Hallo
ich weiß nicht wie es dazu kommen konnte, jedenfalls befand sich ein fremder Public Key in der Datei authorized_keys im Ordner des Teamspeak Benutzer's, über den ich Teamspeak laufen lies. So konnte sich ein Angreifer in mein System einloggen und ein paar Dinge tun.
Jetzt meine Frage: Wie konnte dies passieren?
Es lief ein FTP Server mit vsftpd. Anonymer Login war aktiviert, dieser jedoch konnte nur auf das Standardverzeichnis zugreifen und konnte dort keine Dateien schrieben, nur lesen. Root-Login war bei SSH erlaubt, der Root-User hatte 25 Zeichen. Ein anderer Benutzer hatte keine Schreibrechte in diesem Verzeichnis.
LG Chris
Fremder Public Key in /home/teamspeak/.ssh/authorized_keys
-
Roger Wilco
- Posts: 5923
- Joined: 2004-05-23 12:53
Re: Fremder Public Key in /home/teamspeak/.ssh/authorized_ke
Welche Dienste laufen im Kontext des Benutzers "teamspeak" auf deinem System?
Es ist anzunehmen, dass der Einbruch über einen dieser Dienste erfolgt.
Es ist anzunehmen, dass der Einbruch über einen dieser Dienste erfolgt.
Re: Fremder Public Key in /home/teamspeak/.ssh/authorized_ke
Es lief nur der Teamspeak3-Server.
LG Chris
LG Chris
-
Roger Wilco
- Posts: 5923
- Joined: 2004-05-23 12:53
Re: Fremder Public Key in /home/teamspeak/.ssh/authorized_ke
Dann solltest du jetzt recherchieren, ob für die Version, die du einsetzt, bekannte Sicherheitslücken bekannt sind.
Außerdem solltest du folgendes lesen: http://www.rootforum.org/wiki/Server_gehackt
Außerdem solltest du folgendes lesen: http://www.rootforum.org/wiki/Server_gehackt