Page 1 of 1
Hä? Wie geht denn das?
Posted: 2003-12-30 15:21
by cybton
Hallo,
hab heute auf nen Server entdeckt, dass sich ein normaler User (Confixx ohne SSH) einen Psybnc + Shoutcast compiliert und gestartet hat.
Meine Frage? Hää? Wie geht denn das?
Weiß das wer? Wie kann ich mich dagegen schützen? Gibts eine Art Alarm, der mir anzeigt, wenn ein neuer Port aufgeht?
Re: Hä? Wie geht denn das?
Posted: 2003-12-30 15:29
by boozedǃ
Vielleicht mit system() oder exec() per PHP?
Re: Hä? Wie geht denn das?
Posted: 2003-12-30 18:00
by captaincrunch
Und? Sofern der User sowohl auf die Verzeichnisse, in denen die Binaries später liegen, als auch auf den Port (also alle >1024) freien Zugriff hat, kannst du da herzlich wenig gegen machen.
Wobei wir allerdings wieder bei dem Punkt wären, dass ein Compiler auf einem Webserver nichts zu suchen hat ...
Re: Hä? Wie geht denn das?
Posted: 2004-01-01 18:36
by cybton
boozed! wrote:Vielleicht mit system() oder exec() per PHP?
Nein, safe_mode ist auf on, also da kommt er nicht durch. Aber vielleicht mit CGI/Perl?
Aber normalerweise kann man ja ohne root-Rechte keinen Port aufmachen, oder?
Re: Hä? Wie geht denn das?
Posted: 2004-01-01 18:51
by captaincrunch
Hast du meinen Beitrag überhaupt gelesen? Jeder User kann Ports >1024 öffnen.
Re: Hä? Wie geht denn das?
Posted: 2004-01-02 14:42
by daniel bradler
CaptainCrunch wrote:Wobei wir allerdings wieder bei dem Punkt wären, dass ein Compiler auf einem Webserver nichts zu suchen hat ...
Das bringt kaum ein Plus an Sicherheit. Einerseits ist es in der Regel kein Problem, selbst eine Compiler-Umgebung zu installieren (ausreichend Speicherplatz vorausgesetzt). Andererseits kann man seine Anwendungen problemlos auf einem anderen System kompilieren und die binaries auf den Server übertragen.
Oder übersehe ich da etwas?
Viele Grüße,
Daniel Bradler
Re: Hä? Wie geht denn das?
Posted: 2004-01-02 15:40
by dopefish
grsec ist ebenfalls empfehlenswert wenn andere leute zugriff auf dein system haben (egal welcher art).
Re: Hä? Wie geht denn das?
Posted: 2004-01-02 16:06
by captaincrunch
Oder übersehe ich da etwas?
Ja. ;)
Wie bereits in einem anderen Thread gesagt, ist schon ein bisschen mehr nötig, "mal eben" einen Compiler zu installieren.
Zsätzlich darf ich dann auch hier an
http://www.counterpane.com/alert-i20020915-001.html erinnern.
Re: Hä? Wie geht denn das?
Posted: 2004-01-02 16:17
by Joe User
Daniel Bradler wrote:Oder übersehe ich da etwas?
Bis auf mögliche Konflikte mit der libc und dass die Binarys statisch gelinkt sein sollten, nichts nennenwertes ;)
Re: Hä? Wie geht denn das?
Posted: 2004-01-02 16:25
by daniel bradler
Joe User wrote:Bis auf mögliche Konflikte mit der libc und dass die Binarys statisch gelinkt sein sollten, nichts nennenwertes ;)
Ggf. verwende ich eine eigene libc. Ich sehe hier hier noch immer keine wirklichen Probleme (also Probleme, die mit etwas Aufwand umgangen werden könnten). Man muss es einem Angreifer nicht leichter machen, als unbedingt nötig. Daher ist es durchaus sinnvoll, wenn der Compiler nicht zugänglich ist. Man sollte sich aber klar sein, daß es keine echte Sicherheit bringt. Ein fehlender Compiler hätte hier vermutlich nicht verhindert, daß ein Serverdienst gestartet wird.
Viele Grüße,
Daniel Bradler
Re: Hä? Wie geht denn das?
Posted: 2004-01-02 16:50
by Joe User
Daniel Bradler wrote:Ggf. verwende ich eine eigene libc.
Sofern das Binary die libc zur Laufzeit nicht benötigt ;)
Daniel Bradler wrote:Man muss es einem Angreifer nicht leichter machen, als unbedingt nötig.
ACK. Man kann auch schon im Vorfeld etwas tun:
ftp://twocents.mooo.com/pub/hcc/propolice.txt
Daniel Bradler wrote:Daher ist es durchaus sinnvoll, wenn der Compiler nicht zugänglich ist.
ACK.
Re: Hä? Wie geht denn das?
Posted: 2004-01-03 14:50
by cybton
Ok, danke habe ich nun verstanden. Kann man es nicht vom System aus sperren, dass man keine Ports aufmachen kann?
Gibts für CGI auch eine Art safe_mode oder open_basedir?
Was mich noch interessieren würde: Gibt es eine Möglichkeit sich ein Skript zu schreiben, sollte ein Port aufgemacht werden, dass man irgendwie (per Mail,...) benachrichtigt wird?
Re: Hä? Wie geht denn das?
Posted: 2004-01-03 15:42
by oxygen
Das in den Cron und du hast Post sobald ein webX User einen Port aufmacht.
Re: Hä? Wie geht denn das?
Posted: 2004-01-03 16:24
by cybton
Kann ich es auch die komplette Ausgabe (es sind mehrere User am Server) der Liste auch an eine Mailadresse senden lassen?
Re: Hä? Wie geht denn das?
Posted: 2004-01-03 16:45
by oxygen
Genau das passiert. Sobald ein User einen Port aufmacht erzeugt der Befehl eine Ausgabe die cron wiederum per eMail versendet.
Re: Hä? Wie geht denn das?
Posted: 2004-01-03 16:51
by floschi
suexec für CGI?
Re: Hä? Wie geht denn das?
Posted: 2004-01-03 16:58
by cybton
@øxygen: Ja, aber an wen? Ich würde gerne an eine externe Mail Adresse senden.
@olfi: Ja, das ist natürlich drinnen. Ich weiß ja, welcher User welches Skript laufen lässt, aber ich möchte, für alle User die oberen Ports sperren. Es muss keiner den Port aufmachen bzw. es soll keiner dürfen.
Re: Hä? Wie geht denn das?
Posted: 2004-01-04 09:52
by fritz
Ich würde gerne an eine externe Mail Adresse senden.
Code: Select all
user$ echo "IhrUsername,name@wohin.de" > ~/.forward
oder ausführlicher:
http://www.linux-user.de/ausgabe/2000/1 ... 00-11.html
Gruss Fritz