair den ganzen Linux-Magazin Artikel gedanklich "wiederzugeben". BUY!

mfg
cane

cane
08.07.05, 09:04
Könnte auch ein versuchter DoS sein:


This is problem someone is running some sort of "tar-pit" system that is
designed to keep sockets in a bad state and run you out of kernel memory.

https://www.redhat.com/archives/redhat-list/2005-June/msg00311.html

mfg
cane

Krischi
08.07.05, 11:39
Ich danke Euch.

Jetzt wird mir schon ein wenig klarer, was das war.

Werde mich heute und die nächsten Tage noch ein wenig intensiver mit der damit zusammenhängenden Thematik befassen müssen (vor allem der Linux-Magazin-Artikel scheint ja recht aufschlußreich zu sein), aber kann das zumindest schon mal beruhigt angehen. :)

Das erwischte mich gestern völlig übermüdet und dementsprechend schwierig war es für mich
- Informationen zu finden
- das Gefundene dann auch zu verstehen
:ugly:

Das zusammen mit der Tatsache, daß ich sicherheitsbezüglich leicht schreckhaft bin, ist keine gute Kombination.

cane
08.07.05, 12:04
Paranoid zu sein hat nunmal seine Vor- und Nachteile ;)

Das aktuelle Linux-Magazin wird dich ganz schön aufschrecken, schau dir die Themen mal an: http://www.linux-magazin.de/Artikel/ausgabe/2005/08

Gerade nach dem Artikel den ich oben nannte wirst Du an deinen Systemen Änderungen durchführen...

mfg
cane

Krischi
08.07.05, 12:26
Gerade nach dem Artikel den ich oben nannte wirst Du an deinen Systemen Änderungen durchführen...Wenn dem so ist, wären das Änderungen, die ich früher oder später eh in Angriff genommen hätte.

Alle Paar Wochen/Monate erwischt mich eh ein kleiner paranoider Schub, der mich dazu bringt, alle Sicherheitskonzepte noch einmal zu überdenken und gegebenenfalls zu ändern/zu überarbeiten.

Ich hege zumindest die Hoffnung, daß da jedes mal auch tasächlich Veränderungen zum positiven bei herauskommen :D

Von daher wäre ich wahrscheinlich früher oder später eh bei den Dingen gelandet, die in dem Artikel angesprochen werden.
Passiert jetzt halt früher.
Um so besser. :D