VHCS Exploit

[Mathew]

Hallo zusammen,

ich weiß nicht ob ich Mist gebaut habe, aber ich möchte gerne Eure Meinung dazu hören.

Vor 2 Jahren hatte ich mich mit einer alternative zu Plesk beschäftigt und bin auf VHCS gekommen, fand die Oberfläche gut und habe es erst gar nicht Produktiv eingesetzt, da es ein absolutes Sicherheitsrisiko ist.

Nun habe ich einen Kunden der bei einem IT-Service seine e-Mails und Webseiten hostet mal auf dem Mailserver per Telnet geschaut und dort meldete sich ein VHCS mit Versionsnummer. Habe dann natürlich direkt den bekanntesten Exploit just for fun getestet und erschreckenderweise klappte der auch

Nun gut, habe dann hinterlegt, dass VHCS schon lang bekannte Sicherheistlücken hat, die auf diesem Server noch bestehen und dem Serveradmin geschrieben, dass er das dringend beheben soll.

Ich habe zwar die Logfiles in VHCS gelöscht, aber da werde sicher noch andere Logfiles vorhanden sein (/var/log/message etc.).

Nun habe ich natürlich keine bösen Absichten gehabt oder versucht was zu zerstören. Auf dem Server befinden sich ca. 1000 e-Mail Accounts und 150 Domains.

Ich glaube nicht, dass ich den Serveradmin persönlich ansprechen sollte oder ??? Man weiß ja nie wie die reagieren. Andererseits würde ich mal behaupten, dass meine Strafe nicht sooo hoch wäre, weil ich ja nichts kaputt gemacht habe.

Könnt Ihr mir dazu was sagen ??? Dankääääää

[marce]

Nett wäre gewesen, dem Admin das zu melden - und keinen Exploit auszuführen. Damit dürftest Du dich nämlich strafbar gemacht haben und bist nun ein bisserl von dem Goodwill des Admins abhängig...

Nun habe ich einen Kunden der bei einem IT-Service seine e-Mails und Webseiten hostet mal auf dem Mailserver per Telnet geschaut und dort meldete sich ein VHCS mit Versionsnummer. Habe dann natürlich direkt den bekanntesten Exploit just for fun getestet und erschreckenderweise klappte der auch

Ist das Nachschauen "Just 4 fun" passiert oder war das innerhalb des "Kundendinge tun"? Dann könnte man es evtl. noch als "Serviceleistung" abbiegen... :-)

Ansonsten: Offen und ehrlich wäre wohl am besten - alles andere könnte böse nach hinten los gehen und dann hast Du den Kunden vermutlich gesehen...

[cane]

Nun habe ich einen Kunden der bei einem IT-Service seine e-Mails und Webseiten hostet mal auf dem Mailserver per Telnet geschaut und dort meldete sich ein VHCS mit Versionsnummer. Habe dann natürlich direkt den bekanntesten Exploit just for fun getestet und erschreckenderweise klappte der auch

Wie dreist und dümmlich kann man sein "just for fun" einen Exploit gegen ein fremdes, produktives System auszuführen?

1) Du hast dich damit strafbar gemacht, sogar mehrfach.
2) Bei solchen Sachen geht man inner zuerst auf den Admin des Servers zu.

mfg
cane

[Mathew]

ja Moment mal, ich habe ja nicht damit gerechnet, dass der Kiddy Exploit funktioniert.

[Mathew]

Wie dreist und dümmlich kann man sein "just for fun" einen Exploit gegen ein fremdes, produktives System auszuführen?

1) Du hast dich damit strafbar gemacht, sogar mehrfach.
2) Bei solchen Sachen geht man inner zuerst auf den Admin des Servers zu.

mfg
cane

Wie schaffen es hirnlosen und bescheuerten Typen überhaupt so viele Beiträge zu schreiben ??? So ein ****** wie dreist und dümmlich brauch ich von Dir nicht zu lesen. Und solche Aussagen braucht kein Forum "Wie kannst Du, warum hast Du nicht oder ich hätte".

[marce]

Ehrlich gesagt: Cane hat recht, auch wenn er es nicht sonderlich nett ausgedrückt hat.

Professionelles Verhalten ist etwas anderes...

[Mathew]

So, habe den Admin angerufen und mich ne halbe Stunde mit ihm unterhalten.

Die andere Frage wäre, wenn ich vermute, dass ein Exploit (der keinen direkten Schaden verursacht) möglich wäre, darf ich rechtlich gesehen den Exploit auch nicht gutwillig ausprobieren. Ohne den Exploit zu prüfen, weiß ich aber nicht ob diese Sicherheitslücke bereits korrigiert wurde.

Tja, und 1 Woche später führt ein 12 Jähriger aus der Ukraine den bekanntesten Exploit bei dem Server aus und löscht alles, was ja noch harmlos wäre. Manipulationen von Kundenwebseiten oder Missbrauch des Mailservers (Blacklisteneintrag der IP) wären sicher Gravierender.

Zu diesem Exploit habe ich bereits unzählige Beiträge gelesen "Mein Server wurde gehackt".

[marce]

Aber Du kannst den Admin darauf aufmerksam machen, dass Du da was vermutest - und er doch bitte prüfen soll, ob er entsprechende Patches eingespielt hat...

[bert2002]

Musst ihm ja nicht sagen das du das System exploited hast.

[cane]

Wie schaffen es hirnlosen und bescheuerten Typen überhaupt so viele Beiträge zu schreiben ??? So ein ****** wie dreist und dümmlich brauch ich von Dir nicht zu lesen. Und solche Aussagen braucht kein Forum "Wie kannst Du, warum hast Du nicht oder ich hätte".

Straftäter die keine Reue zeigen und so superschlau sind ihre Taten öffentlich zu posten wie dich kann man ruhig mal härter anfassen. Vielleicht kann ich den Staatsanwalt dazu bringen das Du statt einer Bewährungsstrafe ein kleines Bootcamp als mein HIWI absolvieren kannst. da lernst Du auch Benehmen und das Vermutungen in der IT soviel Wert sind wie ein Eimer Sch***e.

Die andere Frage wäre, wenn ich vermute, dass ein Exploit (der keinen direkten Schaden verursacht) möglich wäre, darf ich rechtlich gesehen den Exploit auch nicht gutwillig ausprobieren. Ohne den Exploit zu prüfen, weiß ich aber nicht ob diese Sicherheitslücke bereits korrigiert wurde.

Du "vermutest" das der exploit keinen Schaden verursacht. Wie vermutet man sowas? Vermutet man bei Buffer Overflows beispielsweise welchen Kernel und welche Software das remote system ausführt, stellt eine Testumgebung nach und schaut ob das Überschreiben von Speicheradressen per Exploit keine Nebenwirkungen hat?

Oder wie genau kamest du zu deinen Vermutungen?

Selbst da ist die Chance das nichts in die Fritten geht nicht allzugroß und deswegen ist es dumm und strafbar anderen einen Schaden durch Nutzung von Exploits zuzufügen.

mfg
cane

[bla!zilla]

Okay, jetzt kommen wir alle mal wieder runter und sind wieder lieb. Sonst gehen hier gleich die Lichter aus.

[Mathew]

Straftäter die keine Reue zeigen und so superschlau sind ihre Taten öffentlich zu posten wie dich kann man ruhig mal härter anfassen. Vielleicht kann ich den Staatsanwalt dazu bringen das Du statt einer Bewährungsstrafe ein kleines Bootcamp als mein HIWI absolvieren kannst. da lernst Du auch Benehmen und das Vermutungen in der IT soviel Wert sind wie ein Eimer Sch***e

Klar, in meiner Signatur findest Du meine Firma, dort ist auch die Kontaktadresse im Impressum, dann kannst Du zur Polizei rennen und eine Anzeige erstatten.

Du "vermutest" das der exploit keinen Schaden verursacht. Wie vermutet man sowas? Vermutet man bei Buffer Overflows beispielsweise welchen Kernel und welche Software das remote system ausführt, stellt eine Testumgebung nach und schaut ob das Überschreiben von Speicheradressen per Exploit keine Nebenwirkungen hat?

Oder wie genau kamest du zu deinen Vermutungen?

Selbst da ist die Chance das nichts in die Fritten geht nicht allzugroß und deswegen ist es dumm und strafbar anderen einen Schaden durch Nutzung von Exploits zuzufügen.

Du hast das nicht verstanden. Es liegt nicht in meinem Interesse sämtliche Exploits auszuprobieren. Genau diesen Exploit habe ich bereits vor einem Jahr auf meinem Testsystem ausgeführt, von daher weiß ich, dass er keinen Schaden anrichtet.

Weiterhin interessieren die anderen Server mich einen Dreck, jeder Admin soll seinen Server selber administrieren. Ich habe weder die Zeit, noch die Lust andere Server zu prüfen.

Im o.g. Fall ging es nur darum, dass ein möglicher Neukunde bei dem ich heute eine Besprechung hatte, einen SBS Server nutzt und ich nur über den Port 25 wissen wollte, ob der Windows Server direkt im Netz steht. Bei keinem einzigen Kunden ist ein Exchange-Server direkt erreichbar sondern immer ein Linuxsystem dazwischen. Und genau über den Port 25 kam dann die Version zum Vorschein wo ich den Exploit bei meinem Testsystem vor einem Jahr kinderleicht einem admin hinzufügen konnte.

Fazit: Der Neukunde wird Kunde und mit der Firma die das Hosting übernimmt bin ich bereits im Gespräch.

Also bedanke ich mich an @marce für die sachliche Info.

[bla!zilla]

Gegen einen Exchange am Perimeter spricht nichts. Man muss ihn nur im Griff haben. Dank Exchange 2007 gibt es dafür nun auch eine dedizierte Exchange Rolle (Edge). Alles eine Frage des KnowHow.