Programmversion durch Portscan ermittelt.sicherheitsproblem?

[hellc@t]

Tach rootforumgemeinde.
Ich habe mal mit SuperScan 2.06 einen meiner Debian-Server gescannt.
Nun habe ich folgendes Ergebniss:

http://www.otw-clan.de/Portscanner.jpg


Ich kann also die verschiedenen Dienste sehen, welche auf dem Server installiert sind. Mein Gedanke ist der, das wenn ich sehe welche DSienste laufen ( welcher FTP-Server genau ) dann ist es doch um ein vielfaches einfacher herauszubekommen ob dieser oder jener Dienst missbraucht werden kann um den Server zu hacken.

Was sagt ihr dazu? Stellt das wirklich ein Problem da? Wenn ja wie kann ich abhilfe schaffen?

mfg

[nyxus]

Hältst Du Dein System immer aktuell? Dann sollte es kein großes Problem sein, denn der Angreifer wird anhand dieser Information herausfinden, daß es keine bekannten Lücken gibt. Wenn Du Dein System nicht aktuell hältst hätte es ein Angreifer zwar leichter, aber vermutlich würde Dein Server auch ohne diese Ausgaben irgendwann geknackt werden.

Bei den meisten Programmen kann man die Versionsanzeige ausschalten. gibt wohl etliche Beiträge dazu hier und auf den Dokuseiten der Hersteller. Habe ich bei meinen Diensten auch gemacht wo es geht. Aber eher nicht, weil ich mich dadurch wirklich sicherer fühle, sondern einfach, weil ein Benutzer meines Systems diese Info nicht benötigt. Und was nicht benötigt wird kommt weg (wieso muß ich jetzt bloß an den Thread "ich /root ich single" denken ...). Ein weiterer Grund ist, daß Verwundbarkeits-Scanner nicht aufgrund dieser Angabe eine Aussage treffen ob ein Dienst verwundbar ist oder nicht, denn das funktioniert ja gerade bei Debian nicht richtig.

[jtb]

guck mal in die FAQ. Da ist es für ein paar Programme beschrieben, wie die Versionsanzeige auszuschalten ist..

[floschi]

Die Versionsanzeige ist so ziemlich das unsinnigste, was "Cracker"-Kiddies brauchen - das wissen IMHO sogar schon diese Pickelgesichter, dass sie der nicht vertrauen dürfen.

Imho machen sich die auch nicht die Arbeit und suchen gezielt nach EINEM Server, sondern setzen ihren doch so tollen Exploit auf ganze Ranges einfach mal an, irgendwo wird's schon klappen.

Also öfters mal (am besten nachdem ne Nachricht über die Debian-Maillist kam) apt-get update && apt-get upgrade machen und gut ists ;)

[captaincrunch]

Wie olfi schon sagte, interessiert die Version der eingesetzten Software eh nur die pickligen Scriptkidz, die hinter ihrem Windows-Rechner sitzen, und nichts anderes können, als sich "k3w1e h4X0r-t00lZ" runterzuladen, und die wahllos auf bestimmte IP-Ranges laufen zu lassen.

Und noch mal wieder : warum habt ihr alle solche Panik vor Portscans, Bannergrabbing und Windows-Würmern ???
Nehmt's doch lieber als Anlass, eure Kiste so sicher wie euch möglich zu machen, und diese "Sicherheit" (am besten täglich) zu testen, womöglich sogar mit externer Hilfe. Die richtig "guten" Jungs haltet ihr sowieso nicht ab, die interessieren sich aber auch nicht für euren kleinen Rootie ...

[hellc@t]

also ich denke das meine Kiste schon sicher ist ^^

mir ist das nur aufgefallen und da wollte ich das Thema mal anschneiden.

mfg

[goge]

Die richtig "guten" Jungs haltet ihr sowieso nicht ab, die interessieren sich aber auch nicht für euren kleinen Rootie ...

Wieso nicht? Ich dachte gerade so ein kleiner Rootie ist doch eine schöne Basis für die weitere "Arbeit".

[captaincrunch]

Wieso nicht? Ich dachte gerade so ein kleiner Rootie ist doch eine schöne Basis für die weitere "Arbeit".

Diejenigen, die fähig sind, einen relativ gut gesicherten Rootie zu knacken sind eher an ganz anderen Kisten interessiert ... vor allem deshlab, weil sie keine Warez-Archive brauchen ...

[goge]

Diejenigen, die fähig sind, einen relativ gut gesicherten Rootie zu knacken sind eher an ganz anderen Kisten interessiert ... vor allem deshlab, weil sie keine Warez-Archive brauchen ...

Ja, dabei gehen diese Leute aber regelmässig über x verschiedene Server, u. a. um die Spuren ein wenig zu verwischen. Gut, dabei kann man davon ausgehen, dass diese Leute nicht viel kaputtmachen, wenn man von den installierten rootkits absieht. Manchmal dichten sie das System nach dem Einbruch ja noch vollkommen ab, um keinen anderen reinzulassen, was ja dann sogar ein Vorteil wäre. 8)

Im Grunde hast Du also doch Recht, das diese Leute kein grosses Interesse an den Rooties haben. Lediglich ein "peripheres" :)

Ein anderes Thema ist dann vielleicht noch die Nutzung eines Rootie fuer eine verteilte DOS Atacke.

[dea]

Da wär' ich mir an Deiner Stelle nicht so sicher.

[captaincrunch]

@dea : Wen meinst du jetzt ? ;)

[dea]

Wen wohl? Dich. ;)

[captaincrunch]

Natürlich kann ich mir da nicht 100%ig sein, aber unterhalte dich mal mit gewissen Leuten, die auch ein bisschen mehr drauf haben, als ein Windoof-h4X0r-Tool zu bedienen, oder einen fertigen Exploit zu nutzen. 99% derjenigen halten Rooties für ziemlichen Kleinkram ...

[rootmaster]

besonders beliebt sind zur zeit windows-kisten im asiatischen raum 8)

generell kann aber jeder rechner im internet für kriminelle machenschaften missbraucht werden, übrigens auch solche mit dynamischer ip ;)

"back to the roots"

[dea]

Ich will nur eindrücklich darauf hinweisen, dass die Auffassung "mein Server ist ja uninteresant" vollkommen falsch ist.

Allein zum Verwischen von Spuren taugt so ein Ding immer oder auch, um als Zombie bei einem DDoS mitzumachen :(

Sei es nur als Hop, man bekommt also garnichts (offensichtliches) mit - wenn die Kripo unvermittelt vor der Türe steht hilft es einem nicht weiter, "mein Server ist ja uninteressant" gesagt zu haben. Haltet Euch das vor Augen!

[EDIT]

Ach so - eins noch:

aber unterhalte dich mal mit gewissen Leuten, die auch ein bisschen mehr drauf haben, als ein Windoof-h4X0r-Tool zu bedienen, oder einen fertigen Exploit zu nutzen. 99% derjenigen halten Rooties für ziemlichen Kleinkram ...

Ich kenne solche "gewisse Leute" leider nicht, sonst würde ich mich sehr gerne sehr lange mit ihnen unterhalten.
Du hast in der Vergangenheit schon öfter solche Aussagen getroffen, mich (und wahrscheinlich auch andere) würde sehr freuen, wenn Du mal Tacheles reden könntest, anstatt nur FUD zu verbreiten :(

Warum sollte ein UNIX/Linux-Server "ziemlicher Kleinkram" sein? Worauf bezieht sich diese Aussage? Welche Schwachstellen sind hier nicht bekannt oder im Allgemeinen (anscheinend) offen?

Welche Alternativen (Betriebssysteme/Anwendungen/Maßnahmen) gibt es?

Kann mir einer mal erklären, warum dieses JavaScript nicht erkennt, wenn man einen Tag manuell geschlossen hat? ... ;)

Und Back2Topic: Die Diskussion über die Versionskennungen der Dienste ist recht alt, die Argumente dafür und dagegen auch. ;)

Einige amüsieren sich, wenn sie in ihren Logs Angriffe auf ihre vermeintlich alten Verisonen erkennen oder manipulieren die Versionskennung sogar basichtlich (siehe auch: "Honeypots"). Andere argumentieren, dass die Versionskennung von mancher Anwendung verwendet wird und durch "falsche" Angaben solche Anwendungen beeinträchtigt werden könn(t)en.

Debian-User halten dagegen, dass deren Versionsnummern ja eh' nie "stimmen" - ich benutze Debian ;)
[/EDIT]

[mutombo]

ich denke mal CaptainCrunch will ganz einfach damit sagen das die jungs die wirklich was drauf haben garkein interesse an einem rootie haben, weil es für sie keine herausforderung darstellen würde.
So rootserver sind doch wirklich nur für cracker und scriptkiddies gut die damit illegalen kram machen wollen. Ich glaube nicht das jemand der soviel erfahrung mit sicherheitslöchern und programmierung hat noch interesse an solchen kindereien hat. Sollten solche leute wirklich ihre Fähigkeiten noch zu kriminellen machenschaften verwenden, dann gbits da bestimmt lukrativere ziele.

und wegen DDos zombie, mach mal nen ping oder udpflood von deinem rootie aus, wirst sehen wie schnell der wech ist. die meisten rootprovider passen da auf wie bluthunde, da sind die ungesicherten flatrates hier in deutschland viel interessanter.

[captaincrunch]

Genau das : die Leute, die ich bisher kennengelernt habe, die wirklich etwas auf dem Kasten haben, empfinden das cracken eines Rooties (fast wörtlich) als Kinderkram. Ihnen geht's viel mehr darum, neue Lücken zu entdecken, diese bestenfalls noch zu schlieesen, und eben nicht, bereits vorhandene auszunutzen. Denen fehlt dabei einfach die Herausforderung.

Diejenigen, die Kohle durch Hacking machen, sind desweiteren ohnehin schon in der freien Wirtschaft, haben ganz andere Ziele, oder sind beim BND ... ;)

Zum Thema (D)DOS) : Genau in dem Punkt bist du wieder bei den Scriptkids. Sofern die "guten" Jungs mal einen DOS einsetzen, haben sie in der Regel ganz andere Möglichkeiten, den zu nutzen.

[dea]

ich denke mal CaptainCrunch will ganz einfach damit sagen das die jungs die wirklich was drauf haben garkein interesse an einem rootie haben, weil es für sie keine herausforderung darstellen würde.

Denkst Du aber der Captain ... ?

So rootserver sind doch wirklich nur für cracker und scriptkiddies gut die damit illegalen kram machen wollen. Ich glaube nicht das jemand der soviel erfahrung mit sicherheitslöchern und programmierung hat noch interesse an solchen kindereien hat. Sollten solche leute wirklich ihre Fähigkeiten noch zu kriminellen machenschaften verwenden, dann gbits da bestimmt lukrativere ziele.

Wenn Du das meinst... Vielleicht habe ich ja zu viel kriminelle Energie, aber ich kann mir sehr gut vorstellen, das und wie ein "uninteressanter Rootserver" durchaus sehr interessant für böswillige Nutzer des Internets/Webs sein kann.

und wegen DDos zombie, mach mal nen ping oder udpflood von deinem rootie aus, wirst sehen wie schnell der wech ist. die meisten rootprovider passen da auf wie bluthunde, da sind die ungesicherten flatrates hier in deutschland viel interessanter.

Ich habe kein Bedürfnis nach solchen "Spielereien". Sicherlich hast Du recht, wenn Du sagst, dass die ungesicherten Flatrates eine wesentlich größere, besser umfangreichere Gefahr darstellen. Was die ISPs da so (eben nicht) treiben grenzt imho schon an Mutwilligkeit :evil: Naja, aber AOL wird uns ja auch sehr bald von allen Spammern befreit haben (rotfl - kaufen die die Spammer auf und verschicken die Spams zukünftig mit einer speziellen Signatur die natürlich nur vom AOL-Ultra-Hyper-Spam-Blocker f. nur 99 â?¬ erkannt wird?)

Allerdings solltest Du Dir darüber im klaren sein, dass es wesentlich subtilere Methoden des DDoS gibt als die von Dir angesprochenen. Und eben diese wesentlich subtileren und als Zombie nicht erkennbaren Methoden werden seit geraumer Zeit auch von Skriptkiddies eingesetzt - die passenden GUIs gibt's dafür schon :evil:

[captaincrunch]

Denkst Du aber der Captain ... ?

Siehe meine Antwort ... ;)

Wenn Du das meinst... Vielleicht habe ich ja zu viel kriminelle Energie, aber ich kann mir sehr gut vorstellen, das und wie ein "uninteressanter Rootserver" durchaus sehr interessant für böswillige Nutzer des Internets/Webs sein kann.

Ich rede hier nicht von Typen, die durch kriminelle Energie so viele Rechner wie möglich cracken, sondern von denen, für die es "sprtlicher Ehrgeiz" ist, neue Schwachstellen aufzudecken, und das aus purem Forscherdrang, denn genau das sind die Leute, die wirklich was auf dem Kasten haben.

Allerdings solltest Du Dir darüber im klaren sein, dass es wesentlich subtilere Methoden des DDoS gibt als die von Dir angesprochenen. Und eben diese wesentlich subtileren und als Zombie nicht erkennbaren Methoden werden seit geraumer Zeit auch von Skriptkiddies eingesetzt - die passenden GUIs gibt's dafür schon

Noch mal : es geht mir nicht um Scriptkidz, denn dafür, dass die auf die Kiste kommen, und Schaden anrichten, muss man selbst schon fast fahrlässig gehandelt haben ...

[dea]

Genau das : die Leute, die ich bisher kennengelernt habe, die wirklich etwas auf dem Kasten haben, empfinden das cracken eines Rooties (fast wörtlich) als Kinderkram. Ihnen geht's viel mehr darum, neue Lücken zu entdecken, diese bestenfalls noch zu schlieesen, und eben nicht, bereits vorhandene auszunutzen. Denen fehlt dabei einfach die Herausforderung.

Und daraus implizierst Du dann, dass es reichen würde, Deinen rootie lediglich gegen "Skriptkiddies" abzusichern? Das ist schlimmer als "Security by Obscurity" ...

Vielleicht bin ich zu alt, zu paranoid oder habe zu lange in einer Zeit gelebt in der das Einweckgummi notwendiger Bestandteil der computergestützten Telekommunikation war - ich halte Eure Einstellung zu diesem Thema für extrem gefährlich...

Diejenigen, die Kohle durch Hacking machen, sind desweiteren ohnehin schon in der freien Wirtschaft, haben ganz andere Ziele, oder sind beim BND ... ;)

Zum Thema (D)DOS) : Genau in dem Punkt bist du wieder bei den Scriptkids. Sofern die "guten" Jungs mal einen DOS einsetzen, haben sie in der Regel ganz andere Möglichkeiten, den zu nutzen.

schon klar ...

[dea]

Denkst Du aber der Captain ... ?

Siehe meine Antwort ... ;)

WIr kennen uns doch mittlerweile ... ;)

Ich rede hier nicht von Typen, die durch kriminelle Energie so viele Rechner wie möglich cracken, sondern von denen, für die es "sprtlicher Ehrgeiz" ist, neue Schwachstellen aufzudecken, und das aus purem Forscherdrang, denn genau das sind die Leute, die wirklich was auf dem Kasten haben.

[... snip ...]

Noch mal : es geht mir nicht um Scriptkidz, denn dafür, dass die auf die Kiste kommen, und Schaden anrichten, muss man selbst schon fast fahrlässig gehandelt haben ...

- Ein Angreifer ist ein Angreifer ist ein Angreifer ist ein Angreifer ...

[captaincrunch]

Und daraus implizierst Du dann, dass es reichen würde, Deinen rootie lediglich gegen "Skriptkiddies" abzusichern? Das ist schlimmer als "Security by Obscurity" ...

Genau das, lieber dea habe ich nie behauptet. Meine Kernaussage in dieser Diskussion lautet nur, dass dein kleiner Rootie einem "echten" Hacker ziemlich piepegal ist ... ;)

Vielleicht bin ich zu alt, zu paranoid oder habe zu lange in einer Zeit gelebt in der das Einweckgummi notwendiger Bestandteil der computergestützten Telekommunikation war - ich halte Eure Einstellung zu diesem Thema für extrem gefährlich...

Erzähl du mir nichts über Paranoia ... ;)

[captaincrunch]

Andersrum gefragt : warum glaubst du denn, dass jemand, der mehr kann als Exploits aus nicht vernünftig upgedateten Systemen nutzen kann Interesse an den ganzen schlecht gesicherten Rooties hat ? Ein paar Fälle hast du zwar schon genannt, aber die paar Punkte reichen mir noch nicht ... ;)

[dea]

Mir reicht schon ein einziger Grund, um vorsichtig zu sein - ich brauch nicht mehrere ...

Lass' Deine Phantasie ein wenig spielen. Ich hab' keinen Bock mehr auf diese Diskussion :(

Wenn Du meinst, dass die rooties uninteressant sind - bitte. Ich teile Deine Meinung nicht.

[captaincrunch]

Wenn Du meinst, dass die rooties uninteressant sind - bitte. Ich teile Deine Meinung nicht.

Mo-ment : Rooties an sich sind defintiv nicht uninteressant, wir reden nur jeweils von einer anderen "Zielgruppe".

Natürlich sind sämtliche Scriptkidz heiß drauf, Server mit möglichst viel Bandbreite und Leistung in ihre schmutzigen Griffel zu bekommen, um damit zu DOSsen, Warez-Archive einzurichten, und was weiß ich noch alles ...

Diese Jungs davon abzuhalten ist aber gar nicht mal so schwer, wie viele meinen, da 99% derjenigen nicht mehr drauf haben, als alle möglichen Exploits auszuprobieren, die halt entweder mit viel Glück neu genug sind, oder jemanden zu finden, der so unnachsichtig ist, sämtliche Sicherheitsupdates in den Wind geschlagen zu haben.

Denjenigen, die wirklich etwas auf dem Kasten haben, fehlt da aber der schon vorher angesprochene "sportliche Ehrgeiz", da diese Jungs auch nicht primär an solchen Kindereien (s.o.) interessiert sind, weil sie wie auch schon gesagt Neuland entdecken wollen, was z.B. so aussehen könnte, dass sie deinem Rechner durch gut zusammengebaute Netzwerkpakete Code in den Kernel schleusen.
Schau dir mal die Ergebnisse bestimmter Honeypots an, und du wirst Sachen sehen, die du deinen Lebtag nie für möglich gehalten hättest, oder mindestens nicht in Betracht gezogen hättest.
Um solche Freaks abzuhalten braucht es dann schon ein bisschen mehr, als es der "normale" Rootie-Besitzer kann ...

Also noch mal : ich stimme dir vollkommen zu, dass man mit einem Rootie ständig einer ziemlichen Gefahr ausgesetzt ist, dabei aber den allergrößten Teil ganz simpel durch Security-Updates und gute Konfiguration der Dienste umgehen kann. Die restlichen 1-2% "Restrisiko" lassen sich aber halt nicht so leicht ausräumen, die Wahrscheinlichkeit, dass genau diese Möglichkeiten einer ausnutzt, ist aufgrund der "Zeilgruppe" aber eher gering.

Kannst du damit leben ? ;)