Berechtigungen

[moppi]

Hallo,

nachdem ich die letzten Tage das Problem hatte, das "Fremde" wie es so schon heisst "Remote Code execution" durchführten nun etwas am überlegen bin.

Bei mir läuft suPHP und ich habe Confixx 3.0.4 HF8 im Einsatz. Standardmäßig haben alle Dateien das "read by other" bit gesetzt. Da fiel mir ein ich könnte die UMASK ändern die steht auf 022, in eurem debianhowto ist das ebenfalls so beschrieben, und ich vermute fast das des das selbige ergebnis erzeugt. ;)

Ich möchte das die Leute die per FTP Daten hochladen nur selbst auf diesen Dateien lesen und schreiben können. Da wie erwähnt Fremde prozesse gestartet haben die unter dem entsprechenden Confixxuser laufen. Damit konnten Die sehr viel lesen. Zur info es handelte sich um Bindshell. Dieser öffnet nach aussen auf Port 4000 eine "Console" man kann dort über telnet auf den rechner ohne authentifizeirung. Die Fremden konnten eine Menge Dateien lesen fiel mir dann mal auf. Und nun habe ich das Problem das ich alle Passwörter austauschen kann. Da ich nciht sicher bin.

Kann mir jemand sagen wie ich mir das Thema umask nahe bringen kann?

Danke
Daniel

[Joe User]

Als Erstes führst Du bitte eine Reinitialisierung (inklusive aller verfügbaren Updates) des Systems durch, danach können wir weiterdiskutieren...

[moppi]

Kurze Hintergrundinfo: das Problem ist gelöst. Es war eine Lücke in einem PHP Script was dem "Angreifer" ermöglichte Code auszuführen. Das Script ist bereits gepatcht. Dank suPHP hatte der nur die Rechte des entsprechenden Confixx Users.

[giffi]

Nur mal kurz geraten: Das PHP-Script war PHPix??

Giffi

[moppi]

ich weiss nicht ist von einem kunden von mir ich habe es jetzt umgebaut. und ruhe ist. prallel dazu habe ich noch einen art watchdog installiert die programmee die länger laufen als n sekunden werden erst terminiert und wenn erfolglos gekillt.

aber bitte nicht weiterraten, ich würde gerne etwas über umask erfahren!

[captaincrunch]

aber bitte nicht weiterraten, ich würde gerne etwas über umask erfahren!

Vielleicht sollte man dir eher etwas über local Exploits und / oder Backdoors erzählen... :roll:

[moppi]

ich hätte mir die frage echt schenken können, besser man lernt mit dem feuer umzugehen statt ihm aus dem wege zu gehen...

[dodolin]

Nein, aber du hast scheinbar noch nicht begriffen, was man dir sagen will:
Auch wenn du denkst, das Loch ist nun geschlossen, kannst du nach einem Hack nicht ausschließen, dass nicht irgendwo eine Backdoor etc. installiert ist und solltest daher dir und deinen "Kunden" zuliebe das System lieber neu aufsetzen. Nunja, manche lernen eben nur durch die harte Tour...

[moppi]

jetzt will ich dazu mal was sagen ich bin nicht paranoid, das problem ist komplett ergründet. ich habe im rescue alle binärdaten geprüft. ich hatte eine recht aktuelle liste mit MD5 der dateien.

um weisses licht zu sehen bedarf es mehr farben als nur rot.

nun zum thema zurück, ich möchte halt das alle daten die per ftp hochgeladen werden kein "read by other" bit erhalten wie kann ich denn rausbekommen welche umsak da passend ist?

[Joe User]

umask 177

[moppi]

Kannst Du mir auch bitte sagen, wie ich auf diesen wert komme? Keinen Roman, nur paar Worte.

Danke

[Joe User]

man chmod

[dodolin]

http://www.linuxfibel.de/access.htm
Speziell:
http://www.linuxfibel.de/access.htm#maske
http://www.linuxfibel.de/access.htm#chnum

[moppi]

Es wird also von 0666 ausgegangen um dann auf 0600 zu kommen wäre umask 066 für dateien?

[dodolin]

Ja.

Kann man aber auch leicht selbst testen:

Code: Select all

dominik@cheffe:~$ umask
0022
dominik@cheffe:~$ touch /tmp/test
dominik@cheffe:~$ ls -l /tmp/test
-rw-r--r--  1 dominik dominik 0 2004-09-24 11:32 /tmp/test
dominik@cheffe:~$ umask 0066
dominik@cheffe:~$ umask
0066
dominik@cheffe:~$ rm /tmp/test
dominik@cheffe:~$ touch /tmp/test
dominik@cheffe:~$ ls -l /tmp/test
-rw-------  1 dominik dominik 0 2004-09-24 11:35 /tmp/test
dominik@cheffe:~$ umask 0177
dominik@cheffe:~$ umask
0177
dominik@cheffe:~$ rm /tmp/test
dominik@cheffe:~$ touch /tmp/test
dominik@cheffe:~$ ls -l /tmp/test
-rw-------  1 dominik dominik 0 2004-09-24 11:35 /tmp/test
dominik@cheffe:~$ umask 0022

Kommt also aufs gleiche raus - in diesem Fall. Noch besser wäre IMHO aber 0077. :)

[moppi]

Ja danke so in der Art hatte ich es auch, ich wollte sicher gehen das ich es verstanden habe.

Vielen Dank.