Page 1 of 1
Mailversand über /tmp
Posted: 2006-08-05 18:44
by adjustman
Hallo,
hatte heute einen (fremden
) Server am Wickel, über den per sendmail Emails verschickt wurden.
Hab dann in /tmp ein Script (mit zusätzlichen Dateien - mails.txt, msg.html) entdeckt
Code: Select all
#!/usr/bin/perl
$SUBJ="Periodic Account Renew $id";
$MSG="msg.html";
$USERS="mails.txt";
open(IN,$USERS);
$id=1;
while(chop($line=<IN>)){
open(SM,"|/usr/sbin/sendmail $line");
print(SM "From: Wells Fargo <accounts@$id.wellsfargo.com>n");
print(SM "To: $linen");
print(SM "Subject: $SUBJ - $idn");
print(SM "Message-ID: <".time().".$id.accounts@wellsfargo.com>n");
print("[+] $id - Mensaje enviado : $linen");
print(SM "Content-Type: text/htmln");
open(FILE,$MSG);
while($line=<FILE>){
print(SM $line);
}
close(FILE);
close(SM);
$id++;
}
close(IN);
das diese Mails verschickte.
1. wie kann es da hin kommen?
2. Wie kann es von dort ausgeführt worden sein?
3. Kann man verhindern, dass aus dem /tmp überhaupt was ausgeführt wird?
Danke für die Tipps.
Re: Mailversand über /tmp
Posted: 2006-08-05 18:47
by Roger Wilco
adjustMan wrote:1. wie kann es da hin kommen?
Zum Beispiel über unsichere Skripte, welche die Ausführung von lokalen Kommandos erlauben.
adjustMan wrote:2. Wie kann es von dort ausgeführt worden sein?
Zum Beispiel über unsichere Skripte, welche die Ausführung von lokalen Kommandos erlauben.
adjustMan wrote:3. Kann man verhindern, dass aus dem /tmp überhaupt was ausgeführt wird?
Sichere Skripte verwenden...
Re: Mailversand über /tmp
Posted: 2006-08-05 18:50
by adjustman
ja @Roger
Auf dem Server laufen mind. 10 Mambo/Joomla Systeme
Das ist wohl die Ursache.
Ich lass jetzt per Script in Intervallen das /tmp leeren.
Re: Mailversand über /tmp
Posted: 2006-08-05 19:04
by Roger Wilco
Einige hier im Forum haben gute Erfahrungen mit mod_security bei solchen Fällen gemacht. Vielleicht willst du dir das ja mal ansehen...
Re: Mailversand über /tmp
Posted: 2006-08-05 19:26
by thorsten
adjustMan wrote:3. Kann man verhindern, dass aus dem /tmp überhaupt was ausgeführt wird?
http://www.rootforum.org/forum/viewtopi ... 279#242279
Re: Mailversand über /tmp
Posted: 2006-08-05 20:11
by Roger Wilco
Das hätte in dem Fall nichts gebracht, da der Perlinterpreter i. d. R. nicht unter /tmp/ gespeichert ist.
Re: Mailversand über /tmp
Posted: 2006-08-05 20:18
by adjustman
Roger Wilco wrote:
Das hätte in dem Fall nichts gebracht, da der Perlinterpreter i. d. R. nicht unter /tmp/ gespeichert ist.
mmh, da war noch ein Binary mit im /tmp (brk) Evtl ein (Ersatz) Interpreter?
Re: Mailversand über /tmp
Posted: 2006-08-05 20:22
by Roger Wilco
adjustMan wrote:mmh, da war noch ein Binary mit im /tmp (brk) Evtl ein (Ersatz) Interpreter?
Hört sich eher nach einem Exploit für einen älteren Kernelfehler an. Ohne Analyse ist das aber nur eine Vermutung.
Re: Mailversand über /tmp
Posted: 2006-08-05 21:57
by adjustman
Roger Wilco wrote:Hört sich eher nach einem Exploit für einen älteren Kernelfehler an. Ohne Analyse ist das aber nur eine Vermutung.
wie kann man das analysieren? Also ich kanns nicht. ;)
Du? soll ich mal per Mail schicken?
Re: Mailversand über /tmp
Posted: 2006-08-06 01:24
by sledge0303
Installiere doch mod_security. Auf deren Homepage findest du eine Datei mit Rules. Sind nicht so viele aber die sollten eigentlich reichen.
Mit den Rules von gotroot.com kannst fast alles unterbinden, aber auch deine eigenen Aktivitäten nicht gerade unerheblich einschränken!
Re: Mailversand über /tmp
Posted: 2006-08-06 02:24
by adjustman
ok. Danke. Aber welche Rules sind denn "wirklich" sinnvoll?
Hat da jemand `n paar "Standards" parat?
Das ist ja eine Menge. Da das nicht mein Server ist, hab
ich wenig Lust, das 2 Wochen auszutesten. ;)
UND gibts das auch per apt für Debian?
Konnte mit apt-cache search nix finden.
Re: Mailversand über /tmp
Posted: 2006-08-06 03:34
by der kleine tux
Morgen,
ja gibt es
apt-get install libapache2-mod-security
brauchst dann aber auch ältere gotroot rules set bis 1.8.7
gruss
Re: Mailversand über /tmp
Posted: 2006-08-06 03:48
by adjustman
Der kleine Tux wrote:apt-get install libapache2-mod-security
is aber nich Apache2, is Apache 1.3.27 und Woody
Re: Mailversand über /tmp
Posted: 2006-08-06 04:01
by der kleine tux
apt-get install libapache-mod-security
an sonsten würd ich die Kiste mit "apt-get dist-upgrade" mal auf den neusten stand bringen was bei Debian ja immer so ne sache ist
gruss
Re: Mailversand über /tmp
Posted: 2006-08-06 04:09
by adjustman
Der kleine Tux wrote:an sonsten würd ich die Kiste mit "apt-get dist-upgrade" mal auf den neusten stand bringen was bei Debian ja immer so ne sache ist
ja. Und ausserdem auf nem Produktivsystem :?
Re: Mailversand über /tmp
Posted: 2006-08-06 09:29
by thorsten
Hmmm, woody erfährt keine Sicherheitsupdates mehr und du bist hier an einem Punkt, wo einem 'newby' schon längst das Plätten und Neuinstallieren empfohlen worden wäre.
Ich würde mal mit dem 'Besitzer' des Servers sprechen und eine Neuinstallation unter sarge order gar schon etch in Erwägung ziehen.
In der Zwischenzeit kannst du dir für woody auch backports von backports.org unter unsupported.backports.org besorgen.
Ich sehe gerade, dass die site unten ist - vor meinem Urlaub ging das noch :lol:
Re: Mailversand über /tmp
Posted: 2006-08-06 23:08
by whyte
Hallo,
würde hier eigentlich safe-mode=on
und open_basedir was bringen können ???
Denke doch schon ...
Gruß
Marco
Re: Mailversand über /tmp
Posted: 2006-08-06 23:42
by adjustman
whyte wrote:würde hier eigentlich safe-mode=on
und open_basedir was bringen können ???
ja, sicher. Wär auf jeden Fall empfehlenswert.
ABER - Mambo und Joomla. ;) Muss ich noch mehr sagen?
Re: Mailversand über /tmp
Posted: 2006-08-07 08:05
by daemotron
adjustMan wrote:ABER - Mambo und Joomla.
Muss ich noch mehr sagen?
Schade, dabei gibt's doch soooo schöne CMSe, die nicht ganz so verwundbar sind... Plone, Typo3, OpenCMS... ist offenbar aber vielen zu viel Mühe, sich mit der (zugegebenermaßen nicht ganz trivialen) Konfiguration auseinanderzusetzen. :evil:
Na ja, open_basedir würde schon mal was bringen. Und grade für Mambo/Joomla gibt's nette Rulesets für mod_security.
Re: Mailversand über /tmp
Posted: 2006-08-07 10:48
by thorsten
Wo der NAme schonmal gefallen ist, möchte ich auch eine Lanze für Plone brechen.
Das CMS ist aus Anwendersicht wirklich traumhaft einfach zu bedienen. Und auch die Installation ist nicht so wahnsinnig schwer. Eine Standardinstallation Plone/Zope unter debian/sarge ist in weniger als einer Stunde getan.
Wer tiefer in die Materie einsteigen will, sollte sich meiner Meinung nach aber en kompetentes Buch unters Kopfkissen legen :lol:
Re: Mailversand über /tmp
Posted: 2006-08-08 15:05
by daemotron
Joa, bei den anderen beiden ist's auch nicht aufwändiger... Typo3 klappt in ein paar Minuten, und OpenCMS braucht auch nicht viel länger - vorausgesetzt, Tomcat und mod_jk funktionieren schon
Re: Mailversand über /tmp
Posted: 2006-08-19 00:07
by pea
Bei mir wurde vor einiger Zeit per Joomla / Mambo das verfluchte REGISTER_GLOBALS=ON zum Scheunentor! Auch hier wurde vom tmp-Verzeichnis aus 'ne Menge Mist gemacht ...
Das Löschen der unliebsamen Dateien und das Ausschalten von REGISTER_GLOBALS (kann ja wenn unbedingt nötig bspw. via .htaccess für bestimmte Webs wieder aktiviert werden -> aber bitte nicht für ältere Jommla-Versionen) funktionierte sofort.
Re: Mailversand über /tmp
Posted: 2006-08-19 00:42
by flo
pea wrote:(kann ja wenn unbedingt nötig bspw. via .htaccess für bestimmte Webs wieder aktiviert werden
IMHO gehören solche kritischen Sachen - ebenso wie rewrites und ähnliches nicht in die .htaccess.
flo.
Re: Mailversand über /tmp
Posted: 2006-08-19 00:57
by adjustman
pea wrote:Bei mir wurde vor einiger Zeit per Joomla / Mambo das verfluchte REGISTER_GLOBALS=ON zum Scheunentor! Auch hier wurde vom tmp-Verzeichnis aus 'ne Menge Mist gemacht ...
DAS ging ja noch weiter ;)
Der gleiche Kram lag dann unter ../images in einem Account.
Ich sag nur - Finger weg von Mambo/Joomla