Hi!
Also, nur kurz vorweg: Ich suche KEINE HACK-Anleitung!

Mir ist letztes Wochenende mein Server gehackt worden.:(
Ein Beguter des Schadens sagte zu mir, das dies wahrscheinlich durch eine alte Apacheversion zurückzuführen sei.

Jetzt frage ich mich bloß,
wie es Leute schaffen sich als ROOT auf meinem System einzuloggen?
Der Apache lief nicht als ROOT! (Gott bewahre).

2tens haben wir die Vermutung das der Angriff evtl. über MySQL kam.
Aber auch der lief nicht als ROOT.

Jetzt frage ich mich natürlich wie kann sich jemand von einem normalen Benutzer aufeinmal als ROOT autorisieren?

Ich möchte bitte keine Hackanleitungen bekommen.
Aber vielleicht hat ja jemand eine Generelle Idee.

Ich habe nämlich auf zukünftige Angriffe auf meinen Server keine Lust.
:(

Vielen Dank.

Also .. Apache wird von root gestartet ... sonst könntest du gar nicht den port 80 binden ...
die apache childs laufen als der jeweilige user, der parent

p15095816:~ # ps -ef | grep httpd
root 28807 1 0 Aug14 ? 00:00:45 /usr/local/apache/bin/httpd -DSSL
wwwrun 11614 28807 0 Aug26 ? 00:00:00 /usr/local/apache/bin/httpd -DSSL
wwwrun 11615 28807 0 Aug26 ? 00:00:00 /usr/local/apache/bin/httpd -DSSL
mysql bindet keinen privilegierten port (3306) und muss daher nicht unter dem user root gestartet werden.
typischerweise wird jedoch auch mysql von root über einen wrapper gestartet und der eigentliche prozess läuft dann unter dem user von mysql

ein root kit ist das gleiche was man unter windows als trojaner bezeichnet... ein stück software was einem entfernten/lokalen benutzter administrationsrechte über die maschine/betriebssystem verschaffen kann ohne das der jeweilige benutzer diese rechte eigentlich haben dürfte

hi paddyhm

diese seite dürfte recht interessant für dich sein => http://www.kryptocrew.de/home/

Gruß HangLoose:)

@bauchi

das ist aber nur die halbe wahrheit....

ein rootkit bringt normalerweise auch noch speziell modifizierte standardprogramme wie ps oder netstat mit, die es ermöglichen, das vorhandensein des backdoors zu verschleiern...

ruft man beispielsweise das modifizierte netstat auf, wird der backdoor der ja im listen-mode arbeitet nicht mit angezeigt...

ciao

tommy

b-tommy....
jo .. hab ich was anderes erzählt :-)

unter windows die trojaner sind halt so doof das sie sich nicht verschleiern .. aber auch nur weil windows sowas wie ein ps ned hat....

die kit's/trojaner für linux sind einfach viel ausgefuchster ... :-)

in der letzten oder vorletzten linux enterprise oder linux magazin war ein ziemlich langer und interessanter bericht über root kits drin :-)

n8

check mal die Seite http://www.chkrootkit.org/ und lies dir die Links unter "Related Links" durch, falls du gerade kein Magazin zur Hand hast, wo diese ausführlich beschrieben werden.

Allgemein kann ich nur sagen das diese fast nicht zu entdecken sind ausser du kennst dich sehr gut mit /proc aus - denn diese Daten können nicht manipuliert werden! Im Klartext heisst das ein Netstat mit /proc abgleichen....

viele Glück bei der Suche

aha noch ein Tipp: bei einem neuinstallierten System TripWire (gibt auch andere) darüber laufen lassen und die Prüffsummen extern speichern!

greetz
adme

@bauchi


jo .. hab ich was anderes erzählt :-)

jo...haste :-)


ein root kit ist das gleiche was man unter windows als trojaner bezeichnet... ein stück software was einem entfernten/lokalen benutzter administrationsrechte über die maschine/betriebssystem verschaffen kann ohne das der jeweilige benutzer diese rechte eigentlich haben dürfte

was man unter win trojaner bezeichnet, bezeichnet man unter linux halt backdoors..nen rootkit ist in dem sinne ja kein stück software sondern einige stücke software...wovon nur ein teil der software die wirkliche aufgabe hat, das system zu korrumpieren und die andern, diesen teil zu verschleiern...

übrigens...ps gibbet unter win wohl net, aber netstat gibts wohl...

ciao


tommy

übrigens...ps gibbet unter win wohl net, aber netstat gibts wohl...
eigentlich gibt ps auch inform eines Taskmanagers... nur ist das Ding *******e! netstat kann ich das Teil unter Win wirklich nicht nennen, dessen Funktionsumfang gleich null ist :)

greetz
adme

Es geht dabei nicht unbedingt darum ueber welches *prog* der Zugang zum System erfolgt. Wenn du mal ps- aux machst, siehst du viele Programme die unter ROOT laufen, laufen muessen und als User genutzt werden koennen.
z.B. durch ein "einfachen" Buffer Overflow kann man dann auch als normaler User ueber dieses *prog* root- Rechte erlangen.

Zwecks deinem root-kid, hier gib es ein Tool mit dem kannst du pruefen ob deine Kisten davon "befallen" sind, oder von anderen *Pferden":
http://www.chkrootkit.org/

Trojaner lassen sich auch unter Windows sehr, sehr gut verschleiern ;-)
Ich habe schon einige "Shareware" gesehen, die komische Mails verschickt.
Einige Leute sagen ja auch, das Windows allgemein ein sehr guter Trojaner ist.:D :D :D

T;o)Mes

Hi!
@all:

Erstmal vielen Dank, für Eure Hinweise.
Ich werde mir einmal die Links durchlesen.

Dennoch:
- Ich brauche nur ein Programm zum Abstürzen zubringen und ich habe dann ROOT-Rechte auf meiner Kiste?

Ist das so richtig?

Das darf doch nicht sein!?:mad:

Wie kann ich mich denn ambesten in Zukunft vorsoetwas schützen?
Hat jemand einen Rat für mich?:(

moin paddy;

was du meinst, hat aba mit root-kits nix zu tun sondern sind buffer-overflows...

dabei werden speicherbereiche durch modifizierte überschrieben und das prog veranlasst, sachen zu machen, die es normalerweise gar nicht machen soll...

nen root-kit wird von einem potentiellen angreifer im anschluss installiert um sich den weg ins system weiterhin offen zu halten...

schützen kannst du dich am effektifsten dagegen, indem du den stecker ziehst ;)

im ernst...das beste ist erst mal, so wenig dienste als möglich laufen zu haben...und sich weiterhin regelmässig bei den einschlägigen seiten wie securtiyfocus etc. über exploits zu informieren, die dein system betreffen...

wirklich sicher machen kannst du die dienste nicht...es sei denn du schreibst sie selbst und bist ein sauguter programmierer...

bestes beispiel apache...., der wurde ziemlich lange für relativ sicher gehalten bisses vor knapp 2 monaten geknallt hat...

ciao

tommy

so wenig dienste als möglich laufen zu haben.
sind gefaehrlich.
Im grunde genommen jedes *prog* das auf deinem Rechner/Server laeuft.

Deshalb --> bei SecurityServern sollten nur Programme drauf sein die muessen.
Schau dir mal das erzeichnis /bin und /sbin an. Ganz zu schweigen von /usr/bin, /usr/sbin /usr/X11R6/bin /usr/X11R6/sbin usw.
Beispiel : man war mal *buggy*, so das man OOT-Rechte erlangen konnte. ;-)
Also Augen auf. Log-Files auf einen anderen Server und wie schon adme schrieb --> TripWire rauf.

T;o)Mes

so wenig dienste als möglich laufen zu haben.
sind gefaehrlich.
Im grunde genommen jedes *prog* das auf deinem Rechner/Server laeuft.

Deshalb --> bei SecurityServern sollten nur Programme drauf sein die muessen.
Schau dir mal das erzeichnis /bin und /sbin an. Ganz zu schweigen von /usr/bin, /usr/sbin /usr/X11R6/bin /usr/X11R6/sbin usw.
Beispiel : man war mal *buggy*, so das man OOT-Rechte erlangen konnte. ;-)
Also Augen auf. Log-Files auf einen anderen Server und wie schon adme schrieb --> TripWire rauf.
Ausserdem jeden Patch der einen angeht sofort einspielen.

T;o)Mes