Linux Server Freak gesucht ;)

Moderator: Aktive Fachschaft

TheDU-K
Windoof-User
Windoof-User
Beiträge: 25
Registriert: 4. Okt 2004 23:08
Wohnort: Darmstadt
Kontaktdaten:

Linux Server Freak gesucht ;)

Beitrag von TheDU-K »

Hi Leute!

Ich brauch dringend Hilfe ...

Folgendes Szenario:
Ich bin in einem Team, dass einen privaten WoW Server mit durchschnittlich 700 Spielern am Laufen hält (aber pssst! nicht weiter sagen).

Wir haben ein Woltlab Burning Board 3, einen netten QuadCore Server und eignetlich von Servern nicht wirklich Ahnung. Uns interessiert ja eher das Spiel und dessen Entwicklung und weniger die Plattform darunter.

Heute hat es "irgendwer" geschafft die Foren-Passwörter unserer Admins zu "erraten", kurz drauf haben wir in einer "Info-Box" das hier gefunden:
http://paste2.org/p/124727/
Naja... was soll ich sagen: ANGST!

Wir können nur raten was das ist und haben noch weniger Ahnung wie wir uns schützen können.
Vielleicht noch ein Schocker? Wir haben noch nicht mal IPTables am laufen, weil keiner weiß wie man das konfiguriert.

Wenn da draußen *wink* also irgendwo jemand sitzt, der ein bischen Ahnung davon hat und Lust ein paar Minuten darauf zu verschwenden ein paar armen Hilflosen, die eigentlich was gaaaaanz anders interessiert als der Server an sich, ein bischen auf die Sprünge zu helfen...

Vielen Dank im Vorraus!

fetzer
Kernelcompilierer
Kernelcompilierer
Beiträge: 522
Registriert: 1. Okt 2008 17:18

Re: Linux Server Freak gesucht ;)

Beitrag von fetzer »

Einen Server zu administrieren ist kein Job für "ein paar Minuten"...

Aber ein paar Tips:
- Durchsucht eure Log-Dateien nach Auffälligkeiten, z.b. Dateinamen mit "c99" im Namen, häufige Zugriffe von best. IPs, "komische" Anforderungen (meistens in der Form datei.php?id='%20OR%20.... deutet auf eine SQL Injection hin!).
- Ändert sofort alle Passwörter des Servers, fahrt am besten für ein paar Tage das Forum runter, um wirklich alle Dateien im Webroot überprüfen zu können.
- Installiert (Schutz-) Software: IDS, Packetfilter, (Kernel/Software) Updates, ....
- Fahrt den (Web-)Server am besten solange runter, bis ihr einen Administrator gefunden habt, der sich um euren Server kümmern kann. Ansonsten kann es schnell zur Falle für euch werden. Kostenlos macht das keiner, dafür muss man mind. 1-2h am Tag Zeit aufbringen (=30h/Monat), bei solchen Vorfällen sogar weitaus mehr. Serverforensik ist hierbei ein großes Gebiet.
- Schaut nach, welche Software läuft, auf welchen Ports gelauscht wird, usw.
- Kleine Linksammlung von Linux-Club
(Mit forensischen Methoden, wie z.b. MemoryDumps, etc, fang ich jetzt nicht an, da gibts genug Einträge bei Google ;))

Schöner Studentenjob für 100€-200€ im Monat ;)

mehlvogel
Computerversteher
Computerversteher
Beiträge: 359
Registriert: 4. Mär 2004 14:56
Kontaktdaten:

Re: Linux Server Freak gesucht ;)

Beitrag von mehlvogel »

Ihr könnt spaßeshalber mal chkrootkit oder rkhunter laufen lassen. Ins Blaue geraten würde ich darauf tippen das schon ein root-Kit bei euch installiert ist, dann hilft nicht mehr viel außer das Ding neu aufzusetzen.
"Das Problem an Eleganz ist, dass man hart arbeiten muss um sie zu erreichen und eine gute Bildung braucht um sie zu erkennen" -- E. W. Dijkstra

Benutzeravatar
Steph
Windoof-User
Windoof-User
Beiträge: 25
Registriert: 4. Okt 2004 15:28

Re: Linux Server Freak gesucht ;)

Beitrag von Steph »

Hallo,
wenn man den Einbruch nicht genau nachvollziehen kann (Erlangung von User oder Root-Rechten?), bleibt nichts Anderes übrig als das System neu aufzusetzen. Forensik zu betreiben ist ziemlich zeitintensiv und erfordert spezielles Fachwissen, was meistens teuer bezahlt wird. Außerdem kann man sich nicht sicher sein, dass chkrootkit etc. alle installierten Rootkits findet und auch false positives produzieren kann.

ice-breaker
Sonntagsinformatiker
Sonntagsinformatiker
Beiträge: 216
Registriert: 14. Okt 2008 17:56

Re: Linux Server Freak gesucht ;)

Beitrag von ice-breaker »

da er nur beschreibt, dass in seinem wbb-Forum das Problem aufgetreten ist, kann es auch gut sein, dass einfache eine Schwachstelle im wbb bzw. einem der (wahrscheinlich massenhaft) installierten Plugins ausgenutzt wurde.
Eine SQL-Injection in irgendeinem Plugin und sie sind doch schon drinne.

Muss ja nicht der Server betroffen sein ;)
Trotzdem ist das Verhalten mit dem Server natürlich grob fahrlässig.

Sebastian Hartte
Sonntagsinformatiker
Sonntagsinformatiker
Beiträge: 236
Registriert: 15. Apr 2004 17:57

Re: Linux Server Freak gesucht ;)

Beitrag von Sebastian Hartte »

ice-breaker hat geschrieben:da er nur beschreibt, dass in seinem wbb-Forum das Problem aufgetreten ist, kann es auch gut sein, dass einfache eine Schwachstelle im wbb bzw. einem der (wahrscheinlich massenhaft) installierten Plugins ausgenutzt wurde.
Eine SQL-Injection in irgendeinem Plugin und sie sind doch schon drinne.

Muss ja nicht der Server betroffen sein ;)
Trotzdem ist das Verhalten mit dem Server natürlich grob fahrlässig.
Da man durch das Knacken des Webservers Code unter dem User des Webservers ausführen kann und unbekannt ist welche Kernel-Version auf dem Server lief ist es durchaus möglich dass ein lokaler Exploit genutzt wurde um code als root auszuführen und damit dann ein root-Kit zu installieren. Alles schon gesehen ;-)

Gruß,
Sebastian

ice-breaker
Sonntagsinformatiker
Sonntagsinformatiker
Beiträge: 216
Registriert: 14. Okt 2008 17:56

Re: Linux Server Freak gesucht ;)

Beitrag von ice-breaker »

Sebastian Hartte hat geschrieben:
ice-breaker hat geschrieben:Da man durch das Knacken des Webservers Code unter dem User des Webservers ausführen kann
mag sein für Port 80 braucht man auf Linux Rootrechte, aber die Apache-Child-Threads laufen als normale Nutzer, mit sehr restriktiven Rechten, wie du so rootkits installieren willst, oder Software als root ausführen willst, frage ich mich da sehr stark.

Sebastian Hartte
Sonntagsinformatiker
Sonntagsinformatiker
Beiträge: 236
Registriert: 15. Apr 2004 17:57

Re: Linux Server Freak gesucht ;)

Beitrag von Sebastian Hartte »

ice-breaker hat geschrieben:mag sein für Port 80 braucht man auf Linux Rootrechte, aber die Apache-Child-Threads laufen als normale Nutzer, mit sehr restriktiven Rechten, wie du so rootkits installieren willst, oder Software als root ausführen willst, frage ich mich da sehr stark.
Zur ersten Aussage: Ich schrieb ja auch "User des Webservers" und meinte damit www-run oder ähnliches.

Zur zweiten Aussage: Es gab in älteren Versionen des Linux Kernels mehrere Schwachstellen [1], die (unter bestimmten Bedingungen) das Ausführen von Code als root erlaubten, wenn man bereits Code als nicht-privilegierter User ausführen konnte (Siehe z.B. "Privilege Escalation" bei Wikipedia).

Das Problem in diesem Fall ist, dass womöglich nach dem Einbruch in den Webserver eine solche lokale Schwachstelle ausgenutzt wurde um ein Root-Kit zu installieren.

Gruß,
Sebastian

[1] Du kannst mal nach "privilege escalation linux kernel" googeln. Da gab es in der Vergangenheit einige Bugs in dieser Richtung.

*edit*: Das beschränkt sich natürlich nicht nur auf den Linux-Kernel sondern erstreckt sich auf einige Programme die root gehören und für die das "set user id"-bit gesetzt ist (z.B. sudo u.ä.).

Benutzeravatar
foo
Endlosschleifenbastler
Endlosschleifenbastler
Beiträge: 179
Registriert: 22. Okt 2004 17:59

Re: Linux Server Freak gesucht ;)

Beitrag von foo »


Benutzeravatar
Absolut Lord
BASIC-Programmierer
BASIC-Programmierer
Beiträge: 148
Registriert: 7. Nov 2004 23:54

Re: Linux Server Freak gesucht ;)

Beitrag von Absolut Lord »

ich schließe mich hier Steph und foo vollkommen an: der server gehört komplett neu aufgesetzt.
vll wäre es auch am besten, wenn ihr das einen machen lassen würdet, der ahnung, zeit und lust hat das zu machen. das wird sicherlich was kosten, aber bei ca. 700 leuten ist es doch eine überlegung wert.
... if a machine, a terminator, can learn the value of human life, maybe we can too ...

Antworten

Zurück zu „Offtopic“