Analyse eines erfolgreichen Angriffs

[lord_pinhead]

@Darkman
Less nochmal ganz genau das wort in "" ;)

@Dante
Schön und gut, aber Darkmans Vorschlag wäre die einzige sichere Alternative. Im grunde genommen ist das relativ einfach wenn man den Webmin auf eine Interne IP legt die nur vom VPN aus erreicht werden kann. IPSec dürfte sich da anbieten, oder minimum OpenVPN. Dann brauchst du keine IPTables Regeln, die bei einem Exploitveruch sowisso nichts nutzen.

Schau nurmal auf http://milw0rn.org oder http://packetstorm.security-guide.de unter Shellcodes wieviel Versionen es von iptables -F gibt. Wer sagt mir das ein Webserver nicht auf Port 25 laufen kann und der Angreifer nicht http://evilserver.gov:25/mein_exploit.php eintippt? Installier dir mal Mod_Security und beobachte mal was für anfragen kommen, der Trick ist nicht selten. Port 25 ist zu 99,9999999% offen und ungeregelt, wie lange dauert es wohl bis der Angreifer eine Verbindung zu einem Backdoor hat und deine Regeln modifiziert? In meiner Ausbildungsfirma war das auch schonmal der Fall und mein Ausbilder war richtig schlecht gelaunt deswegen ;)

[darkman]

@Darkman
Less nochmal ganz genau das wort in "" ;)

Holy shit... ;-) Ja dann aeh.. ich enthalte mich ;)

zu Dante: es geht nicht darum, das der Host nicht auf dem Server liegt,
sondern darum, das Dein Server z.B. DNS Anfragen rausjagt nach dem Host,
also waer das schonmal eine Moeglichkeit den Host zu finden.
Dynamische "Sicherheit" ist, wie bereits geschrieben, immer ein Risiko.
Ein DYNDNS Service ist i.d.R. schlecht geschuetzt was Uebertragung von
Passwoertern etc. angeht. Und bei einem Konzept ist immer das schwaechste
Glied die Bemessungsgrenze fuer Deine Sicherheit.

Gruss,
Darkman

[Anonymous]

Inwiefern? Webmin muss laufen damit der Exploit funktioniert und wenn du den Zugriff mit einem Paketfilter blockierst, kannst du Webmin auch gleich beenden...

Eben! IMO ist webmin nur als Konfigurationshilfe für den root geeignet, nicht als Administrationssystem, auf das viele Webspace-Nutzer zurückgreifen können. Wenn webmin aber nur durch einen User genutzt wird, dann solte der bei Beginn der Benutzung webmin über SSH starten und nach Benutzung wieder stoppen. Außerdem ist es sinnvoll, webmin auf einen anderen Port als 10000 zu legen. Damit lässt sich die Sicherheit deutlich erhöhen, was aber keinen absoluten Schutz bedeutet. (Deshalb ist dieser Beitrag nur eine Ergänzung der hier diskutierten Sicherheitskonzepte.)

Grüßle

Joeby

[chrisw]

Wie sicher ist die Lösung, dass Webmin zwar permanent läuft, aber nur von einer einzigen festen IP (per Iptables-"Firewall") erreichbar ist ?

Besteht da die Möglichkeit eines Einbruchs ?

[captaincrunch]

Besteht da die Möglichkeit eines Einbruchs ?

Sobald irgendein Dienst irgendwie erreichbar ist, besteht dieses Risiko. In dem von dir geschilderten Fall fallen mir spontan mindestens zwei Angriffsvektoren ein, nicht zuletzt der Rechner mit der festen IP selbst.

[chrisw]

Naja es handelt sich um die externe IP der Systemadministration, und ich glaub nicht, dass die ihren eigenen Server hacken wollen.

Kannst du deine Gedankengänge ein bißchen ausführen ?

[captaincrunch]

Naja es handelt sich um die externe IP der Systemadministration, und ich glaub nicht, dass die ihren eigenen Server hacken wollen.

Sicherheit ist nur so gut wie das schwächste Glied in der Kette. Ist die Kiste mindestens genau so gut geschützt wie der Server? Wer sagt denn, dass dort nicht ein erfolgreicher Angriff stattfinden könnte? Denkbar wäre z.B. ein Keylogger, der auf der Kiste installiert ist.

Grundsätzlich denkbar bleibt aber auch ein Angriff direkt auf den Server via Netzwerk. Kannst du IP-Spoofing ausschließen?

[chrisw]

edit

[franki]

Ich benutze auch Webmin um z.B. vor Ort am Arbeitsplatz eines neuen Kollegen für den gleich die Mailadresse und die Serverfreigaben einrichten zu können. Klar könnte da im Prinzip ein keylogger installiert sein, aber wenn es nur von meinem AP aus ginge wäre das sehr umständlich.

Gruß von Franki.

[foxviper]

:idea:

Sooo... ich habe die Schwachstelle tatsächlich gefunden. Und im Gegensatz zu anders lautenden Meinungen - ein Paketfilter hätte den Einbruch in diesem Fall wohl verhindern können.

Es handelt sich um einen Webmin-Exploit, und zwar den hier:
http://www.egocrew.de/board/thread.php?threadid=13251

Die Jungs haben sich damit einfach passwd und shadow heruntergeladen. Dann warscheinlich eines der Passwörter geknackt, eingeloggt und anschließend Root-Exploit.

So viel dazu. :evil:

moin,

da habe ich jetzt mal eine dau-frage, wie kommt dann dieses script zur ausführung, muss das nicht erst auf mein server sein? damit es laufen kann ?

[mccab99]

Das Script war doch auf seinem Server. Da war Webmin installiert. Das hat der Angreifende mit falschen Eingabedaten (z.B. via URL) gefüttert, worauf Webmin die angefragten Dateien ausgeliefert hat.

Gruß,

Maik