Egy hack margójára

Kb. egy hete "feltörték" az egyik általam karbantartott gépet és botnet-zombivá tették. Ennek az esetnek a margójára írnék néhány sort...

( kikke | 2009. 10. 05., h – 17:55 )

•••••

És közös lónak túrós a csusza!

( bimlas | 2009. 10. 05., h – 17:57 )

Ugyan 100%-ig nem fogtam fel, hogy mit es hogy kovettel vissza, viszont nagyon tetszik, hogy belelathatok egy kicsit egy 'nyomozas' hatterebe. Ha van meg ilyen torteneted / esetleirasod, azt szivesen olvasnam. :)
--
Azt akarom, hogy az emberek ne kenyszerbol tanuljanak, hanem azert, mert tudni akarnak.
Ui.: Kezdo Linux-os vagyok, emberi nyelven valaszoljatok! Koszi! :)

( o_O v | 2009. 10. 05., h – 18:15 )

Grsec ? Suexec ? Fastcgi ? ilyen problema mar is nem fordul elo.
--
1 leszel vagy 0 élő vagy hulla!

"Nem hiszek a civilizacios csecsebecsekben..." :)

Komolyra forditva, ez egy - mint emlitettem - hobbigep, amit kb. 10 ember dobott ossze, mindenfele hardverekbol. Termeszetesen mindenki, aki valamit is adott bele, hasznalni akarja, lehetoleg minel elmebetegebb dolgokra. Es persze az adminjanak hiszi magat, mert hogy "az en gepem is". Tehat nyilvan meg azert is kozelharcot kellett vivnom, hogy valamifele iptables tuzfal-szeruseg legyen, es ne totalis atjarohaz, ki merre lat.

-=- Mire a programozó: "Na és szerintetek ki csinálta a káoszt?" -=-

Az informatikaba nem sok hit van :) Itt hasznalni kell oket.Sokan hiszik a Linux biztonsagosabb mint barmelyik mas operacios rendszer messze se az.
Az meg elege nagy melle fogasnak tunik ,hogy mindenki a www-data user-t hasznalja siman lehet session-t lopni de mi az mar ,hogy a user kilep a sajat directorybol?! itt elegge sok melle loves van.Ezt nem bantas keppen irom de mindig van mit tanulni.
--
1 leszel vagy 0 élő vagy hulla!

Mar megszoktam, hogy az egesz gep egy folyamatos es elesben zajlo Kobayashi Maru teszt, de annyira nem erdekel. :) Egyebkent mint irtam, hobbiadminolasrol van szo, mellesleg az utobbi ket es fel evben 3 uj oprendszert es 2 uj programozasi nyelvet tanultam meg, munka cimszoval. Valahogy mar nincs energiam a legfrissebb webes agyverzest is kovetni. Egyebkent szerintem egy default-kozeli rendszer toresebol tobbet lehet tanulni, mintha az ember felhuz egy eroditmenyt, bebetonozza magat, aztan varja, hogy mi tortenik... Hat ez van. Azert a gep utodjat, ami valoszinuleg hamarosan szolgalatba all, az alapoktol maskeppen fogom epiteni, jogosultsagok es hasonlok szempontjabol. Felteve ha nem passzolom le az egeszet valaki masnak, akinek meg van turelme ezzel szopni. :)

-=- Mire a programozó: "Na és szerintetek ki csinálta a káoszt?" -=-

( eax | 2009. 10. 05., h – 19:04 )

"A legdurvább Linux kernelvédelem sem ér szinte semmit napjaink webes környezeteiben"

Es ha elfelejtetted volna fixelni a kernelt, es a local root exploitot a pax fogta volna meg, akkor most nagy es bolcs tanulsagkent mindennek pont az ellenkozejet olvashattuk volna?

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

( Benjamin v | 2009. 10. 05., h – 19:34 )

Nekem az elmult nehany honapban nekem is volt hasonlo elmenyem. Log fileokat lementettem, meg minden cuccot amit felpakoltak a gepre, de nem volt meg idom hogy atnezzem. Ha sor kerul ra, akkor megosztom en is a tapasztalataimat.

-----
“Firefox, you say? No I don't play Pokémon”

( systream | 2009. 10. 05., h – 19:53 )

Hehe kipróbáltam, mert magam is használom phpMyAdmin -t igaz jól eldugva.

79.118.xx.xx - - [26/Sep/2009:15:41:22 +0200] "GET //phpmyadmin/config/config.inc.php?c=uptime

Erre a szerver nem reagált, de akárt azt is mondthatta volna, amit a sztaki szórtár felolvasó robojat:
"Jajj-jajj! Hiba történt a lekérdezés közben. Elnézést kérjük!" :)

A másik: ha disabled function az exec és társai phpben már is be van foltozva ez a rés ha jól gondolom. Ugye?

Azért annyit hozzátennék, hogy alapból a phpmyadmin-nak a config.inc.php-ja nem sebezhető erre a fajta támadásra, hanem már a behatolás után módosítja meg a progi a phpmyadmin-nak ezt a file-ját, hogy a c?= paramétert képes legyen fogadni.

Hasonló volt 1ik kollégánál itt is pár hónapja: http://hup.hu/cikkek/20090629/phpmyadmin_adminisztratorok_vigyazat

És az a baj, hogy sok más gép is van amelyet pont így nyomnak meg, és észre se veszik az adminisztrátorok. Holott ez amit fent leírt Chain-Q azt kell mondjam, hogy egy teljesen szabványos támadás volt.

Akit esetleg még érdekel az exploit működése az itt nézzen körbe:
http://www.milw0rm.com/exploits/8921
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..

( suckit | 2009. 10. 05., h – 21:34 )

"4., Mivel a fenti scriptnyelvek mindenütt azonosak, kb. "az ellen nem véd" címszóval egy hasonló FreeBSD telepítés is ugyanígy bevérzett volna. (Lásd ismét a security through obscurity részt fentebb.) Ez azért fontos, mert néhány lelkes agitátornak köszönhetően gondolkodtam a FreeBSD-re váltáson. Ettől ez még nincs kizárva persze, csak fontos tanulság az az ellen nem véd rovatban."

Használj OpenVMS-t, a script kiddiek (de még a komoly hozzáértők) nagy része azt sem fogja tudni hogy kell kilistázni egy könyvtárat. :)

suckIT szopás minden nap! HP backup system ROM

( uid_17626 | 2009. 10. 05., h – 21:43 )

Én ezért adtam el anno a web-hosting szerveremet userekkel együtt. Nagyon sok időmet megette.
Azóta a saját szervereimen 1 db user van /bin/bash a többi /bin/false vagy virtual. Root nincs.
Az opensource cuccokra, mint pl a phpmyadmin rányomok egy .htaccess -t és csókolom. A többi saját kód, így a scriptkiddie-knek nem vagyok pálya.

( Hiena v | 2009. 10. 05., h – 23:33 )

Dettora ugyanilyen esetem volt az AVSTAT nevu borzalommal. Ott is azt hasznaltak ki, hogy megfeleloen parameterezve a php script, kepes volt parancsokat futtatni. Azota valahogy nem bizok a kulso kodokban...
--
"Maradt még 2 kB-om. Teszek bele egy TCP-IP stacket és egy bootlogót. "

( systream | 2009. 10. 06., k – 06:46 )

Egyik levelező listán is hasonló a téma. Ott olvastam egy jópofa megoldást :):

"Mi ugy oldottuk meg a lenyomozast, hogy a wget-et amit hasznalt a letolteshez, atneveztuk wgetwget-re, es egy kis shellscriptet raktunk a helyere, ami logolta az osszes inditasi parameteret, az environmentet, meg amit lehetett, es kilepett. Ekkor lett meg a ludas."