werde ich gehackt ??

Rund um die Sicherheit des Systems und die Applikationen
wwtruck
Posts: 3
Joined: 2006-04-04 16:16

werde ich gehackt ??

Post by wwtruck » 2006-09-11 17:49

Hallo ich hab da ein grosses Problem :( ich weis nicht ob ich gehackt werde oder ob das gerade wer versucht. wenn ich in Putty ps aux ein gebe bekomme ich diese anzeige:
wwwrun 25730 0.0 0.0 960 548 ttyp0 S 16:45 0:03 ./ssh-scan 100
wwwrun 25733 0.0 0.0 960 548 ttyp0 S 16:45 0:02 ./ssh-scan 100
wwwrun 25735 0.0 0.0 960 548 ttyp0 S 16:45 0:01 ./ssh-scan 100
wwwrun 25745 0.0 0.0 960 548 ttyp0 S 16:45 0:03 ./ssh-scan 100
wwwrun 25748 0.0 0.0 960 548 ttyp0 S 16:45 0:02 ./ssh-scan 100
wwwrun 25757 0.1 0.0 960 548 ttyp0 S 16:45 0:03 ./ssh-scan 100
wwwrun 25774 0.0 0.0 960 548 ttyp0 S 16:45 0:03 ./ssh-scan 100
wwwrun 25775 0.1 0.0 960 548 ttyp0 S 16:45 0:03 ./ssh-scan 100
wwwrun 25787 0.1 0.0 960 548 ttyp0 S 16:45 0:04 ./ssh-scan 100
wwwrun 25794 0.0 0.0 960 548 ttyp0 S 16:45 0:03 ./ssh-scan 100
wwwrun 25795 0.0 0.0 960 548 ttyp0 S 16:45 0:03 ./ssh-scan 100
wwwrun 25800 0.1 0.0 960 548 ttyp0 S 16:45 0:04 ./ssh-scan 100
wwwrun 25820 0.0 0.0 960 548 ttyp0 S 16:45 0:03 ./ssh-scan 100
wwwrun 25821 0.1 0.0 960 548 ttyp0 S 16:45 0:03 ./ssh-scan 100
wwwrun 25823 0.0 0.0 960 548 ttyp0 S 16:45 0:02 ./ssh-scan 100
wwwrun 25824 0.0 0.0 960 548 ttyp0 S 16:45 0:03 ./ssh-scan 100
wwwrun 25826 0.0 0.0 960 548 ttyp0 S 16:45 0:03 ./ssh-scan 100
wwwrun 26251 0.0 0.1 2920 1112 ttyp0 S+ 16:55 0:00 /bin/bash ./a 80.240
root 26566 0.0 0.2 8344 2536 ? Ss 17:06 0:01 sshd: root@notty
root 26569 0.0 0.1 4956 1612 ? Ss 17:07 0:00 /usr/lib/ssh/sftp-server
wwwrun 26610 0.0 0.0 944 192 ttyp0 S+ 17:08 0:00 ./ssh-scan 100
wwwrun 26619 0.1 0.0 964 552 ttyp0 S+ 17:08 0:02 ./ssh-scan 100
wwwrun 26622 0.0 0.0 960 548 ttyp0 S+ 17:08 0:01 ./ssh-scan 100
wwwrun 26623 0.2 0.0 972 516 ttyp0 S+ 17:08 0:05 ./ssh-scan 100
wwwrun 26626 0.0 0.0 960 548 ttyp0 S+ 17:08 0:02 ./ssh-scan 100
wwwrun 26630 0.1 0.0 964 508 ttyp0 S+ 17:08 0:03 ./ssh-scan 100
wwwrun 26631 0.0 0.0 964 552 ttyp0 S+ 17:08 0:01 ./ssh-scan 100
wwwrun 26632 0.1 0.0 964 508 ttyp0 S+ 17:08 0:03 ./ssh-scan 100
wwwrun 26635 0.0 0.0 964 568 ttyp0 S+ 17:08 0:01 ./ssh-scan 100
wwwrun 26638 0.0 0.0 964 568 ttyp0 S+ 17:08 0:01 ./ssh-scan 100
wwwrun 26653 0.0 0.0 964 568 ttyp0 S+ 17:08 0:01 ./ssh-scan 100
wwwrun 26655 0.2 0.0 964 508 ttyp0 S+ 17:08 0:06 ./ssh-scan 100
wwwrun 26663 0.2 0.0 964 508 ttyp0 S+ 17:08 0:05 ./ssh-scan 100
wwwrun 27067 0.0 0.0 960 548 ttyp0 S+ 17:09 0:00 ./ssh-scan 100
wwwrun 27094 0.0 0.0 964 508 ttyp0 S+ 17:09 0:01 ./ssh-scan 100
wwwrun 27208 0.0 0.0 964 552 ttyp0 S+ 17:09 0:02 ./ssh-scan 100
wwwrun 27209 0.1 0.0 964 552 ttyp0 S+ 17:09 0:03 ./ssh-scan 100
wwwrun 27282 0.0 0.0 964 552 ttyp0 S+ 17:10 0:01 ./ssh-scan 100
wwwrun 27296 0.1 0.0 964 552 ttyp0 S+ 17:10 0:02 ./ssh-scan 100
postfix 27315 0.0 0.1 4744 1408 ? S 17:11 0:00 pickup -l -t fifo -u
root 27330 0.0 0.2 8280 2368 ? Ss 17:11 0:00 sshd: root@pts/3
root 27343 0.0 0.1 3176 1772 pts/3 Ss 17:12 0:00 -bash
wwwrun 27398 0.0 0.0 964 552 ttyp0 S+ 17:13 0:01 ./ssh-scan 100
wwwrun 27399 0.2 0.0 964 552 ttyp0 S+ 17:13 0:04 ./ssh-scan 100
wwwrun 27424 0.1 0.0 964 552 ttyp0 S+ 17:14 0:02 ./ssh-scan 100
wwwrun 27485 0.1 0.0 964 552 ttyp0 S+ 17:16 0:02 ./ssh-scan 100
wwwrun 27510 0.0 0.0 964 552 ttyp0 S+ 17:17 0:01 ./ssh-scan 100
wwwrun 27511 0.1 0.0 964 552 ttyp0 S+ 17:17 0:01 ./ssh-scan 100
wwwrun 27805 0.2 0.0 964 552 ttyp0 S+ 17:26 0:03 ./ssh-scan 100
wwwrun 27806 0.8 0.0 972 516 ttyp0 S+ 17:26 0:09 ./ssh-scan 100
wwwrun 27807 0.9 0.0 972 516 ttyp0 S+ 17:26 0:10 ./ssh-scan 100
wwwrun 27813 0.8 0.0 972 516 ttyp0 S+ 17:26 0:09 ./ssh-scan 100
wwwrun 27815 0.3 0.0 964 508 ttyp0 S+ 17:26 0:03 ./ssh-scan 100
wwwrun 27816 0.3 0.0 964 508 ttyp0 S+ 17:26 0:03 ./ssh-scan 100
wwwrun 27817 0.4 0.0 964 508 ttyp0 S+ 17:26 0:04 ./ssh-scan 100
wwwrun 27818 0.4 0.0 964 508 ttyp0 S+ 17:26 0:04 ./ssh-scan 100
wwwrun 27842 0.2 0.0 964 552 ttyp0 S+ 17:27 0:02 ./ssh-scan 100
wwwrun 27843 0.3 0.0 964 552 ttyp0 S+ 17:27 0:03 ./ssh-scan 100
wwwrun 27844 0.4 0.0 964 508 ttyp0 S+ 17:27 0:04 ./ssh-scan 100
wwwrun 27869 0.9 0.0 972 516 ttyp0 S+ 17:27 0:09 ./ssh-scan 100
wwwrun 27877 0.4 0.0 964 508 ttyp0 S+ 17:27 0:04 ./ssh-scan 100
wwwrun 27891 0.8 0.0 972 516 ttyp0 S+ 17:27 0:08 ./ssh-scan 100
wwwrun 27893 0.3 0.0 964 508 ttyp0 S+ 17:27 0:03 ./ssh-scan 100
wwwrun 27900 0.8 0.0 972 516 ttyp0 S+ 17:27 0:09 ./ssh-scan 100
wwwrun 27901 0.3 0.0 964 508 ttyp0 S+ 17:27 0:04 ./ssh-scan 100
wwwrun 27919 0.4 0.0 964 508 ttyp0 S+ 17:28 0:04 ./ssh-scan 100
wwwrun 27924 0.0 0.0 964 552 ttyp0 S+ 17:28 0:00 ./ssh-scan 100
wwwrun 27946 0.3 0.0 964 508 ttyp0 S+ 17:29 0:03 ./ssh-scan 100
wwwrun 27950 0.8 0.0 972 516 ttyp0 S+ 17:29 0:08 ./ssh-scan 100
wwwrun 27956 0.4 0.0 964 508 ttyp0 S+ 17:29 0:04 ./ssh-scan 100
wwwrun 27957 0.3 0.0 964 508 ttyp0 S+ 17:29 0:03 ./ssh-scan 100
wwwrun 27958 0.4 0.0 964 508 ttyp0 S+ 17:29 0:03 ./ssh-scan 100
wwwrun 27959 0.2 0.0 964 552 ttyp0 S+ 17:29 0:02 ./ssh-scan 100
wwwrun 28046 0.2 0.0 964 552 ttyp0 S+ 17:30 0:02 ./ssh-scan 100
wwwrun 28082 0.4 0.0 964 508 ttyp0 S+ 17:31 0:03 ./ssh-scan 100
wwwrun 28086 0.4 0.0 964 508 ttyp0 S+ 17:31 0:03 ./ssh-scan 100
wwwrun 28124 0.3 0.0 964 508 ttyp0 S+ 17:32 0:02 ./ssh-scan 100
wwwrun 28127 0.3 0.0 964 508 ttyp0 S+ 17:32 0:02 ./ssh-scan 100
wwwrun 28128 0.4 0.0 964 508 ttyp0 S+ 17:32 0:03 ./ssh-scan 100
wwwrun 28129 0.4 0.0 964 508 ttyp0 S+ 17:32 0:03 ./ssh-scan 100
wwwrun 28132 0.2 0.0 964 552 ttyp0 S+ 17:32 0:01 ./ssh-scan 100
wwwrun 28134 0.3 0.0 964 508 ttyp0 S+ 17:32 0:02 ./ssh-scan 100
wwwrun 28175 0.1 0.0 960 548 ttyp0 S+ 17:33 0:00 ./ssh-scan 100
wwwrun 28176 0.0 0.0 964 552 ttyp0 S+ 17:33 0:00 ./ssh-scan 100
wwwrun 28180 0.2 0.0 964 552 ttyp0 S+ 17:33 0:01 ./ssh-scan 100
wwwrun 28183 0.4 0.0 964 508 ttyp0 S+ 17:33 0:03 ./ssh-scan 100
wwwrun 28213 0.2 0.0 964 552 ttyp0 S+ 17:34 0:01 ./ssh-scan 100
wwwrun 28219 0.4 0.0 964 508 ttyp0 S+ 17:34 0:02 ./ssh-scan 100
wwwrun 28226 0.5 0.0 972 516 ttyp0 S+ 17:34 0:03 ./ssh-scan 100
wwwrun 28249 0.3 0.0 964 552 ttyp0 S+ 17:35 0:01 ./ssh-scan 100
wwwrun 28250 0.2 0.0 964 552 ttyp0 S+ 17:35 0:01 ./ssh-scan 100
wwwrun 28252 0.0 0.0 964 552 ttyp0 S+ 17:35 0:00 ./ssh-scan 100
wwwrun 28280 0.4 0.0 964 508 ttyp0 S+ 17:36 0:02 ./ssh-scan 100
wwwrun 28291 0.9 0.0 972 516 ttyp0 S+ 17:36 0:04 ./ssh-scan 100
wwwrun 28313 0.2 0.0 964 552 ttyp0 S+ 17:37 0:01 ./ssh-scan 100
wwwrun 28339 0.4 0.0 964 508 ttyp0 S+ 17:38 0:01 ./ssh-scan 100
wwwrun 28341 0.1 0.0 964 552 ttyp0 S+ 17:38 0:00 ./ssh-scan 100
wwwrun 28342 0.6 0.0 964 508 ttyp0 S+ 17:38 0:02 ./ssh-scan 100
wwwrun 28343 0.3 0.0 964 552 ttyp0 S+ 17:38 0:01 ./ssh-scan 100
wwwrun 28344 0.9 0.0 964 552 ttyp0 S+ 17:38 0:03 ./ssh-scan 100
wwwrun 28364 0.1 0.0 972 500 ttyp0 S+ 17:39 0:00 ./ssh-scan 100
wwwrun 28366 0.7 0.0 964 552 ttyp0 S+ 17:39 0:02 ./ssh-scan 100
wwwrun 28367 1.3 0.0 964 508 ttyp0 S+ 17:39 0:04 ./ssh-scan 100
wwwrun 28371 0.9 0.0 964 552 ttyp0 S+ 17:39 0:03 ./ssh-scan 100
wwwrun 28372 1.0 0.0 964 552 ttyp0 S+ 17:39 0:03 ./ssh-scan 100
wwwrun 28374 0.6 0.0 964 552 ttyp0 S+ 17:39 0:01 ./ssh-scan 100
wwwrun 28424 1.0 0.0 964 552 ttyp0 S+ 17:40 0:03 ./ssh-scan 100
wwwrun 28468 1.0 0.0 964 552 ttyp0 S+ 17:40 0:02 ./ssh-scan 100
wwwrun 28470 0.9 0.0 964 552 ttyp0 S+ 17:40 0:02 ./ssh-scan 100
wwwrun 28472 0.3 0.0 964 552 ttyp0 S+ 17:40 0:00 ./ssh-scan 100
wwwrun 28473 0.0 0.0 964 552 ttyp0 S+ 17:40 0:00 ./ssh-scan 100
wwwrun 28474 0.1 0.0 964 552 ttyp0 S+ 17:40 0:00 ./ssh-scan 100
wwwrun 28476 0.5 0.0 964 552 ttyp0 S+ 17:40 0:01 ./ssh-scan 100
wwwrun 28510 0.6 0.0 964 552 ttyp0 S+ 17:41 0:01 ./ssh-scan 100
wwwrun 28511 0.5 0.0 964 552 ttyp0 S+ 17:41 0:01 ./ssh-scan 100
wwwrun 28514 0.0 0.0 964 552 ttyp0 S+ 17:41 0:00 ./ssh-scan 100
wwwrun 28544 0.0 0.0 964 552 ttyp0 S+ 17:41 0:00 ./ssh-scan 100
wwwrun 28569 0.0 0.0 964 552 ttyp0 S+ 17:42 0:00 ./ssh-scan 100
wwwrun 28570 0.1 0.0 960 548 ttyp0 S+ 17:42 0:00 ./ssh-scan 100
wwwrun 28587 0.0 0.0 964 552 ttyp0 S+ 17:43 0:00 ./ssh-scan 100
wwwrun 28589 0.1 0.0 960 548 ttyp0 S+ 17:43 0:00 ./ssh-scan 100
wwwrun 28591 0.1 0.0 960 548 ttyp0 S+ 17:43 0:00 ./ssh-scan 100
wwwrun 28618 0.1 0.0 960 548 ttyp0 S+ 17:44 0:00 ./ssh-scan 100
wwwrun 28619 0.1 0.0 960 548 ttyp0 S+ 17:44 0:00 ./ssh-scan 100
postfix 28620 0.0 0.2 5488 2552 ? S 17:44 0:00 smtpd -n smtp -t inet -u -s 2
postfix 28621 0.0 0.1 4728 1376 ? S 17:44 0:00 proxymap -t unix -u
postfix 28622 0.0 0.1 4740 1392 ? S 17:44 0:00 anvil -l -t unix -u
postfix 28623 0.1 0.2 5488 2472 ? S 17:44 0:00 smtpd -n smtp -t inet -u -s 2
postfix 28624 0.0 0.1 4880 1780 ? S 17:44 0:00 trivial-rewrite -n rewrite -t unix -u
wwwrun 28625 0.0 0.0 960 548 ttyp0 S+ 17:44 0:00 ./ssh-scan 100
root 28626 0.0 0.0 2724 812 pts/3 R+ 17:44 0:00 ps aux
elbe102:/etc/init.d #
Kann mir jemand sagen was das bedeutet ??

Ich habe einen Rootserver von Server4You mit Suse 9.3 und Confixx
Gruß wwtruck

oxygen
Posts: 2138
Joined: 2002-12-15 00:10
Location: Bergheim

Re: werde ich gehackt ??

Post by oxygen » 2006-09-11 17:51

Dein Server wurde kompromitiert und muss runtergefahren und neu aufgesetzt werden. Diesmal von jemand der sein Handwerk versteht.

wwtruck
Posts: 3
Joined: 2006-04-04 16:16

Re: werde ich gehackt ??

Post by wwtruck » 2006-09-11 17:53

sorry was meinst du mit kompromitiert ??

wwtruck
Posts: 3
Joined: 2006-04-04 16:16

Re: werde ich gehackt ??

Post by wwtruck » 2006-09-11 18:01

Hab den server neu gebootet und nu isses weg :D

duergner
Posts: 923
Joined: 2003-08-20 11:30
Location: Pittsburgh, PA, USA

Re: werde ich gehackt ??

Post by duergner » 2006-09-11 18:35

Nur bis der Angreifer bemerkt, dass dein Server online ist. Am besten fu faehrst den Server runter und laesst ihn in diesem Zustand bis du dir einen Admin besorgt hast!

flo
Posts: 2223
Joined: 2002-07-28 13:02
Location: Berlin

Re: werde ich gehackt ??

Post by flo » 2006-09-11 18:35

das passt doch - dann hast Du ja jetzt nen Tag Ruhe :-)

Im Ernst: Sieh zu, daß Du den Kübel sicher bringst, Rebooten hilft evt., aber halt nicht lang.

flo.

cybersonic
Posts: 30
Joined: 2006-05-03 19:22

Re: werde ich gehackt ??

Post by cybersonic » 2006-09-11 18:40

Hab den server neu gebootet und nu isses weg
Ja nur weil du ein reboot gemacht hast, das bedeutet aber nicht das der angreifer kein access mehr auf deinem server hat, das die Prozess "nur" als www-data laufen könnte man als "positiv" bezeichen. Aber nichts desto trotz, du scheints wohl eher ein unerfahren admin zu sein, deshalb würde ich dir zu einem Neuaufsetzten des Systems raten.

lord_pinhead
Posts: 774
Joined: 2004-04-26 15:57

Re: werde ich gehackt ??

Post by lord_pinhead » 2006-09-11 20:59

Meint ihr er denkt nach dem neuaufsetzen daran die kiste zu sichern?

sledge0303
Posts: 695
Joined: 2005-09-16 00:06
Location: Berlin-Reinickendorf

Re: werde ich gehackt ??

Post by sledge0303 » 2006-09-11 21:35

Lord_Pinhead wrote:Meint ihr er denkt nach dem neuaufsetzen daran die kiste zu sichern?
Na sicher. Er wird nach dem neu aufsetzen zuerst den SSH Port verschieben, Rootlogin sperren, bestimmte Dienste wie Mail- und Webserver, BIND ins Jail sperren und kleinere Empfindlichkeiten mehr gegen Hacker installieren... :)

mattiass
Userprojekt
Userprojekt
Posts: 608
Joined: 2005-12-16 17:57

Re: werde ich gehackt ??

Post by mattiass » 2006-09-11 22:04

sledge0303 wrote:
Na sicher. Er wird nach dem neu aufsetzen zuerst den SSH Port verschieben, Rootlogin sperren, bestimmte Dienste wie Mail- und Webserver, BIND ins Jail sperren und kleinere Empfindlichkeiten mehr gegen Hacker installieren... :)
Was da läuft sieht eher aus wie ein SSH-Schwachstellenscanner, den jemand über ein Loch in einer Scriptsprache eingeschleust hat -- deshalb läuft es auch als Apache-User. Sollte er erstmal sichere Scripte und eine aktuelle Apache-Version installieren...

Was Du erwähnst ist dann nur noch Klein-*PIEEEEP*...

flo
Posts: 2223
Joined: 2002-07-28 13:02
Location: Berlin

Re: werde ich gehackt ??

Post by flo » 2006-09-11 22:08

Auch wenn ich mich damit vielleicht wieder in die Nesseln setze - /tmp und "noexec" hätten das wahrscheinlich auch verhindert, bzw. vernünftige und sichere Einstellungen von Apache und PHP.

sledge0303
Posts: 695
Joined: 2005-09-16 00:06
Location: Berlin-Reinickendorf

Re: werde ich gehackt ??

Post by sledge0303 » 2006-09-11 22:18

Was Du erwähnst ist dann nur noch Klein-*PIEEEEP*...
Richtig, aber der Apache User hätte es nicht so einfach geschafft aus dem Jail auszubrechen und das System zu kompromitieren.
So hätte er sich nur um den Apachen und verwendete Skripte kümmern brauchen statt das System komplett neu aufzusetzen.

Wie man am besten sein System absichert kann man ausdiskutieren ohne Ende. Man findet immer ein PRO und KONTRA ;)

Leider bestellen immer mehr Leute einen Server und stellen ihn ins Netz ohne sich um die Absicherung vorher eine Platte zu machen.

rootsvr
Posts: 538
Joined: 2005-09-02 11:12

Re: werde ich gehackt ??

Post by rootsvr » 2006-09-11 23:36

Suse 9.3 hat mit Sicherheit noch die Anfälligkeit der Local Exploits < Kernel 2.6.17.4 (?) folglich kann er nicht unbedingt sicher sein, ob der Hacker nicht doch irgendwo root war/wurde/sein wird.

Im Endeffekt aber wieder typisch.. Ich hab hier 200 komische ssh-scan prozesse .. werde ich gehackt?

Ist so wie: ich hab hier drei rauchende Schußwunden in der Brust, will mir jemand was böses?

Suche wie das passieren konnte (im Apache.log nach wget, ssh-scan o.ä. suchen ) merk dir das böse Script ersetze es nach der nächsten Installation, oder such dir nen Admin der weiß was er tut.

tmp auf noexec bringt nichts wenn jemand perl ssh-scan ausgeführt hätte oder? (rein interesse halber)

aubergine
Posts: 471
Joined: 2005-09-10 17:52
Location: Frankfurt am Main

Re: werde ich gehackt ??

Post by aubergine » 2006-09-12 02:15

rootsvr wrote: tmp auf noexec bringt nichts wenn jemand perl ssh-scan ausgeführt hätte oder? (rein interesse halber)

Früher Ja, Jetzt Nein.

Dann wären ja auch noch Aufrufe wie /bin/bash bla.sh möglich und diese Lücke ist lange behoben gab es aber mal.

flo
Posts: 2223
Joined: 2002-07-28 13:02
Location: Berlin

Re: werde ich gehackt ??

Post by flo » 2006-09-12 06:48

Ich hab das neulich bei einer halbgertigen (Horde/IMP)-Installation mal offen gelassen, weil ich irgendwann ins Bett wollte - Dienste liefen, ich war irgendwann zu müde - hat fünf Stunden gehalten, die Kiste ... :-( Ich bin immer noch der Meinung, daß man damit Kleinmist durchaus abhalten kann - die meisten "Angreifer" wollen eh nicht den kompletten Server, sondern "nur" Mails verschicken, andere Rechner scannen oder irc bouncen.

flo.

sledge0303
Posts: 695
Joined: 2005-09-16 00:06
Location: Berlin-Reinickendorf

Re: werde ich gehackt ??

Post by sledge0303 » 2006-09-12 09:40

Wurde nicht vor kurzem wieder ein Kernelbug behoben wo bla.sh trotz noexec für /tmp möglich war?!

mattiass
Userprojekt
Userprojekt
Posts: 608
Joined: 2005-12-16 17:57

Re: werde ich gehackt ??

Post by mattiass » 2006-09-12 09:55

sledge0303 wrote: Richtig, aber der Apache User hätte es nicht so einfach geschafft aus dem Jail auszubrechen und das System zu kompromitieren.
Warum verwechselt Ihr Linuxer eigentlich immer popelige Chroots mit echten BSD-Jails? :-D

mattiass
Userprojekt
Userprojekt
Posts: 608
Joined: 2005-12-16 17:57

Re: werde ich gehackt ??

Post by mattiass » 2006-09-12 09:59

aubergine wrote: Früher Ja, Jetzt Nein.

Dann wären ja auch noch Aufrufe wie /bin/bash bla.sh möglich und diese Lücke ist lange behoben gab es aber mal.
Ganz dicht wird man Interpreter sicher nicht bekommen. Dinge wie

Code: Select all

perl -e "$( cat /tmp/boese.pl )"
könnten beim passenden Script genauso funktionieren wie

Code: Select all

cat /tmp/boese.pl | perl
Auf jeden Fall ein interessantes Feld für weitere Forschungen... :-)

sledge0303
Posts: 695
Joined: 2005-09-16 00:06
Location: Berlin-Reinickendorf

Re: werde ich gehackt ??

Post by sledge0303 » 2006-09-12 14:14

Warum verwechselt Ihr Linuxer eigentlich immer popelige Chroots mit echten BSD-Jails? Very Happy
Langsam machst mich echt neugierig mit deinem BSD!!!
Hab nur nicht die Zeit es so genau auszutesten... ;)
Auf jeden Fall ein interessantes Feld für weitere Forschungen
Ich werde mal meine Azubis etwas anheizen, die forschen ja sehr gerne, aber nicht immer nach dem was sie eigentlich sollen :roll:

lord_pinhead
Posts: 774
Joined: 2004-04-26 15:57

Re: werde ich gehackt ??

Post by lord_pinhead » 2006-09-12 16:36

BSD Jails sind doch auch auf Linux möglich, jedenfalls dachte ich da mal was gelesen zu haben mit makejail

@sledge0303
Der Witz war jetzt echt hammer, ich hab 5 min gebraucht um mich vor lachen wieder einzukriegen, bitte nicht nochmal sowas :D

Roger Wilco
Administrator
Administrator
Posts: 5924
Joined: 2004-05-23 12:53

Re: werde ich gehackt ??

Post by Roger Wilco » 2006-09-12 16:56

Lord_Pinhead wrote:BSD Jails sind doch auch auf Linux möglich, jedenfalls dachte ich da mal was gelesen zu haben mit makejail
makejail ist ein Skript, dass die Erstellung einer chroot Umgebung erleichtern soll. Mit den Jails aus FreeBSD lassen sich am ehesten noch UML oder Zones von Solaris vergleichen.

mattiass
Userprojekt
Userprojekt
Posts: 608
Joined: 2005-12-16 17:57

Re: werde ich gehackt ??

Post by mattiass » 2006-09-12 17:20

Roger Wilco wrote:
Lord_Pinhead wrote:BSD Jails sind doch auch auf Linux möglich, jedenfalls dachte ich da mal was gelesen zu haben mit makejail
makejail ist ein Skript, dass die Erstellung einer chroot Umgebung erleichtern soll. Mit den Jails aus FreeBSD lassen sich am ehesten noch UML oder Zones von Solaris vergleichen.
Ein Kernel, der als Userland-Anwendung (UML) läuft, ist wieder was ganz anderes. Solaris Zone oder Linux-Vserver entsprechen dem Konzept der BSD-Jails, bieten aber meist eine etwas raffiniertere Verwaltung vor allem bzgl. der Ressourcenverwaltung.

Dennoch mag ich Jails als sehr leichtgewichtige (Pseudo-) Virtualisierungsmöglichkeit. Nicht zu unterschätzen ist der Vorteil, dass Jails gleich Bestandteil des OS sein und sich nicht nur schnell einrichten lassen, sondern auch bei einem Sicherheitsupdate nicht immer am Kernel herumgepatcht -- oder schlimmer -- gewartet werden muss.

Bei Linux soll ja immerhin OpenVZ als vergleichbare Technologie Einzug halten. Naja, BSD war halt schon immer Linux ein paar Jahre voraus (UnionFS, Nullfs, PortalFS, Jails -- überhaupt war es 12 oder 13 Jahre früher da).
:lol:

sledge0303
Posts: 695
Joined: 2005-09-16 00:06
Location: Berlin-Reinickendorf

Re: werde ich gehackt ??

Post by sledge0303 » 2006-09-12 18:31

Lord_Pinhead wrote:BSD Jails sind doch auch auf Linux möglich, jedenfalls dachte ich da mal was gelesen zu haben mit makejail

@sledge0303
Der Witz war jetzt echt hammer, ich hab 5 min gebraucht um mich vor lachen wieder einzukriegen, bitte nicht nochmal sowas :D
Sagen wir mal schwarzer Humor mit ernstgemeintem Hintegrund. Wenn er sich auf die Hinterbeine stellt, kriegt man das schnell hin...

Was BSD und BSD Jail angeht, kann ich nicht mitreden. Mit den Jails in Linux (egal Debian oder Suse) habe ich keine schlechten Erfahrungen gemacht. Bisher wurde für einen Kunden (tripple X Anbieter) aufgrund schlecht programmierten Skripts ein Einbruch in das Jail vernommen.
2 Stunden später war er wieder online und vorherige Ausbruchversuche waren erfolglos.
Was aber nicht heissen soll, dass das immer so ist. Ich lerne gerne hinzu und wenn man mich des besseren belehren kann (Argumente), teste ich gerne mal was aus!

mattiass
Userprojekt
Userprojekt
Posts: 608
Joined: 2005-12-16 17:57

Re: werde ich gehackt ??

Post by mattiass » 2006-09-12 18:58

sledge0303 wrote: Was BSD und BSD Jail angeht, kann ich nicht mitreden. Mit den Jails in Linux (egal Debian oder Suse) habe ich keine schlechten Erfahrungen gemacht.
Um welche Form des Jails handelte es sich genau? Normale "chroot"-Umgebungen mit einem minimalen System darin? Oder um nachträglich eingepatchte "chroot"-Erweiterungen ala BSD-Jail (stark eingeschränkter Zugriff auf Devices, kein Zugriff auf rohe Netzwerkinterfaces, nur eine bestimmte IP im Jail sichtbar, keine Prozesse außerhalb sichtbar, keine Mountmöglichkeit)? Oder hast Du die BSD-Jail-Funktionalität mit RSBAC nachgebaut (sollte weitgehend möglich sein)?

Mit einem gut gemachten "chroot" kommt man aber schon sehr weit...

sledge0303
Posts: 695
Joined: 2005-09-16 00:06
Location: Berlin-Reinickendorf

Re: werde ich gehackt ??

Post by sledge0303 » 2006-09-12 19:40

Normale "chroot"-Umgebungen mit einem minimalen System darin?
In der Regel chroot ohne Möglichkeit zu mounten und nur die bestimmte IP ist sichtbar. Insgesamt sind alle Dienste, die direkt aus dem Internet erreichbar sind, in chroot-Umgebung gepackt.
Die weitere Absicherung ist immer abhängig davon welches Gefahrenpotential diese Seiten oder Kundenaccount darstellen könnten.
Im Gegensatz zu "Bewerbungsseiten für arbeitssuchende" wird bei Kunden mit Foren oder Inhalte wie XXX mehr Aufwand betrieben.Prozesse sind nur innerhalb des chroots sichtbar.
Per SSH dürfen die sich eh nicht einloggen, nur nebenbei erwähnt.
SU darf auch nur ein bestimmter User ausführen, hat dann aber nichts mehr mit dem chroot zu tun. ;)
Mit einem gut gemachten "chroot" kommt man aber schon sehr weit
Bis jetzt bin ich immer sehr gut damit gefahren. Der genannte Einbruch kam nur durch ein Bug in Kundenskript zustande. Der "Einbrecher" hatte versucht seine eigenen Daten hochzuladen und offensichtlich SPAM per Postfix zu versenden. Das wollte einfach so nicht klappen...:)

EDIT:
Kunden haben nur per FTP Zugang zu ihren Accounts und Logfiles. Jeder kriegt neben dem Mailaccount seine entsprechende PHP Version und alles weitere auf "Antrag"
/EDIT