Hä? Wie geht denn das?

[cybton]

Hallo,

hab heute auf nen Server entdeckt, dass sich ein normaler User (Confixx ohne SSH) einen Psybnc + Shoutcast compiliert und gestartet hat.

Meine Frage? Hää? Wie geht denn das?

Weiß das wer? Wie kann ich mich dagegen schützen? Gibts eine Art Alarm, der mir anzeigt, wenn ein neuer Port aufgeht?

[boozedǃ]

Vielleicht mit system() oder exec() per PHP?

[captaincrunch]

Und? Sofern der User sowohl auf die Verzeichnisse, in denen die Binaries später liegen, als auch auf den Port (also alle >1024) freien Zugriff hat, kannst du da herzlich wenig gegen machen.

Wobei wir allerdings wieder bei dem Punkt wären, dass ein Compiler auf einem Webserver nichts zu suchen hat ...

[cybton]

Vielleicht mit system() oder exec() per PHP?

Nein, safe_mode ist auf on, also da kommt er nicht durch. Aber vielleicht mit CGI/Perl?

Aber normalerweise kann man ja ohne root-Rechte keinen Port aufmachen, oder?

[captaincrunch]

Hast du meinen Beitrag überhaupt gelesen? Jeder User kann Ports >1024 öffnen.

[daniel bradler]

Wobei wir allerdings wieder bei dem Punkt wären, dass ein Compiler auf einem Webserver nichts zu suchen hat ...

Das bringt kaum ein Plus an Sicherheit. Einerseits ist es in der Regel kein Problem, selbst eine Compiler-Umgebung zu installieren (ausreichend Speicherplatz vorausgesetzt). Andererseits kann man seine Anwendungen problemlos auf einem anderen System kompilieren und die binaries auf den Server übertragen.

Oder übersehe ich da etwas?

Viele Grüße,
Daniel Bradler

[dopefish]

grsec ist ebenfalls empfehlenswert wenn andere leute zugriff auf dein system haben (egal welcher art).

[captaincrunch]

Oder übersehe ich da etwas?

Ja. ;)

Wie bereits in einem anderen Thread gesagt, ist schon ein bisschen mehr nötig, "mal eben" einen Compiler zu installieren.
Zsätzlich darf ich dann auch hier an http://www.counterpane.com/alert-i20020915-001.html erinnern.

[Joe User]

Oder übersehe ich da etwas?

Bis auf mögliche Konflikte mit der libc und dass die Binarys statisch gelinkt sein sollten, nichts nennenwertes ;)

[daniel bradler]

Bis auf mögliche Konflikte mit der libc und dass die Binarys statisch gelinkt sein sollten, nichts nennenwertes ;)

Ggf. verwende ich eine eigene libc. Ich sehe hier hier noch immer keine wirklichen Probleme (also Probleme, die mit etwas Aufwand umgangen werden könnten). Man muss es einem Angreifer nicht leichter machen, als unbedingt nötig. Daher ist es durchaus sinnvoll, wenn der Compiler nicht zugänglich ist. Man sollte sich aber klar sein, daß es keine echte Sicherheit bringt. Ein fehlender Compiler hätte hier vermutlich nicht verhindert, daß ein Serverdienst gestartet wird.

Viele Grüße,
Daniel Bradler

[Joe User]

Ggf. verwende ich eine eigene libc.

Sofern das Binary die libc zur Laufzeit nicht benötigt ;)

Man muss es einem Angreifer nicht leichter machen, als unbedingt nötig.

ACK. Man kann auch schon im Vorfeld etwas tun: ftp://twocents.mooo.com/pub/hcc/propolice.txt

Daher ist es durchaus sinnvoll, wenn der Compiler nicht zugänglich ist.

ACK.

[cybton]

Ok, danke habe ich nun verstanden. Kann man es nicht vom System aus sperren, dass man keine Ports aufmachen kann?
Gibts für CGI auch eine Art safe_mode oder open_basedir?

Was mich noch interessieren würde: Gibt es eine Möglichkeit sich ein Skript zu schreiben, sollte ein Port aufgemacht werden, dass man irgendwie (per Mail,...) benachrichtigt wird?

[oxygen]

Code: Select all

netstat -pletu | grep web

Das in den Cron und du hast Post sobald ein webX User einen Port aufmacht.

[cybton]

Kann ich es auch die komplette Ausgabe (es sind mehrere User am Server) der Liste auch an eine Mailadresse senden lassen?

[oxygen]

Genau das passiert. Sobald ein User einen Port aufmacht erzeugt der Befehl eine Ausgabe die cron wiederum per eMail versendet.

[floschi]

suexec für CGI?

[cybton]

@øxygen: Ja, aber an wen? Ich würde gerne an eine externe Mail Adresse senden.

@olfi: Ja, das ist natürlich drinnen. Ich weiß ja, welcher User welches Skript laufen lässt, aber ich möchte, für alle User die oberen Ports sperren. Es muss keiner den Port aufmachen bzw. es soll keiner dürfen.

[fritz]

Ich würde gerne an eine externe Mail Adresse senden.

Code: Select all

user$ echo "IhrUsername,name@wohin.de" > ~/.forward

oder ausführlicher: http://www.linux-user.de/ausgabe/2000/1 ... 00-11.html
Gruss Fritz