Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
10000, wie als default vorgegeben. 4 Wochen nach Installation war das System geknackt,<br />
<strong>und</strong> der User root gelöscht.<br />
Was war passiert ?<br />
Ein Surfer im Netzwerk hatte eine Seite geladen, die aus 2 Frames bestand <strong>und</strong> durch<br />
JAVA(SKRIPT) ergänzt war. Netscape baute 2 Verbindungen auf, eine in das Internet,<br />
<strong>und</strong> eine zur <strong>Firewall</strong>. Hier öffnete ein JAVA-Applet den Port 10000, loggte sich als admin<br />
mit dem Paßwort admin ein <strong>und</strong> startete das PerlSkript, welches <strong>für</strong> User-Administration<br />
zuständig ist <strong>und</strong> löschte so den User root. Ein Zufallstreffer, aber sicher ist dieser Trick<br />
häufiger anwendbar, als allgemein vermutet.<br />
Mit größerer Wahrscheinlichkeit gelingt aber ein von innen initiierter buffer overflow, z.B.<br />
auf den POP3 Dämon. Hierzu muß man wissen, daß S.u.S.E. <strong>LINUX</strong> 5.2 ein Problem mit<br />
dem QUALCOMM POP-Dämon hatte. Alternativ könnte man auch einen aktuellen Exploit<br />
auf mountd, inetd oder portmap nehmen. Auf dieser <strong>Firewall</strong> ist mit hoher<br />
Wahrscheinlichkeit dieser POP-Dämon installiert <strong>und</strong> nach innen hin aktiv. Also wird ein<br />
Angreifer diesen exploit namens QPOP ein wenig umschreiben: Erstens wird er /bin/bash<br />
in /sbin/ipfwadm -If; ping www.domain.com ändern, anstelle der Parameterübergabe in der<br />
Shell feste IP - Nummern einstellen <strong>und</strong> dieses Programm mit Microsoft VC++ oder<br />
DJGPP kompilieren. Nun wird er auf dem Server www.domain.com einen ICMP-Scanner<br />
installieren <strong>und</strong> starten, um aufgr<strong>und</strong> der ping Pakete (ICMP) die (eventuell dynamische)<br />
IP - Nummer es <strong>Firewall</strong>routers feststell en zu können. Der ICMP-Scanner ist ein wenig<br />
modifiziert - er reagiert auf ein ping mit einem kontinuierlichen back-ping (ähnlich<br />
backfinger), um die ISDN-Verbindung offenzuhalten. Nun verpackt der den Exploit als<br />
Attachment in eine E-Mail <strong>und</strong> adressiert es an einen beliebigen Benutzer hinter der<br />
<strong>Firewall</strong>. In der sicheren Hoffnung, daß ein Benutzer diese E-Mail lesen wird, <strong>und</strong><br />
neugierig das Programm startet, lehnt er sich <strong>zurück</strong> <strong>und</strong> wartet. Nach einiger Zeit schaut<br />
er nach, ob sein Back-Ping angeschlagen hat. Ist das der Fall, so wird sein Portscanner<br />
zeigen, daß der <strong>Firewall</strong>-Router alle internen Ports nach außen geöffnet hat (ipfwadm -If).<br />
Die ISDN-Leitung bleibt also solange geöffnet, bis der Angreifer Zeit hat, sich um sein<br />
Opfer zu kümmern. Mit Hilfe des QPOP exploits wird er ein zweites mal den POP-Dämon<br />
bemühen, um vollen root Zugriff auf die <strong>Firewall</strong> zu haben. Um keine Spuren zu<br />
hinterlassen, muß er mit dem Signalhändler (kill) den SYSLOGD vorübergehend anhalten.<br />
Mit Hilfe des vi, weil er I-Node-Echt (wichtig!) <strong>und</strong> überall zu finden ist, wird er seine<br />
Spuren in den Logfiles verwischen. Die Inode - Echtheit ist deswegen besonders wichtig,<br />
weil man während der LOG-Dämon in die Datei schreibt, Teile aus dieser gleichzeitig<br />
löschen kann. Editoren, die nicht I-Node-Echt sind, würden diese Datei zuerst kopieren<br />
<strong>und</strong> dann öffnen, während der LOG-Dämon fleißig in die andere Datei schreibt. Beim<br />
speichern wird die originale Datei umbenannt <strong>und</strong> gelöscht. Danach wird die veränderte<br />
Kopie in die originale Datei umbenannt. Diese neue Datei besitzt dann eine neue I-Node<br />
Nummer, die der LOG-Dämon nicht automatisch erkennt. Dieser schreibt fleißig in die<br />
Datei (wie auch immer diese nun heißt) hinein. Erst nach einem Neustart würde er die<br />
Veränderung der I-Node Nummer bemerken <strong>und</strong> mit dem Schreiben der LOG-Datei<br />
fortfahren. (Hackerwissen !!!)<br />
^P^P^P^P.....^P<br />
, <strong>und</strong> den SYSLOGD wieder weiterlaufen lassen. In den Logfiles werden sich keinerlei<br />
Spuren eines Angriffs finden lassen. Da der Systemadministrator keinerlei Informationen<br />
darüber erhält, ob ein User im Netzwerk nun diesen exploit oder nur normal seine E-Mails<br />
abgeholt hat, kann auch ein IDS-System nichts ungewöhnliches entdecken. Diese <strong>Firewall</strong><br />
hätte genauso ein NT - Server mit WINGATE, WINPROXY, oder SAMBAR.... sein können.<br />
Das Schema wäre dasselbe gewesen.<br />
Angriffe auf <strong>LINUX</strong> WWW-Server<br />
Ein Unternehmen besitzt einen Multi-Homed Internet Server im Netz, auf dem sich<br />
h<strong>und</strong>erte K<strong>und</strong>ensites befinden. Ich als Systemadministrator, stellte an einem<br />
Wochenende nach der Fußball-WM 1998, es war der 1<strong>2.0</strong>7.1998, fest, daß ich aus<br />
Erstellt von Doc Gonzo - http://kickme.to/plugins