Měl bych dotaz na zkušené administrátory serverů. Je možné přes děravý script na stránkách získat heslo k rootu celého serveru?
Měl bych dotaz na zkušené administrátory serverů. Je možné přes děravý script na stránkách získat heslo k rootu celého serveru?
Chameleon IT poptává: HTMl a CSS - jednoduchá úprava
Kotovy poptává: Hledám programátora Joomla
Levy459 poptává: Tvorba www stránek
primárně záleží pokud je děravý server, ne skript (bavíme -li se o php, ap.)
Heslo nikdy.
Pokud je administrátor blbej, dá se to.
příklad: sysadmin nastaví stejné heslo uživatele root v MySQL databázi, jako je heslo uživatele root pro celý systém. Jako třešničku na dortu to stejné heslo použije ve skriptu, aby mu umožnil přístup k té databázi. Pokud je ten skript děravý, heslo se dá jednoduše získat. Pokud je heslo stejné, máš r00t na serveru.
Řešime totiž jeden případ, kdy přes děravý formulář ZenCart měl někdo získat přístup k rootu serveru. Nebo alespoň takto zní vysvětlení správce serveru jak je možné, že se změnilo heslo k rootu serveru.
Podle logu probíhali pokusy o spuštění následujících příkazů:
passthru, system, exec, shell_exec, popen, proc_open, win_shell_execute,
win32_create_service a pak extension_loaded('ffi') && $windows a
extension_loaded('perl').
Je docela hrdinnej kousek pustit na "nehlídaný" server, zvlášť kde pojedou čuňárny jako zencart, Tebou zmiňované funkce. Správce serveru pověsit do průvanu!
Tyto funkce měli byt zakazane. To zda opravdu byly budeme řešit posleze. Mě spíš zajímá, zda je toto vůbec možné pomocí některé z těchto funkcí vytáhnout.
TEORETICKY to lze. Kdo ví jak to bylo nastavené celé...
Teoreticky je pomerne sirokej pojem. Vime ze utok neprovedl zadny amater. Nastesti zautocil na vicemene nepouzivany server. Vzdycky jsem vsak zil v tom, ze root je neco z jednotlive domeny nedotknutelneho.
Původně odeslal skranc
vubec.. to vis ze pres tohle muzes ziskat heslo k rootu :-) (neziskas ho primo, ale pomoci pokladani pasti ci jinych navnad to lze celkem snadno.. kdyz je ten, kdo se jako root prihlasuje dement, tak to zjistis docela rychle) .. nahodou jsem na podobne tema zakoncoval BC studium :-)
Pokud Ti rozumim spravne naprimo ho pomoci techto prikazu neziskas, ale pokud polozis timto scriptem past a nekdo, kdo zna pristup rootu se prihlasi pres Tvoji past heslo to odchytne je to tak?
A co na tom chcete řešit? Stalo se, vyměň správce (tohle byla jednoznačně chyba v zabezpečení serveru) a jdi dál...
Zbylo z toho operačního systému vůbec něco?
Konkretni kroky v tomto směru nechej na mě. Měnit správce je drahé a neznám všechny souvislosti. Toto mě zajímá jako člověka, který se více jak 10 let věnuje počítačům.
pokud je server uplne bez zabezpeceni, dalo by se to pustit i primo pomoci tech odkazu.. pokud ma alespon zakladni zabezpeceni server, muzes si pomoci techto "der" otevrit dvere... ted zalezi na strategii -> nastrazeni pasti a cekani, hledani a bourani dalsich der, spatne nastavena prava, .... linux server je komplexni zalezitost, kde staci jeden znak a muze byt vsechno spatne :-)
jak zde bylo psano, zalezi na konkretnim nastavenim serveru...
odpoved na Tvou otazku: ano, da se pomoci techto funkcni zmocnit roota :-)
PS: na to abych se stal rootem, kolikrat ani nemusim znat jeho heslo ... to je dulezita informace ktera tu zatim nepadla
Na cetne dotazy to hodim sem do diskuze sel po nas hacker s prezdivkou tn_scorpion. Nas server zcela jiste nestoji v obyvaku a nenastavoval ho student. Administratori nyni proveruji vsechny logy aby nalezli zpusob jak se vubec dostal dovnitr a jake kroky k tomu vyuzil, aby se tato bezpecnostni dira zavrela.
Touto diskuzi mi slo hlavne o to ziskat druhy pohled na vec, abych vedel ja osobne kdy je mi ze strany spravcu interpretovana vymluva a kdy fakt.
Pokud byly povoleny fce jez jsi zminoval, tak bych to videl jako prvni potencionalni "diru" v systemu...
Nevim zda byly povolene. Bylo to jen narychlo vytazene z logu funkci, ktere se pokousel spustit. Vsechny tyto funkce meli byt zakazane a pokud je nekdo nechal povolene nebude tezke toho nekoho dohledat :))
souhlas :-) ... ale je to tezky.. pokud mate nekoho v systemu a nevite jak dlouho tam je a co vsechno delal (resp. pokud si nejste jisti jestli to neniprofik) tak je dost tezky na nekoho hodit ze to zapnul.. pokud se dostal pres nejakou (jakoukoliv) diru do systemu.. mohl si tyto sluzby sam povolit.. a pokud ma root, mohl upravit logy, nahrat na nekoho ze to povolil (pod jeho username), nainstalovat rootkit, .....
je dobre si uvedomit, ze pokud ma nekdo root a vas admin se neciti byt mitnickuv nastupce, tak je lepsi cely server odstrihnout od vnejsiho sveta, zjistit co se kde napachalo a vse preinstlaovat (pokud by nahral utocnik rootkit a vy jste nechali server bezet s tim, ze zalepite neco co najdete - tak se typek uchechta k smrti) ...
dale je dobry dat si bacha na tzv. backdoor trap od utocnika :-) hodne hackeru (ac toto slovo nepouzivam rad v tomhle vyznamu, je uz tak zazite ze ho budu prznit dal taky) totiz nastavi adminum-hlupakum falesnou diru na kterou jeste treba nejak okate upozorni a opravdovej backdoor tim tak utaji :-) ... hacknutej server je beh na dl. trat ..
Vicemene vse dulezite bylo napsano. Jen teda spis takovou poznamecku a radu: jakmile najdete zpusob pruniku, tak na serveru provest cisty reinstall. Jednou kompromitovany system jiz nikdy neni bezpecny, at se snazi clovek sebevic.
A to k tomu vymenu spravce, myslim, ze by mel dostat sanci na hajeni se :) Prece jenom to nemusela byt primo jeho chyba. Ale to se ukaze.
Omlouvám se, v žádném případě ti do toho nechci kecat. Nelze totiž s určitostí říct, jestli se tam opravdu dostal pomocí výše zmíněných děr. Je to všeobecná nevýhoda OS scriptů, každý má přístup ke zdrojáku.
Každopádně doporučuji co psal kolega výše. Server pravděpodobně celý přeinstalovat; bude to nejjednodušší. Nepředpokládám, že by byl tak hloupý a něco zanechal v logu, i když není na škodu se podívat. A nezapomeň zkontrolovat crontab, ze zjištných důvodů.
Jak už jsem psal toto je stary v zasade vyrazeny server, na kterem visi jen nejake prehistoricke staticke stranky. V soucasne chvili jsme jej posadili za hardwarovy firewall a monitorujeme naprosto vse co dela obema smery. Jde nam hlavne o to zjistit kde mame logisticke pochybeni nez najit konkretniho vinika.
pokud je ten server v siti s ostatnimi servery .... tak se nejedna v zadnem pripade o "v zasade vyrazeny server, na kterem visi jen nejakej prehistoricke stat. stranky" !!!! to je dobre si uvedomit !
EDIT: to ze je nyni za FW a monitorujete veskerou aktivitu je krok dopredu :-)
Malinko tu nezaznělo, že se zde míchají dvě věci - získání hesla roota a později zmíněná změna hesla roota.
Obecně první bod je poněkud pracnější než druhej, je potřeba získat přístup k souboru s hashi hesel, pokud jsou hashe počítány bez salt, pak šup šup rainbowtables, heslo je pravděpodobně doma, pokud je přisoleno, pak si to útočník může zkusit nechat spočítat (tj. vygenerovat si vlastní rainbow table s danym saltem a hledat kolizi).
V případě druhém je to na blbě zabezpečeném serveru ještě jednodušší, například web server běží jako root, útočník spustí passwd a je doma.
Poznámka pod čarou - HW firewall není většinou žádná zázračná meducína, většinou se vyrábí tak, že se vezme nějakej MIPS, na něm se spustí hrozně starej Linux nebo v lepším případě BSD a k tomu se vytisknou lesklý marketingový brožůrky, čest výjimkám.
jen pro informaci - byl ten zencart a vse v nem v poslendi verzi?
Treba preveriť php.ini, to že je zmineka o tých funkciách v logoch, ešte nič nemusí znamenať, mohlo tam byť len informácia, že dotyčný sa snažil použiť zakázanú funkciu. Ťažko takto hodnotiť ako to prebehlo, tých spôsobov je veľmi veľa. Mohlo to byť slabé heslo alebo rovnaké heslo ako v nejakom súbore, ktorý sa dal s danými právami prečítať, útočník mohol na server dostať treba skrz chybu v zencart nejaký kód a vykonať, prípadne zneužil chybu v PHP a spustiť svoj kód prípadne zneužiť inej chyby v systéme a PHP bola len brána... Prípadne to mohol byť aj niekto, kto s tým serverom pracoval (nespokojný zamestnanec, ...) ... Ako to prebehlo, dokáže zodpovedať len nejaký bezpečnostný auditor, tu na webtrhu je to len veštenie z gule :)
Díky všem za odpovědi, je mi jasne, že se jedna jen o věštění z koule, protože neznate konkretni fakta. V každém případě beru tento útok pozitivně. Šel na nepoužívaný server. Nenapáchal téměř žádné škody a donutil nás k takové čistce, bezpečnostní prověrce a zabezpečení ostatních serverů jako snad nic jiného předtím.
Jinak jako HW firewall používáme Cisco ASA 5505.
V zasadě jsem založil toto forum proto, aby si zodpověděl otazku zda je to možné a pochopil jsem, že to možné je. Server je nyní pod drobnohledem hlavně proto, abychom mohli analyzovat další kroky útočníka, tedy kde si nechá díru, kam se připojí atd...Zatim to však vypada, že jsme pro něj byli kromě asi 700 jinych serveru, ktere vcera po svete zboural jen dalsi skalp a nema duvod se vracet.
---------- Příspěvek doplněn 09.11.2011 v 00:17 ----------
Díky všem za odpovědi, je mi jasne, že se jedna jen o věštění z koule, protože neznate konkretni fakta. V každém případě beru tento útok pozitivně. Šel na nepoužívaný server. Nenapáchal téměř žádné škody a donutil nás k takové čistce, bezpečnostní prověrce a zabezpečení ostatních serverů jako snad nic jiného předtím.
Jinak jako HW firewall používáme Cisco ASA 5505.
V zasadě jsem založil toto forum proto, aby si zodpověděl otazku zda je to možné a pochopil jsem, že to možné je. Server je nyní pod drobnohledem hlavně proto, abychom mohli analyzovat další kroky útočníka, tedy kde si nechá díru, kam se připojí atd...Zatim to však vypada, že jsme pro něj byli kromě asi 700 jinych serveru, ktere vcera po svete zboural jen dalsi skalp a nema duvod se vracet.
