"hacken"

[fabske]

ich hab den thread einfach mal "hacken" genannt, weil ich net recht wusste wie ich es kurzfassen soll.
was ich wissen möchte ist nicht etwa wie man hackt, lol, ne, sondern ganz einfach was denn so gefährlich an offenen ports ist.
ich selbst hab früher auch viel dummheiten im netz gemacht, offene relays gesucht und 10000 emails an meinen lehrer geschickt, oder unter falschem namen informationen verbreitet, aber nie richtig eine maschine angegriffen.
was ist wenn ein port offen ist? wenn da kein däemon dran horcht, was kann dann da der böse hacker machen? ich selbst hab ssh ins inet offen, wenn er da das root pass per brutefprce knackt, dann hab ich ein problem, DAS kann ich mir ja vorstellen, aber wie erlangt er zugriff zum system über einen offenen port?

[BeS]

Du willst über Cracker reden und nicht über Hacker!

[Bert]

Ein Port ist dann offen, wenn ein Programm an diesem Port lauscht, also auf anfragen wartet. Wenn kein Prozeß an einem Port lauscht, dann beantwortet der Kernel Anfragen an dieses Port ablehnend.

Lauscht ein Prozeß, dann kann dieser ausgenutzt werden, um in das System einzudringen...

[blackm]

@Bert: Herzlichen Glueckwunsch zum 1000.!

Also einen Rechner kannst du ueber einen offenen Port angreifen, wenn an dem Port ein Programm lauscht und das eine Schwachstelle hat. Die meisten Schwachstellen laufen auf einen Bufferoverflow hinaus. Ueber den Bufferoverflow kannst du Code in den Speicherbereich des Daemons bekommen und der wird dann auch ausgefuehrt. Da die meisten Daemons (alle die an einem port unter 1024 lauschen) mit root Rechten laufen muessen, wird dein Code den du eingeschleust hast mit root Rechten ausgefuert - du kannst also alles machen. Das dumme ist nur, das du nicht beliebig viel Code einschleusen kannst, ueberleg dir also gut was du mir reinnimmst. Und du kannst das auch nur einmal machen. Nach dem Bufferoverflow stuertz der Daemon ab (achso: Wenn du in deiner Komandozeile schonmal sowas wie Speicherzugriffsfehler gelesen hast, das was ein Bufferoverflow).

by, Martin

[abi]

(achso: Wenn du in deiner Komandozeile schonmal sowas wie Speicherzugriffsfehler gelesen hast, das was ein Bufferoverflow).

man muss evtl. dazu sagen das nicht alle Buffer Overflows exploitable (also ausnutzbar) sind. Wenn du also mal einen Segmentation Fault, den ein Programm verursacht (indem es auf Speicher zugreiffen will, der nicht für jenes reserviert wurde) an den Kopf geworfen bekommst, muss das nicht umbedingt bedeuten dass dieses Programm eine Sicherheitslücke hat.

Solche Buffer Overflows entstehen meist durch Fehler, die der Programmierer macht, in dem er z.B. Eingaben des Users oder Daten die der Daemon empfängt falsch verarbeitet. Leider bieten Programmiersprachen wie C nicht ausreichend Schutz um zu unterbinden, das solche Fehler gemacht werden.

Schützen kann man sich davor nur bedingt, wenn man einen Service anbieten will, muss man ihn halt anbieten.

Schutzmassnahmen können sein:

* das Programm zu chrooten (also, vom Rest des Systems abzuschotten)
* Programme mit gcc Versionen übersetzen die Erweiterungen wie ProPolice enthalten.
* Regelmäßig Patche einspielen, immer die neusten Versionen der Daemons am laufen haben und Security Listen lesen.

Das wirkliche Problem ist nicht, das die Sicherheitslücken aufgedeckt werden, das wirkliche Problem ist, das Blackhats, wenn sie einen Exploit (ein Programm das die Schwachstelle ausnützt) für einen Daemon schreiben, diesen nicht veröffentlichen. Das hat zur Folge das dein System schon 10x gehackt werden konnte bevor überhaupt bekannt wird dass der Dienst, welchen du anbietest ein Sicherheitsloch hat.

Regelmäßiges Logfile durchstöbern kann da manchmal wichtige Informationen zu Tage befördern.

[eagle]

ich selbst hab ssh ins inet offen, wenn er da das root pass per brutefprce knackt, dann hab ich ein problem,

Du solltest in jedem Fall root login in der sshd_config ausschalten! Das zu erlauben ist wirklich keine gute Idee.

Code: Alles auswählen

 .. 
PermitRootLogin no
..

eagle

[BeS]

Hallo,

Du solltest in jedem Fall root login in der sshd_config ausschalten! Das zu erlauben ist wirklich keine gute Idee.

und am besten auch nur key-auth erlauben, dass verhindert dann schon das jemand dein Passwort errät. Dann kannst du dich zwar nichtmehr von jedem PC einloggen, aber wenn du z.B. ein Notebook hast mit dem du dich von aussen einloggen willst ist das sicher eine gute Lösung die die Sicherheit erhöht.

[Bert]

@Bert: Herzlichen Glueckwunsch zum 1000.!
by, Martin

Soll ich für den Samstag schon Sekt kalt stellen ?

[Homeless1]

jo mach des

[Bert]

jo mach des

Kommst Du auch nach Dresden?

[Homeless1]

nein leider nicht

[blackm]

Soll ich für den Samstag schon Sekt kalt stellen ?

Ein kaltes Bier wuerde es auch tun....

[fabske]

ok, also ich fasse mal zusammen.
ein offener port kann nur ausgenutzt werden wenn auch ein dienst an ihm horcht. dann versteh ich aber wirklich nicht was eine firewall bringen soll. klar, man kann halt z.b. nen ftp server nur fürs lan zur verfügung stellen, und fürs inet nicht, aber sonst?
wenn ich nur einen ftp laufen hätte, und der von überall zugreifbar sein soll, wozu dann eine firewall? die offenen ports sind sowieso net gefährlich. ???
ein bufferoverflow. aha. das heißt der cracker versucht einen bufferoverflow zu erreichen, schreibt was in den speicherbereichs des rams, der diesem dienst zugewiesen wurde, und der code der in den ram geschrieben wurde wird dann ausgeführt? aber wie und wann wird der ausgeführt?
ich hab nen sshd laufen, mir ssh. root zugang brauche ich, weil ich muss ja die maschine rooten. wie soll ich das sonst machen?
wie meint ihr das mit dem key? also wenn ich von einer maschine das erste mal zugreife auf eine andere, dann fragt der mich immer nach einer bestätigung dass er diesen key nun speichert. kann man das am sshd so einstellen, dass er nur bekannte keys annimmt?

[suntsu]

Eine Firewall ist z.B. dann sinnvoll, wenn du einen Dienst ins inet stellen willst, und den anderen nur im Intranet brauchst. Oder wenn du zugriff nur von bestimmten Rechnern(IP-Adressen) erlauben willst.

Zudem macht man eine Firewall meist restriktiv(mir fällt das korrekte Wort nicht ein). d.h. das du alles verbietest und nur das aufmachst, was du auch wirklich brauchst. So verhinderst du z.B. das jemand auf deinen ftp-Server connectet, den du "versehentlich" am laufen hast. (z.B. wenn er über inet gestartet wird, und du dir dessen nicht bewusst bist.)

gruss
manuel

[chimaera]

och, restriktiv passt schon.. *duck*

[godsmacker]

ich hab nen sshd laufen, mir ssh. root zugang brauche ich, weil ich muss ja die maschine rooten. wie soll ich das sonst machen?

Du kennst 'su'? o.0

[BeS]

Hallo,

wie meint ihr das mit dem key? also wenn ich von einer maschine das erste mal zugreife auf eine andere, dann fragt der mich immer nach einer bestätigung dass er diesen key nun speichert. kann man das am sshd so einstellen, dass er nur bekannte keys annimmt?

key-auth ist vom Verfahren ähnlich wie zum Beispiel gnuPG. Wenn du nur key-auth erlaubst kann man sich nichmehr mit einem Passwort anmelden sondern nur wenn man den richtigen Schlüssel hat. Du mußt dir dazu auf deinem client ein Schlüsselpaar erstellen und den public-key dann auf den server in ~/.ssh/authorized_keys kopieren. Danach kannst du dich von dem client mit dem private-key auf dem server einloggen. Das funktioniert natürlich nur wenn du "feste" Computer hast mit denen du auf deinen server zugreifen willst, z.B. dein Laptop. Wenn du aber von jedem PC darauf zugreifen willst, also auch von PCs die dir nicht gehören oder denen du nicht vertrauen kannst, ist diese Methode nicht sinnvoll.

[spiffi]

Das funktioniert natürlich nur wenn du "feste" Computer hast mit denen du auf deinen server zugreifen willst, z.B. dein Laptop. Wenn du aber von jedem PC darauf zugreifen willst, also auch von PCs die dir nicht gehören oder denen du nicht vertrauen kannst, ist diese Methode nicht sinnvoll.

Wieso das? Den Key kann man doch auf einem geeigneten Medium mit sich führen. Ich hab beispielsweise ne CD-RW mit PuTTY und meinem Key drauf (natürlich durch Passphrase geschützt). Noch eleganter ginge das beispielsweise mit nem USB-Stick.
Und was PCs anderer Leute angeht: Du mußt den Key ja nicht bei denen auf die Platte kopieren.

[BeS]

Hallo,

Wieso das? Den Key kann man doch auf einem geeigneten Medium mit sich führen. Ich hab beispielsweise ne CD-RW mit PuTTY und meinem Key drauf (natürlich durch Passphrase geschützt). Noch eleganter ginge das beispielsweise mit nem USB-Stick.
Und was PCs anderer Leute angeht: Du mußt den Key ja nicht bei denen auf die Platte kopieren.

ja, ich habe mir auch überlegt ob ich das noch schreiben soll. Habe es dann aber gelassen weil es eine Möglichkeit ist die oft, aber nicht immer funktioniert.
1. gefällt mir putty nicht so und den "normalen" ssh client auf eine cd zu kopieren ist nicht so einfach. Ok, eigentlich schon, man kann sich die sourcen besorgen und es dann mit ./configure && make compilieren und dann auf die CD kopieren. Du hast aber immer noch das Problem der binär kompatibilität (hast du auch mit putty). Die Chance ist groß das der ssh client unter RedHat, Mandrake oder einer anderen Debian Version nicht funktioniert.
2. Kann es sein das du an einem PC sitzt wo du keine Lufwerke hast, da bringt dir dann dein ssh client mit key auch nichts auf der CD oder dem USB stick.

[spiffi]

zu 1.
Das ist ein Mißverständnis. Das PuTTY auf meiner CD ist für Windows-Systeme gedacht. Nicht auf jedem Rechner läuft Linux
Bei Linux-Kisten gehe ich eigentlich mal von nem installierten SSH-Client aus. Und wenn keiner drauf ist, kommst Du an nen nur durch Passwort gesicherten SSH-Zugang auch nicht dran. Der Schlüssel ist also hier gegenüber dem Passwort nicht benachteiligt.
Nebenbei bemerkt: Die Geschichte mit der Binär-Inkompatiblität würdest Du (zumindest solange Du Dich nur auf einer Rechner-Architektur bewegst) mit statisch gelinkten Binaries in den Griff kriegen.
zu 2.
Da hast Du vollkommen recht. Bei solchen Rechnern ist mit nem Schlüssel natürlich nichts zu machen.
Aber offengestanden verzichte ich für das Mehr an Sicherheit gegenüber einem passwortgeschützten Zugang liebend gern auf diesen (zumindest für mich sehr geringen) Anteil an Rechnern.

[BeS]

Hallo,

zu 1.
Das ist ein Mißverständnis. Das PuTTY auf meiner CD ist für Windows-Systeme gedacht. Nicht auf jedem Rechner läuft Linux

ich habe bei putty jetzt an putty für GNU/Linux gedacht...

Bei Linux-Kisten gehe ich eigentlich mal von nem installierten SSH-Client aus. Und wenn keiner drauf ist, kommst Du an nen nur durch Passwort gesicherten SSH-Zugang auch nicht dran. Der Schlüssel ist also hier gegenüber dem Passwort nicht benachteiligt.

Ja, aber wie machst du es dann? Dein private key nach ~/.ssh kopieren und wenn du fertig bist ihn wieder löschen? Der installierte ssh client sucht den key ja nicht auf deiner Diskette.

Aber offengestanden verzichte ich für das Mehr an Sicherheit gegenüber einem passwortgeschützten Zugang liebend gern auf diesen (zumindest für mich sehr geringen) Anteil an Rechnern.

Wenn man darauf verzichten kann ist es ok, ich verzichte auch darauf auch wenn bei mir der Anteil solcher Computer relativ hoch ist.

[spiffi]

ich habe bei putty jetzt an putty für GNU/Linux gedacht...

Jo und ich hatte ganz vergessen, daß es den auch für Linux gibt.

Ja, aber wie machst du es dann? Dein private key nach ~/.ssh kopieren und wenn du fertig bist ihn wieder löschen? Der installierte ssh client sucht den key ja nicht auf deiner Diskette.

Code: Alles auswählen

ssh -i /path/to/my/id_rsa

Wenn man darauf verzichten kann ist es ok, ich verzichte auch darauf auch wenn bei mir der Anteil solcher Computer relativ hoch ist.

Das ist wahr. Muß letztendlich jeder für sich selbst entscheiden.

[blackm]

aber wie und wann wird der ausgeführt?

Keine Ahnung wie das geht. Aber such mal im C't Archiv bei heise.de nach dem Thema. Die hatten mal einen Bericht dazu gemacht.

by, Martin

[Bert]

@mohamed: vielleicht mal die vielen guten Anleitungen und Erklärungen zu ssh und asymetrischen Keys im allgemeinen durchlesen? ist ja nicht wirklich so schwer. Und denn root - Zugang brauchst Du nicht wirklich. Ich melde mich z.b. von Arbeit per ssh auf meinem Heimrechner ein und mach dann, wenn ich es brauchen, ein 'su' um superuser zu werden. Es macht zwar vielleicht nicht denn riesen Unterschied, aber ein bisserl schon.

[abi]

ok, also ich fasse mal zusammen.
ein offener port kann nur ausgenutzt werden wenn auch ein dienst an ihm horcht. dann versteh ich aber wirklich nicht was eine firewall bringen soll. klar, man kann halt z.b. nen ftp server nur fürs lan zur verfügung stellen, und fürs inet nicht, aber sonst?
wenn ich nur einen ftp laufen hätte, und der von überall zugreifbar sein soll, wozu dann eine firewall? die offenen ports sind sowieso net gefährlich. ???

Viele Exploits "binden" eine shell auf einen bestimmten port.
D.h.: Exploit->buffer overflow->code wird ausgeführt->bindshell auf port >1024 gestartet.

Eine Firewall verhindert nun z.b. (unter anderem) das der Cracker auf die Bindshell zugreifen kann, somit nützt ihm der Exploit nichts. Eine Firewall hat auch noch mehr optionen, z.B. kannst du auf einige Ports filter optionen setzen und so nur iP(ranges) darauf zugreifen lassen, die du denkst, dass vertrauenswürdig sind etc..

ein bufferoverflow. aha. das heißt der cracker versucht einen bufferoverflow zu erreichen, schreibt was in den speicherbereichs des rams, der diesem dienst zugewiesen wurde, und der code der in den ram geschrieben wurde wird dann ausgeführt? aber wie und wann wird der ausgeführt?

Meist wird ein sog. Shellcode erzeugt, der aus Assembler Befehlen zusammengesetzt ist (oder aus kleinen C Programmen die zu Assembler convertiert werden und aus welchen der Hacker/Cracker dann Shellcode produziert). Guck dich im Internet um, gibt tausende Tutorials dazu, ist aber nicht wirklich einfach das ganze (ohne grundlegende Assemblerkenntnisse wirst du nicht weit kommen).

ich hab nen sshd laufen, mir ssh. root zugang brauche ich, weil ich muss ja die maschine rooten. wie soll ich das sonst machen?

Als normaler User einloggen und dann per "su" auf den Root user, bzw auf irgend eine anderen Wechseln. Du kannst auch sudo verwenden um einzelne Befehle, die sonst nur der Super User ausführen darf, für normale Benutzer vergfügbar zu machen. Das wechseln user->root kannst du noch durch die "wheel" Gruppe und der wheel option in den PAM options regeln. Du kannst z.B. den wechsel auf den root user nur für bestimmte user oder gruppen gestatten.

wie meint ihr das mit dem key? also wenn ich von einer maschine das erste mal zugreife auf eine andere, dann fragt der mich immer nach einer bestätigung dass er diesen key nun speichert. kann man das am sshd so einstellen, dass er nur bekannte keys annimmt?

Du kannst dir per ssh-genkey einen Public sowie einen Private Key erstellen. Den Private Key kannst du mit einem Passwort versehen. Nun kopierst du deinen Public Key auf den Zielrechner (auf dem du dich einloggen willst) in die datei

Code: Alles auswählen

~/.ssh/authorized_keys

Wenn du nun per SSH mit dem Zielrechner eine Verbindung aufbaust, frägt der SSHD auf dem Zielrechner nur das Passwort, das du auf deinen Private SSH Key vergeben hast (den du unter keinen Umständen weitergeben solltest)

Du kannst dich somit auf vielen servern mit einem Passwort einloggen. Ein weiterer Vorteil ist, das es länger dauert das Passwort eines SSH Keys zu knacken, als per Brutforce user Logins.

Das ganze kann man dann mit ssh-agent so weit optimieren, das sich der ssh-agent für dich dein Passwort merkt (selbstverständlich nur bis zum nächsten reboot) und du dich somit schnell und einfach auf vielen Servern einloggen kannst.