neue backdoor oder kernel-bug ?

[Anonymous]

hallo leute.
seit einiger zeit (kann sein dass es seit dem letzten update auf 2.4.26 ist, trat nicht sofort auf) fallen mir immer wieder ausgehende pakete auf, die im paketfilter hängen bleiben. die konfiguration des paketfilters und die art der pakete sagen mir : es ist kein paket, das noch zu einer geöffneten verbindung gehören kann :

___LOG_OUTPUT____IN= OUT=eth0 SRC=W.X.Y.Z DST=A.B.C.D LEN=40 TOS=0x00 PREC=0x00 TTL=64 ID=17487 DF PROTO=TCP SPT=20441 DPT=61523 WINDOW=17520 RES=0x00 ACK RST URGP=0

weitere nachforschungen haben ergeben : es sind AKC RST pakete zu verbindungen die schon lange getrennt wurden.
manchmal bleibt eines in der woche hängen, jetzt hatte ich eine gruppe von etwa 20 im log, von der selben ip, mit unterschiedlich (und ausschliesslich HOHEN) ports.

irgendwelche ideen ?

na dann mal danke im voraus, und möge die sicherheit mit euch sein :)
steady

[captaincrunch]

Seit 2.4.26 sind bereits wieder ein paar neue Lücken aufgetaucht. Exploits für diese Lücken habe ich bislang aber nicht gesehen (was aber nicht viel heißen muss).

Ob jemand eine dieser Lücken bei dir ausgenutzt haben könnte, lässt sich anhand dieses zensierten Logauszugs nicht sagen...was bereits bei der Frage beginnt, welche der IP's (Source oder Destination) die deiner Kiste ist.

[Anonymous]

Seit 2.4.26 sind bereits wieder ein paar neue Lücken aufgetaucht. Exploits für diese Lücken habe ich bislang aber nicht gesehen (was aber nicht viel heißen muss).

Ob jemand eine dieser Lücken bei dir ausgenutzt haben könnte, lässt sich anhand dieses zensierten Logauszugs nicht sagen...was bereits bei der Frage beginnt, welche der IP's (Source oder Destination) die deiner Kiste ist.

die erste ist die meiner kiste W.X.Y.Z
steady

[outofbound]

hi, bei solchen Posts stelle ich mir immer die Frage:

"Wie unsicher ist dein System, dass du dich nichtmal traust deine IP rauszugeben?"

Gruss,

Out

[Anonymous]

hi, bei solchen Posts stelle ich mir immer die Frage:

"Wie unsicher ist dein System, dass du dich nichtmal traust deine IP rauszugeben?"

Gruss,

Out

bei solchen antworten frage ich mich immer : "was würde die ip nützen" ?
ausserdem müsste ich dann die remote-ip auch rausgeben, und das muss dann icht sein ;)

[outofbound]

Ich Frage mich eben anders rum:

Was bringt es dir, wenn du die IPs verschleierst, ausser
das du die Logfiles evtl. nutzlos machst?

Bei einem sicheren System, dass ins INet angebunden ist,
dürfte das ja kein Problem sein?

Wenn dein System unsicher ist bringt es auch nichts die IP
zu verschleiern, Angriffe gehen heutzutage über eh
Segmentübergreifend.

Hast du es dir mit jemandem verscherzt und willst nicht
zum "Opfer" seiner Rache werden?

Sind die Daten so wichtig, dass du es dir nicht leisten
kannst die IP rauszugeben. (Sensitive Daten?)
Dann a) Was haben die auf nem "öffentlichen" Rechner zu suchen?
und b) Dann würde ich einen Profi mit der Sicherheit beauftragen

(Und ganz bestimmt dir nicht antworten, weil mir das Risiko
zu gross wäre, wenns dann schief geht)

Und zu guter letzt wie immer die Standardsätze:

Wenn du Hilfe willst, enthalte uns nicht nötige Informationen vor.
A system is only as strong as it's weakest link. (Wenn das Geheimnis der IP ein link ist: Gute Nacht).

Security by Obscurity funktioniert nicht.

Gruss,

Out

PS: Läuft dein VDR inzwischen?

[edit]Ochmist, meinen 400. Post hätt ich lieber für was anderes genutzt[/edit] ;)

[Anonymous]

Ich Frage mich eben anders rum:

PS: Läuft dein VDR inzwischen?

[edit]Ochmist, meinen 400. Post hätt ich lieber für was anderes genutzt[/edit] ;)

hihi... nee de vdr ist erst im entstehen. es ist nicht ganz einfach, die ultimative hardware fürs wohnzimmer zu finden :)
steady

[captaincrunch]

Wie kommst du eigentlich darauf, dass es sich hierbei um normalerweise längt ausgelaufene Sessions handelt?

[Anonymous]

Wie kommst du eigentlich darauf, dass es sich hierbei um normalerweise längt ausgelaufene Sessions handelt?

weil ich das passende fin-ack paket zu der tcp-verbindung schon minuten vorher gesehen hatte. ich habe momentan einen entsprechenden tcpdump am laufen, und tippe auf einen bug im kernel. wir werdens wissen, wenn ich das ganze das nächste mal sehe, dann hab ich traces zum vergleich.
steady

[rocko]

Heute soll wieder ein neuer Root-Exploit gefunden worden sein, der den Server abstürzen lassen kann.

Kernel updates gibts noch nicht, morgen wissen wir garantiert mehr ;)

[sascha]

Jepp. Ist aber kein Root Exploit und er wurde auch nicht heute gefunden ;)

http://www.k-otik.com/exploits/06142004 ... rash.c.php

[rocko]

Hehe, weil du auch schon am 15.06. gepostet hattest ;)
Hier gibts noch mehr Infos:
http://www.heise.de/newsticker/meldung/48236

[sascha]

Nee das meinte ich nicht... der Bug wurde wohl zuerst am 9.6. im Bugzilla von gcc gemeldet.