Da bin ich wohl böse angeeckt. Hat doch jemand meinen Server (Suse 7.3) gehackt. Hat offensichtlich root Rechte erlangt. Über das wie mache ich mir keine Gedanken mehr (würde mich zwar interessieren), weil ich schon ein Ersatzgerät in der Ecke stehen habe welches ich mit RH 9 beglücken werde. Eigentlich war auf dem Server viel zu viel Spielkram. Späte Einsicht, aber man lernt (gezwungener Maßen) dazu.

Die Fakten:

Internetzugang aus dem Netzwerk ging nicht mehr. Stellte schnell fest, dass named (Bind 8) nicht mehr gestartet wurde. Den user named gab es nicht mehr. Die user hans, sasa, raffi gab's auch nicht mehr. Die aktuelle /etc/passwd war kleiner als die letzte Sicherung dieser Datei und enthielt den User games mit User ID und Group ID 0. Klasse, games hat Rootrechte! Alle user, welche auf Games folgten, waren nicht mehr enthalten. Das alles war in der letzten Sicherungskopie nicht so. Aktion:
letzte brauchbare passwd aktiviert.
Password games geändert, shell auf /bin/false gesetzt.

Dann wurde natürlich in /usr/games ein Verzeichnis MazDaExPsAmBa und ein patchsmbd
lxnormann:/usr/games # cat patchsmbd
#!/bin/sh
if [ -f /etc/samba/smb.conf ] ; then
echo " hosts deny = ALL EXCEPT 193.254.21.55 " >> /etc/samba/smb.conf
else
if [ -f /etc/smb.conf ] ; then
echo " hosts deny = ALL EXCEPT 193.254.21.55 " >> /etc/smb.conf
fi; fi;
killall -9 smbd
/usr/sbin/smbd -D Im einzelnen wurden noch folgende Dateien und Verzeichnisse eingerichtet:
lxnormann:/usr/games/MazDaExPsAmBa # ls -lR
.:
total 68
drwxr-xr-x 3 hans 500 4096 Apr 26 12:41 .
drwxrwxrwx 5 root root 4096 Apr 24 15:42 ..
drwxr-xr-x 2 hans 500 4096 Apr 23 11:15 .codici_sorgente
-rwxr-xr-x 1 hans 500 12560 Apr 23 11:15 DO
-----wx-w- 1 hans 500 124 Apr 23 11:15 README
-rw-r--r-- 1 root root 421 Apr 24 15:35 ip
-rwxr-xr-x 1 hans 500 31054 Apr 23 11:39 sambal

./.codici_sorgente:
total 92
drwxr-xr-x 2 hans 500 4096 Apr 23 11:15 .
drwxr-xr-x 3 hans 500 4096 Apr 26 12:41 ..
-rw-r--r-- 1 hans 500 740 Apr 23 11:15 DO.c
-rw-r--r-- 1 hans 500 28 Apr 23 11:15 ip
-rwxr-xr-x 1 hans 500 30958 Apr 23 11:15 m
-rw-r--r-- 1 hans 500 32172 Apr 23 11:39 m.c
-rw-r--r-- 1 hans 500 8894 Apr 23 11:15 nmbping.pl
lxnormann:/usr/games/MazDaExPsAmBa #Kann jemand etwas mit diesen Informationen anfangen. Was habe ich mir da eingefangen? Was veranstaltet der Lümmel auf meinem Server?

Wenn ich jetzt eine neue Maschine aufsetze, spricht etwas dagegen, wenn folgende Pakete installiert sind?

Dial On Demand (autoamtischer DSL Connect)
cups
bind (Version 9 ist aktuell?)
Samba ist ja wohl überflüssig oder?

Bin für jeden Tipp dankbar

Hans

echo " hosts deny = ALL EXCEPT 193.254.21.55 " >> /etc/samba/smb.conf

$ host 193.254.21.55
55.21.254.193.in-addr.arpa domain name pointer arocon.de.

Wäre es möglicherweise wert, da mal nachzugehen.



$ awhois 193.254.21.55
% This is the RIPE Whois server.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/ripencc/pub-services/db/copyright.html

inetnum: 193.254.19.0 - 193.254.23.127
netname: STEPNET
descr: StepNet Internet Services
descr: Germany, Switzerland, France
country: DE
admin-c: JG85-RIPE
tech-c: JG85-RIPE
status: ASSIGNED PI
notify: jgorenflo@stepnet.de
mnt-by: RIPE-NCC-NONE-MNT
changed: hostmaster@ripe.net 19981223
source: RIPE

route: 193.254.20.0/23
descr: STEPNET
origin: AS702
member-of: RS-UUNETEUDE
mnt-by: UUNET-MNT
changed: mz@de.uu.net 20011123
source: RIPE

person: Jonathan Gorenflo
address: Step Computer- und Datentechnik GmbH
address: Ruemminger Strasse 15
address: D-79539 Loerrach
address: Germany
phone: +49 7621 4057 0
fax-no: +49 7621 4057 50
e-mail: jgorenflo@stepnet.de
nic-hdl: JG85-RIPE
notify: guardian@xlink.net
mnt-by: DENIC-P
changed: wb@xlink.net 19960229
changed: mlelstv@xlink.net 19980402
source: RIPE





-rw-r--r-- 1 hans 500 8894 Apr 23 11:15 nmbping.pl

Das ist ein NetBIOS Name Service Scanner. Das sollte auch in der Datei drinstehen. Ein schneller Weg, um ein Netz nach SMB Servern zu durchsuchen und zu zeigen, ob Windows oder Samba.


Wenn ich jetzt eine neue Maschine aufsetze, spricht etwas dagegen, wenn folgende Pakete installiert sind?

Dial On Demand (autoamtischer DSL Connect)
cups
bind (Version 9 ist aktuell?)
Samba ist ja wohl überflüssig oder?

Ob Firewall oder nicht und welche Schutzmechanism (tcp_wrappers, ACLs) Du sonst noch einsetzen willst, das wäre wichtig zu wissen.

Die Frage nach den notwendigen Paketen setzt voraus, dass man weiss was du machen willst und wieviele Rechner sich in deinem Netz befinden (oder ob du überhaupt ein lokales Netz hast).

PS: Sicherheitsupdates sollte man immer einspielen.

Original geschrieben von Hans-Georg Normann
Was habe ich mir da eingefangen? Was veranstaltet der Lümmel auf meinem Server?

Wenn ich jetzt eine neue Maschine aufsetze, spricht etwas dagegen, wenn folgende Pakete installiert sind?

Dial On Demand (autoamtischer DSL Connect)
cups
bind (Version 9 ist aktuell?)
Samba ist ja wohl überflüssig oder?

Bin für jeden Tipp dankbar

Hans

Hallo Hans, danke für die Informationen, es ist interessant zu sehen, was passiert, wenn ein Rechner gehackt wird. Ich finde es gut, dass du dich traust zuzugeben, dass es dir passiert ist.

Du hast den Rechner hoffentlich vom Netz getrennt, und wirst ihn erst wieder anschliessen, wenn er komplett neu aufgesetzt wurde?

Was er bei dir wollte? Sprungbrett für weitere Angriffe auf andere Systeme, Speicherplatz für Illegale Daten, Node für eine DDoS-Attacke, Spielplatz zum "üben"?

Was die Dienste betrifft, die du einrichten willst: Wo steht der Server, bei dir zu Hause? Wenn ja:
Den erwähnten Diensten nach zu beurteilen willst du keine Dienste öffentlich anbieten (z.B. Web/ftp-Server etc.). D.h. der Rechner diente als Gateway und Server.
Cups: Wenn er als Druckerserver agieren soll, dann wirst du cups brauchen, aber binde cups nur an das interne Netz. Bei Samba das gleiche.
Bind hast du vermutlich für lokale Namen und als Cached NS verwendet? Dann lass bind ebenfalls nur am internen Netz horchen.

Die restlichen Dienste musst du abstellen und am besten auch deinstallieren. Jetzt sollte kein Dienst mehr vom Internet erreichbar sein und der Rechner ist ziemlich sicher. Wenn du nun noch mehr Sicherheit willst, kannst du eine Firewall aufsetzen, die alle Verbindungsfragen von aussen abblockt.

Gruss, Andy

Zu "hacked" ? :

http://www.carius.de/fcedv/feinderkennen.pdf
da sind auch noch ein paar Links dabei, die dir zeigen, wie du "kontrollieren" kannst, was dein Gegenüber auf deinem Rechner alles so treibt ! Ist natürlich nur "interessant" sofern dein PC noch am Netz ist (wovon auch ich abraten würde).

MfG Markus

Original geschrieben von Belkira

Ob Firewall oder nicht und welche Schutzmechanism (tcp_wrappers, ACLs) Du sonst noch einsetzen willst, das wäre wichtig zu wissen.

Also der Server dient als Router für Internetverbindungen aus einem Homenetz heraus. (3 Clients). Wegen M$ maßloser Lizenzgebühren, können wir uns natürlich nur einen Laserdrucker HP 4000 Leisten, deshalb ist der mit CUPS auf diesem Server ins Netz eingebunden.

Named war mal so eine Idee von mir. Interessiert mich halt auch beruflich. Ist eigentlich netter als so eine /etc/host, vorrausgesetzt, man wird nicht gehackt.

Firewall wäre nicht schlecht, aber ich raffe es (noch) nicht. Bin eigentlich froh gewesen, dass ich die IP-Tables so eingerichtet bekommen habe, das das Gerät als Gateway funktionierte. Was Security angeht, habe ich noch keinen blassen Schimmer. Backgroundwissen würde also nicht schaden. Irgendwelche Tipps?

hans

Hi,

ohne Firewall würde ich nie einen Rechner mit dem Internet verbinden. Such hier mal danach und duwirst sicher was finden, was du einsetzen kannst. Auch wenn du sofort noch nicht alles verstehst.

Als Lektüre kann ich dir das Firewall-Buch von SuSE-Press enmpfehlen, auch für Nicht-SuSE geeignet.

Was Security angeht, habe ich noch keinen blassen Schimmer. Backgroundwissen würde also nicht schaden. Irgendwelche Tipps?
Ja, laß Dein Einarbeiten in Firewall- und Paketfilter-Technologien nicht auf niedriger Priorität laufen. Selbst ohne Firewall, implementiere zusätzliche Schutzebenen. Achte beim Konfigurieren aller Dienste, die auf dem Server laufen, darauf, daß sie nach Möglichkeit nur Verbindungen aus eurem LAN annehmen, d.h. daß sie nur an eine interne Netzwerkschnittstelle "gebunden" werden und nicht an 0.0.0.0 (Stichwort "man netstat" zum Überprüfen). Das können die meisten Server selbst (z.B. Samba und auch CUPS). Andere Serverdienste verwenden einen Internet Superserver, wie xinetd, der äquivalente Funktionalität bereitstellt (z.B. only_from = 192.168.0.0/24). Bei einer auf Sicherheit ausgelegten Linux Distribution verwenden viele Server zusätzlich tcp_wrappers (Stichworte /etc/hosts.allow /etc/hosts.deny, man 5 hosts_access).

Hi,
ich weiss nicht ob es dir jetzt noch was bringt aber

-rwxr-xr-x 1 hans 500 31054 Apr 23 11:39 sambal

ist ein Remote Root exploit fuer Samba.



Auszug aus der Bschreibung:


Remote root exploit for Samba 2.2.x and prior that works against Linux (all distributions), FreeBSD (4.x, 5.x), NetBSD (1.x) and OpenBSD (2.x, 3.x and 3.2 non-executable stack). It has a scanning abilities so a range of machines can be penetration tested at once on a network

Original geschrieben von MHoffrath
Hi,
ich weiss nicht ob es dir jetzt noch was bringt aber

-rwxr-xr-x 1 hans 500 31054 Apr 23 11:39 sambal

ist ein Remote Root exploit fuer Samba.

Autsch! Das hat man nun davon, wenn man meint SuSE Updates nicht mehr mögen zu müssen (weil die so verdammt langsam laufen). Na ja, das war es dann wohl für SuSE auf meinen Rechnern. RH9 Installation läuft gerade.

Jeder hat die Securitymessages gelesen, doch haben es alle angewendet? Mindestens einer nicht! So was kann man auch Learning By Doing nennen:confused:


Schon mal Dnak an alle! Werde euch bestimmt noch ein paarmal nerven.

Hans

Das wirft die Frage auf, warum Dein Samba Server vom Internet aus zu erreichen war? War das so beabsichtigt?

Richte eine Firewall ein!
Benutze den Scriptgenerator auf www.harry.homelinux.org und binde das Script einfach in das Runlevel ein, dass Du benutzt.

Das wäre schonmal ein imenses Plus an Sicherheit!

Ich glaube nämlich auch nicht, dass der samba für inetverbindungen zu erreichen sein sollte.
Und dass wäre mit einem guten Firewallscript nicht passiert.

Es ist wirklich nicht schwer!
Wenn Du nicht weiterkommst frag uns!

mfg
cane

Ich will hier nochmals darauf hinweisen, was ich vorher schon erwähnt habe:

Auf dem Server laufen keine Dienste, die aus dem Internet erreichbar sein müssen: Deshalb kannst du alle Dienste an das interne Interface binden.

Bei Samba geht das über die "interface = eth0" - Anweisung, bei Bind über "allow-query", "allow-recursion" und "listen-on".
Und bei CUPS wird das wohl auch ähnlich funktionieren.

Ein Firewall ist durchaus zu empfehlen. Wenn du alle Verbindungsversuche aus dem Internet verbietest, kannst du auch bei ev. falscher Konfiguration zusätzlich sicherstellen, dass die Dienste nicht erreichbar sind, ein Ersatz für eine Saubere Konfiguration ist die Firewall aber nicht.

Zum Schluss rate ich dir, eine Distribution einzusetzen, welche die Updates so einfach macht, dass du sie auch tatsächlich immer und regelmässig durchführen kannst. Redhat kenne ich zuwenig, aber ich denke dass es hier einfacher als mit SuSE geht, wenn du registriert bist.

Gruss, Andy

Hier (http://project.honeynet.org/) noch ein Link mit guten "Whitepapers"



To learn the tools, tactics, and motives of the blackhat community, and share those lessons learned.


Schaut mal in die active member section rein.
Interessante Leute dabei ;)

greets
f0rtex

hey wenn ihr euch dafür interessiert: habe einen honeypot eingerichtet, der alle halbe stunde nach neuen dateien etc checkt... wenn ich eine datei ändere wird das aus dem log entferen, alles andere wird geloggt. wenn ihr wollt schicke ich eu den zwischenbericht wenn es so weit ist.


installier nachher bastille linux (tip: lies "hackers guide") von anonymous. ist spannend!

Gibt es denn solch ein Programm, dass (wie du geschrieben hast alle halbe Stunde) oder in einem anderen Zeitintervall nach geänderten Dateien sucht und Für den Fall der Änderung sofort eine Mail an beispielsweise Eine Emailadresse geschickt wird ?

Wenn ja, wie heisst dieses Programm und ow bekomme ich ne Kurze Anleitung dazu her ?

Vielen Dank schonmal.

MfG Markus

Hi,

Tripwire sollte das können.

Ciao, Bernie

ich scanne jedes gateway das ich einrichte hinterher.
wenn du einen/ den rechner wieder als router laufen hast mach über sygate (http://scan.sygate.com) einen portscan.

nachtrag: die ip gehört ja zu http://arocon.de
ich würde dort mal fragen, ob und was die damit zu tun haben könnten.
entweder der pöse pursche kommt von denen, oder die sind auch opfer geworden.

ferner würde ich über eine strafanzeige nachdenken!

<edit> tippfehler beseitigen </edit>

nachtrag: die ip gehört ja zu http://arcon.de

Tippfehler?

Siehe meine erste Antwort. Kontakt würde ich definitiv aufnehmen.

Das wäre ziemlich dumm :D Freuen würde es mich aber trotzdem !


linux:~ # host 192.254.21.55
55.21.254.192.in-addr.arpa. domain name pointer CotoDw2k.
55.21.254.192.in-addr.arpa. domain name pointer littleman.
55.21.254.192.in-addr.arpa. domain name pointer SchaeferDw2k.corp.gtsi.com.


So siehts bei mir jetzt aus !

Da der Host nicht der selbe ist,wie oben noch gepostet, kann man sich also nicht sicher sein, dass 192.254.21.55 wirklich zu arocon.de gehört ! Ausser man hätte die Hostanfrage direkt nach dem Erhalten der IP gemacht.
Oder seh ich das falsch ?

MfG Markus

//€dit: Is nen Tippfehler die IP....

linux:~ # host 192.254.21.55

Tippfehler?

Siehe IP im ersten Posting und in meiner Antwort.

hupsa, das is mir jetzt aber peinlich :rolleyes:

Jo, warn Tippfehler ! Sry ! Ich nehme alle falschen beshculdigungen zurück ! seht mein letzten Post als "nichtig" an ;)

Aber trotzdem was: Ich würde keine Strafanzeige stellen! Wen willst du anzeigen ? Unbekannt ? Oder willste doch lieber ne IP anzeigen ? Oder willst du jemand anzeigen, der 2mal ne Ip in 2 Dateien eingefügt hat, um späteren Zugriff zu erlauben ? Wer sagt, dass diese IP dem Angreifer gehört ?

Vergiss es ! Mit ner Strafanzeige würdest nicht weit kommen denke ich ! nicht mit den Infos...

MfG Markus

ja tippfehler :ugly:

nslookup 193.254.21.55
Note: nslookup is deprecated and may be removed from future releases.
Consider using the `dig' or `host' programs instead. Run nslookup with
the `-sil[ent]' option to prevent this message from appearing.
Server: 212.62.64.34
Address: 212.62.64.34#53

Non-authoritative answer:
55.21.254.193.in-addr.arpa name = arocon.de.

Authoritative answers can be found from:
21.254.193.in-addr.arpa nameserver = dns1.stepnet.de.
21.254.193.in-addr.arpa nameserver = dns2.stepnet.de.
dns1.stepnet.de internet address = 193.254.21.12

gibt es eigentlich eigentlich irgendwo im Web einen Nessusd mit dem man sich selbst scannen kann?

Steve

installier deinen nessusd einfach local :D :D

Hab ich auch gemacht. Klappt !

MfG Markus

dann kann ich mich doch nicht vom web aus scannen, dann scanne ich mich über das loopback Interface und sehe nicht ob trotz IMO ordentlich konfigurierter Dienste und Firewall nocht was druchkommt.


Steve

Hast du keinen Zweitrechner oder ein Notebook? (Pech wenn du nicht so gut ausgestattet bist...)

Gruss, Andy

Ich habe einen Zweitrechner, aber es ist doch müßig sich 2x im Internet anzumelden. Wenn ich den PC ausm Netzwerk scanne, dann habe ich ja immernoch nicht die Erreichbarkeit ausm I-Net überprüft, oder mache ich einen Denkfehler ?

Steve

Ich gehe natürlich davon aus, das der Rechner über eine Ethernet-Schnittstelle ins Netz geht ;)

Du hast vermutlich ADSL oder ähnlich, dann wird es schwieriger: Du müsstest temporär die Ethernet-Schnittstelle als Internetzugang konfigurieren. Also mit den Diensten und Firewall, sowie entsprechender IP-Addresse, aber natürlich ist da kein Internet, sondern nur der Zweirechner, der scannt.

Gruss, Andy

ich habe leider Isdn.:eek: