Mailversand über /tmp

[adjustman]

Hallo,
hatte heute einen (fremden ) Server am Wickel, über den per sendmail Emails verschickt wurden.
Hab dann in /tmp ein Script (mit zusätzlichen Dateien - mails.txt, msg.html) entdeckt

Code: Select all

#!/usr/bin/perl

$SUBJ="Periodic Account Renew $id";
$MSG="msg.html";
$USERS="mails.txt";

open(IN,$USERS);

$id=1;
while(chop($line=<IN>)){
    open(SM,"|/usr/sbin/sendmail $line");
    print(SM "From: Wells Fargo <accounts@$id.wellsfargo.com>n");
    print(SM "To: $linen");
    print(SM "Subject: $SUBJ - $idn");
    print(SM "Message-ID: <".time().".$id.accounts@wellsfargo.com>n");
    print("[+] $id - Mensaje enviado : $linen");
    print(SM "Content-Type: text/htmln"); 
    open(FILE,$MSG);
    while($line=<FILE>){
	print(SM $line);
    }
    close(FILE);
    close(SM);
    $id++;
}

close(IN);

das diese Mails verschickte.
1. wie kann es da hin kommen?
2. Wie kann es von dort ausgeführt worden sein?
3. Kann man verhindern, dass aus dem /tmp überhaupt was ausgeführt wird?
Danke für die Tipps.

[Roger Wilco]

1. wie kann es da hin kommen?

Zum Beispiel über unsichere Skripte, welche die Ausführung von lokalen Kommandos erlauben.

2. Wie kann es von dort ausgeführt worden sein?

Zum Beispiel über unsichere Skripte, welche die Ausführung von lokalen Kommandos erlauben.

3. Kann man verhindern, dass aus dem /tmp überhaupt was ausgeführt wird?

Sichere Skripte verwenden...

[adjustman]

ja @Roger
Auf dem Server laufen mind. 10 Mambo/Joomla Systeme
Das ist wohl die Ursache.
Ich lass jetzt per Script in Intervallen das /tmp leeren.

[Roger Wilco]

Einige hier im Forum haben gute Erfahrungen mit mod_security bei solchen Fällen gemacht. Vielleicht willst du dir das ja mal ansehen...

[thorsten]

3. Kann man verhindern, dass aus dem /tmp überhaupt was ausgeführt wird?

http://www.rootforum.org/forum/viewtopi ... 279#242279

[Roger Wilco]

3. Kann man verhindern, dass aus dem /tmp überhaupt was ausgeführt wird?

http://www.rootforum.org/forum/viewtopi ... 279#242279

Das hätte in dem Fall nichts gebracht, da der Perlinterpreter i. d. R. nicht unter /tmp/ gespeichert ist.

[adjustman]

3. Kann man verhindern, dass aus dem /tmp überhaupt was ausgeführt wird?

http://www.rootforum.org/forum/viewtopi ... 279#242279

Das hätte in dem Fall nichts gebracht, da der Perlinterpreter i. d. R. nicht unter /tmp/ gespeichert ist.

mmh, da war noch ein Binary mit im /tmp (brk) Evtl ein (Ersatz) Interpreter?

[Roger Wilco]

mmh, da war noch ein Binary mit im /tmp (brk) Evtl ein (Ersatz) Interpreter?

Hört sich eher nach einem Exploit für einen älteren Kernelfehler an. Ohne Analyse ist das aber nur eine Vermutung.

[adjustman]

Hört sich eher nach einem Exploit für einen älteren Kernelfehler an. Ohne Analyse ist das aber nur eine Vermutung.

wie kann man das analysieren? Also ich kanns nicht. ;)
Du? soll ich mal per Mail schicken?

[sledge0303]

Installiere doch mod_security. Auf deren Homepage findest du eine Datei mit Rules. Sind nicht so viele aber die sollten eigentlich reichen.
Mit den Rules von gotroot.com kannst fast alles unterbinden, aber auch deine eigenen Aktivitäten nicht gerade unerheblich einschränken!

[adjustman]

ok. Danke. Aber welche Rules sind denn "wirklich" sinnvoll?
Hat da jemand `n paar "Standards" parat?
Das ist ja eine Menge. Da das nicht mein Server ist, hab
ich wenig Lust, das 2 Wochen auszutesten. ;)
UND gibts das auch per apt für Debian?
Konnte mit apt-cache search nix finden.

[der kleine tux]

Morgen,

ja gibt es
apt-get install libapache2-mod-security

brauchst dann aber auch ältere gotroot rules set bis 1.8.7

gruss

[adjustman]

apt-get install libapache2-mod-security

is aber nich Apache2, is Apache 1.3.27 und Woody

[der kleine tux]

apt-get install libapache-mod-security

an sonsten würd ich die Kiste mit "apt-get dist-upgrade" mal auf den neusten stand bringen was bei Debian ja immer so ne sache ist

gruss

[adjustman]

an sonsten würd ich die Kiste mit "apt-get dist-upgrade" mal auf den neusten stand bringen was bei Debian ja immer so ne sache ist

ja. Und ausserdem auf nem Produktivsystem :?

[thorsten]

Hmmm, woody erfährt keine Sicherheitsupdates mehr und du bist hier an einem Punkt, wo einem 'newby' schon längst das Plätten und Neuinstallieren empfohlen worden wäre.

Ich würde mal mit dem 'Besitzer' des Servers sprechen und eine Neuinstallation unter sarge order gar schon etch in Erwägung ziehen.

In der Zwischenzeit kannst du dir für woody auch backports von backports.org unter unsupported.backports.org besorgen.
Ich sehe gerade, dass die site unten ist - vor meinem Urlaub ging das noch :lol:

[whyte]

Hallo,

würde hier eigentlich safe-mode=on
und open_basedir was bringen können ???

Denke doch schon ...

Gruß
Marco

[adjustman]

würde hier eigentlich safe-mode=on
und open_basedir was bringen können ???

ja, sicher. Wär auf jeden Fall empfehlenswert.
ABER - Mambo und Joomla. ;) Muss ich noch mehr sagen?

[daemotron]

ABER - Mambo und Joomla. Muss ich noch mehr sagen?

Schade, dabei gibt's doch soooo schöne CMSe, die nicht ganz so verwundbar sind... Plone, Typo3, OpenCMS... ist offenbar aber vielen zu viel Mühe, sich mit der (zugegebenermaßen nicht ganz trivialen) Konfiguration auseinanderzusetzen. :evil:

Na ja, open_basedir würde schon mal was bringen. Und grade für Mambo/Joomla gibt's nette Rulesets für mod_security.

[thorsten]

Wo der NAme schonmal gefallen ist, möchte ich auch eine Lanze für Plone brechen.
Das CMS ist aus Anwendersicht wirklich traumhaft einfach zu bedienen. Und auch die Installation ist nicht so wahnsinnig schwer. Eine Standardinstallation Plone/Zope unter debian/sarge ist in weniger als einer Stunde getan.
Wer tiefer in die Materie einsteigen will, sollte sich meiner Meinung nach aber en kompetentes Buch unters Kopfkissen legen :lol:

[daemotron]

Joa, bei den anderen beiden ist's auch nicht aufwändiger... Typo3 klappt in ein paar Minuten, und OpenCMS braucht auch nicht viel länger - vorausgesetzt, Tomcat und mod_jk funktionieren schon

[pea]

Bei mir wurde vor einiger Zeit per Joomla / Mambo das verfluchte REGISTER_GLOBALS=ON zum Scheunentor! Auch hier wurde vom tmp-Verzeichnis aus 'ne Menge Mist gemacht ...
Das Löschen der unliebsamen Dateien und das Ausschalten von REGISTER_GLOBALS (kann ja wenn unbedingt nötig bspw. via .htaccess für bestimmte Webs wieder aktiviert werden -> aber bitte nicht für ältere Jommla-Versionen) funktionierte sofort.

[flo]

(kann ja wenn unbedingt nötig bspw. via .htaccess für bestimmte Webs wieder aktiviert werden

IMHO gehören solche kritischen Sachen - ebenso wie rewrites und ähnliches nicht in die .htaccess.

flo.

[adjustman]

Bei mir wurde vor einiger Zeit per Joomla / Mambo das verfluchte REGISTER_GLOBALS=ON zum Scheunentor! Auch hier wurde vom tmp-Verzeichnis aus 'ne Menge Mist gemacht ...

DAS ging ja noch weiter ;)
Der gleiche Kram lag dann unter ../images in einem Account.
Ich sag nur - Finger weg von Mambo/Joomla