Lze přes script na stránkách získat heslo k rootu?

Napsal skranc;720856

Na cetne dotazy to hodim sem do diskuze sel po nas hacker s prezdivkou tn_scorpion. Nas server zcela jiste nestoji v obyvaku a nenastavoval ho student. Administratori nyni proveruji vsechny logy aby nalezli zpusob jak se vubec dostal dovnitr a jake kroky k tomu vyuzil, aby se tato bezpecnostni dira zavrela.

Touto diskuzi mi slo hlavne o to ziskat druhy pohled na vec, abych vedel ja osobne kdy je mi ze strany spravcu interpretovana vymluva a kdy fakt.

Pokud byly povoleny fce jez jsi zminoval, tak bych to videl jako prvni potencionalni "diru" v systemu...

Napsal NSBM;720859

Pokud byly povoleny fce jez jsi zminoval, tak bych to videl jako prvni potencionalni "diru" v systemu...

Nevim zda byly povolene. Bylo to jen narychlo vytazene z logu funkci, ktere se pokousel spustit. Vsechny tyto funkce meli byt zakazane a pokud je nekdo nechal povolene nebude tezke toho nekoho dohledat :))

souhlas :-) ... ale je to tezky.. pokud mate nekoho v systemu a nevite jak dlouho tam je a co vsechno delal (resp. pokud si nejste jisti jestli to neniprofik) tak je dost tezky na nekoho hodit ze to zapnul.. pokud se dostal pres nejakou (jakoukoliv) diru do systemu.. mohl si tyto sluzby sam povolit.. a pokud ma root, mohl upravit logy, nahrat na nekoho ze to povolil (pod jeho username), nainstalovat rootkit, ..... je dobre si uvedomit, ze pokud ma nekdo root a vas admin se neciti byt mitnickuv nastupce, tak je lepsi cely server odstrihnout od vnejsiho sveta, zjistit co se kde napachalo a vse preinstlaovat (pokud by nahral utocnik rootkit a vy jste nechali server bezet s tim, ze zalepite neco co najdete - tak se typek uchechta k smrti) ... dale je dobry dat si bacha na tzv. backdoor trap od utocnika :-) hodne hackeru (ac toto slovo nepouzivam rad v tomhle vyznamu, je uz tak zazite ze ho budu prznit dal taky) totiz nastavi adminum-hlupakum falesnou diru na kterou jeste treba nejak okate upozorni a opravdovej backdoor tim tak utaji :-) ... hacknutej server je beh na dl. trat ..

Vicemene vse dulezite bylo napsano. Jen teda spis takovou poznamecku a radu: jakmile najdete zpusob pruniku, tak na serveru provest cisty reinstall. Jednou kompromitovany system jiz nikdy neni bezpecny, at se snazi clovek sebevic.A to k tomu vymenu spravce, myslim, ze by mel dostat sanci na hajeni se :) Prece jenom to nemusela byt primo jeho chyba. Ale to se ukaze.

Napsal skranc;720849

Konkretni kroky v tomto směru nechej na mě. Měnit správce je drahé a neznám všechny souvislosti. Toto mě zajímá jako člověka, který se více jak 10 let věnuje počítačům.

Omlouvám se, v žádném případě ti do toho nechci kecat. Nelze totiž s určitostí říct, jestli se tam opravdu dostal pomocí výše zmíněných děr. Je to všeobecná nevýhoda OS scriptů, každý má přístup ke zdrojáku. Každopádně doporučuji co psal kolega výše. Server pravděpodobně celý přeinstalovat; bude to nejjednodušší. Nepředpokládám, že by byl tak hloupý a něco zanechal v logu, i když není na škodu se podívat. A nezapomeň zkontrolovat crontab, ze zjištných důvodů.

Jak už jsem psal toto je stary v zasade vyrazeny server, na kterem visi jen nejake prehistoricke staticke stranky. V soucasne chvili jsme jej posadili za hardwarovy firewall a monitorujeme naprosto vse co dela obema smery. Jde nam hlavne o to zjistit kde mame logisticke pochybeni nez najit konkretniho vinika.

Napsal skranc;720880

Jak už jsem psal toto je stary v zasade vyrazeny server, na kterem visi jen nejake prehistoricke staticke stranky. V soucasne chvili jsme jej posadili za hardwarovy firewall a monitorujeme naprosto vse co dela obema smery. Jde nam hlavne o to zjistit kde mame logisticke pochybeni nez najit konkretniho vinika.

pokud je ten server v siti s ostatnimi servery .... tak se nejedna v zadnem pripade o "v zasade vyrazeny server, na kterem visi jen nejakej prehistoricke stat. stranky" !!!! to je dobre si uvedomit !EDIT: to ze je nyni za FW a monitorujete veskerou aktivitu je krok dopredu :-)

Malinko tu nezaznělo, že se zde míchají dvě věci - získání hesla roota a později zmíněná změna hesla roota. Obecně první bod je poněkud pracnější než druhej, je potřeba získat přístup k souboru s hashi hesel, pokud jsou hashe počítány bez salt, pak šup šup rainbowtables, heslo je pravděpodobně doma, pokud je přisoleno, pak si to útočník může zkusit nechat spočítat (tj. vygenerovat si vlastní rainbow table s danym saltem a hledat kolizi). V případě druhém je to na blbě zabezpečeném serveru ještě jednodušší, například web server běží jako root, útočník spustí passwd a je doma. Poznámka pod čarou - HW firewall není většinou žádná zázračná meducína, většinou se vyrábí tak, že se vezme nějakej MIPS, na něm se spustí hrozně starej Linux nebo v lepším případě BSD a k tomu se vytisknou lesklý marketingový brožůrky, čest výjimkám.

jen pro informaci - byl ten zencart a vse v nem v poslendi verzi?

Treba preveriť php.ini, to že je zmineka o tých funkciách v logoch, ešte nič nemusí znamenať, mohlo tam byť len informácia, že dotyčný sa snažil použiť zakázanú funkciu. Ťažko takto hodnotiť ako to prebehlo, tých spôsobov je veľmi veľa. Mohlo to byť slabé heslo alebo rovnaké heslo ako v nejakom súbore, ktorý sa dal s danými právami prečítať, útočník mohol na server dostať treba skrz chybu v zencart nejaký kód a vykonať, prípadne zneužil chybu v PHP a spustiť svoj kód prípadne zneužiť inej chyby v systéme a PHP bola len brána... Prípadne to mohol byť aj niekto, kto s tým serverom pracoval (nespokojný zamestnanec, ...) ... Ako to prebehlo, dokáže zodpovedať len nejaký bezpečnostný auditor, tu na webtrhu je to len veštenie z gule :)

Díky všem za odpovědi, je mi jasne, že se jedna jen o věštění z koule, protože neznate konkretni fakta. V každém případě beru tento útok pozitivně. Šel na nepoužívaný server. Nenapáchal téměř žádné škody a donutil nás k takové čistce, bezpečnostní prověrce a zabezpečení ostatních serverů jako snad nic jiného předtím. Jinak jako HW firewall používáme Cisco ASA 5505. V zasadě jsem založil toto forum proto, aby si zodpověděl otazku zda je to možné a pochopil jsem, že to možné je. Server je nyní pod drobnohledem hlavně proto, abychom mohli analyzovat další kroky útočníka, tedy kde si nechá díru, kam se připojí atd...Zatim to však vypada, že jsme pro něj byli kromě asi 700 jinych serveru, ktere vcera po svete zboural jen dalsi skalp a nema duvod se vracet.---------- Příspěvek doplněn 09.11.2011 v 00:17 ----------Díky všem za odpovědi, je mi jasne, že se jedna jen o věštění z koule, protože neznate konkretni fakta. V každém případě beru tento útok pozitivně. Šel na nepoužívaný server. Nenapáchal téměř žádné škody a donutil nás k takové čistce, bezpečnostní prověrce a zabezpečení ostatních serverů jako snad nic jiného předtím. Jinak jako HW firewall používáme Cisco ASA 5505. V zasadě jsem založil toto forum proto, aby si zodpověděl otazku zda je to možné a pochopil jsem, že to možné je. Server je nyní pod drobnohledem hlavně proto, abychom mohli analyzovat další kroky útočníka, tedy kde si nechá díru, kam se připojí atd...Zatim to však vypada, že jsme pro něj byli kromě asi 700 jinych serveru, ktere vcera po svete zboural jen dalsi skalp a nema duvod se vracet.