über sshd Server gehackt. Welche Rechte hatte der böse Bube?

kleine Ratze · Beitrag von **kleine Ratze** » 18.06.2005 11:49:37

Hallo,
irgendwie läuft immo alles schief. nach einem vermurksten dist-upgrade von woody auf sarge ( hatte irgendwie 10 Tage keine securityupdates bekommen),
wurde nun mein Server gehackt. es ist anscheinend nicht viel passiert, nur das ich den Typen entdeckt habe.
Ich Frage mich nur was die Ursache war.Der Rechner wird natürlich eh platt gemacht..

Bei einem Netstat -a hatte ich folgende Ausgabe

Code: Alles auswählen

Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State
tcp        0      0 *:webcache              *:*                     LISTEN
tcp        0      0 *:tproxy                *:*                     LISTEN
tcp        0      0 *:ftp                   *:*                     LISTEN
tcp        0      0 *:8181                  *:*                     LISTEN
tcp        0      0 *:ssh                   *:*                     LISTEN
tcp        0      0 *:8182                  *:*                     LISTEN
tcp        0    flubu.inte:ssh mail.gips.com.tw:40776  ESTABLISHED 
tcp        0    flubu.inte:ssh c2021.adsl.hans:32822 ESTABLISHED
udp        0      0 *:27009                 *:*
udp        0      0 *:27010                 *:*
udp        0      0 *:27015                 *:*
udp        0      0 *:27016                 *:*
Active UNIX domain sockets (servers and established)
Proto RefCnt Flags       Type       State         I-Node Path
unix  2      [ ACC ]     STREAM     LISTENING     365981   /var/run/.nscd_socket
unix  5      [ ]         DGRAM                    328623   /dev/log
unix  3      [ ]         STREAM     CONNECTED     706616
unix  3      [ ]         STREAM     CONNECTED     706615
unix  2      [ ]         DGRAM                    701207
unix  3      [ ]         STREAM     CONNECTED     701206
unix  3      [ ]         STREAM     CONNECTED     701205
unix  2      [ ]         DGRAM                    331052
unix  2      [ ]         DGRAM                    328788

Ja und "mail.gips.com.tw" das bin nicht ich.
Dummerweise hatte ich die ps aux Ausgabe nicht gespeichert (ärger)

Aber ich weiss das sie ungefähr so aussah:

Code: Alles auswählen

sshd   xxxxx  xx  xx xx  sshd:irgendeinname [priv]

ein W zeigte nur mich als user

Meine Frage: Da als user sshd auftaucht, welche Rechte hatte der Angreifer, hatte er eine shell?.Es muss wohl ein Exploit gewesen sein.Hätte eiine besser Config mich davor geschützt? ( zb. private schlüssel? kein PasswordLogin?)Oder ist man bei einem Exploit machtlos.

knecht · Beitrag von **knecht** » 19.06.2005 12:57:05

Wenn es ein exploid war kann es alles an Berechtigungen sein die er sich geholt hat, kommt dann eben auf den exploid an. Warum bist du dir so sicher das er nicht einfach per BruteForce ein Passwort von dir bekommen hat ?

Du kannst mal (wenn der Typ etwas blöde war) schauen welche Dateien nach Änderungsdaten geändert wurden, aber da ist auch viel vom System selber mit dabei.

Das hilft dir zwar jetzt nicht mehr, aber es gibt einige Intrusion Dedection Systems (IDS), die dir z.B. alle geänderten Dateien aufzeigen, oder alle relevanten Logeintrage sammeln und dir per EMail schicken:

Schau dir das hier mal an:
http://www.neoberserker.de/phpBB2/viewt ... highlight=

gruss
Sebastian

kleine Ratze · Beitrag von **kleine Ratze** » 20.06.2005 10:39:14

Danke ich werde mich mal mit diesen ids beschäftigen. Warum ich darauf komme das es ein Exploit war? Die ps aux ausgabe zeigte einen ssh-Prozess an der dem User sshd gehörte.
Gibt es eigentlich eine Möglichkeit sshd nicht als root zu starten?

lorddarkmage · Beitrag von **lorddarkmage** » 20.06.2005 20:28:22

Da hab ich mir schonmal folgendes gedacht...
Wenn ich auf dem Host einen vServer installiere und vom Host SSH-zugriff nur vom vServer her zulasse, dann könnte theoretisch doch nicht mehr passieren, als dass der Bösewicht den Zugang zum vServer bekommt und Ende. Oder? Wenn ich per Iptables sämtlichen Netzverkehr vom vServer unterbinde, außer SSH, dann kann er mit dem vServer ja auch nichts anfangen.

Was spricht dageben? Ideen?

MfG
LordDarkmage

smashie · Beitrag von **smashie** » 20.06.2005 22:25:24

dass du dann nichtmehr aufs host system kommst?

lorddarkmage · Beitrag von **lorddarkmage** » 21.06.2005 16:09:59

Nein, das Hostsystem connectest du ja über den vServer. Vorteil ist, dass man den Host nicht direkt connecten kann. Man geht ja nicht davon aus, dass auf dem Host ein vServer läuft über den man an ihn ran kommt.

kleine Ratze · Beitrag von **kleine Ratze** » 23.06.2005 15:06:08

Das Hostsystem connectet man über den V-Server?
Wo ist den dann da die Sicherheit, wenn man aus dem v-server herauskommen kann

lorddarkmage · Beitrag von **lorddarkmage** » 23.06.2005 19:52:34

Also ich dachte mir, dass man den vServer einzig und alleine zur Verbindung zum Host benutzt. Der soll zu nichts anderem nutze sein. Das Hostsystem bietet allerdings alle üblichen Dienste an. MIr geht es darum, dass man nicht einfach den Host mit SSH connecten kann, sondern erstmal wissen muss, dass man über einen "anderen" Server gehen muss.

Naja, ist nur ne Idee... Da muss man sich jetzt nicht dran aufhalten.