Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
irgendwelchen Gründen nicht mehr im Besitz des Administrator Paßwortes des <strong>LINUX</strong><br />
Servers bin. Der Useraccount funktionierte jedoch noch. Beim Durchsuchen einiger<br />
WWW-Seiten auf Veränderungen stellte ich fest, daß hier Seiten verändert wurden:<br />
"Dieser Server wurde gehackt <strong>und</strong> komplett übernommen", stand auf der Frontpage groß<br />
<strong>und</strong> breit. Das Problem ist nur, daß von diesen WWW-Sites ebenfalls die Paßworte<br />
verändert waren. Es schien, daß die peinichen Veränderungen bis zum Montag morgen so<br />
stehen bleiben mußten. Die Frage war aber, wie der Hacker in den Server einbrechen<br />
konnte. Also wurde die Site http://www.rootshell.com durchsucht. Der EXPLOIT war<br />
schnell gef<strong>und</strong>en, es war der QPOP2 Exploit <strong>für</strong> den POP3 Server, <strong>und</strong> auf den WWW-<br />
Server in das User-Verzeichnis kopiert. Der Exploit wurde kompiliert, <strong>und</strong> auf den eigenen<br />
Server angesetzt. Ich falle direkt in eine ROOT-Shell hinein, <strong>und</strong> besitze nun die<br />
Supervisor-Rechte. Zuerst muß einmal das Rootpaßwort wiederhergestellt werden. Das<br />
Kommando passwd root funktioniert nicht, aus irgendeinem unverständlichen Gr<strong>und</strong>. Als<br />
Alternative bleibt also nur, einen Eintrag eines anderen Accounts mit dem verschlüsselten<br />
Paßwort in die Zeile von root in der Datei /etc/shadow zu kopieren. Ich kopiere also das<br />
verschlüsselte Paßwort meines Useraccounts in die Zeile des Users root <strong>und</strong> versuche<br />
mich über meinen Useraccount als ROOT einzuloggen. Es funktioniert. Nun durchsuche<br />
ich alle betroffenen Homepages auf Veränderungen (find /home -mtime 1 ....). Einige<br />
WWW-Seiten wurden verändert, <strong>und</strong> zwar schon am Vortag. Das erste, was ich nun<br />
mache, ist das Sicherheitsloch zu beseitigen. Ich suche mir vom Hersteller des POP3<br />
Server die neue Version des POP-Dämons, kompiliere ihn neu, <strong>und</strong> installiere ich ihn<br />
anstelle des Alten. Ich teste den Exploit nocheinmal, zur Sicherheit. Diesmal falle ich nicht<br />
mehr in eine ROOT-Shell, fein. Nun spiele ich die Backups wieder <strong>zurück</strong>, damit die<br />
Veränderungen des Hackers weitestgehend rückgängig gemacht werden. Inzwischen sind<br />
seit der Entdeckung des Einbruchs ca. 2 St<strong>und</strong>en vergangen. Anhand des Datums <strong>und</strong><br />
der Uhrzeit der Veränderungen durchsuche ich die Logfiles des Apache-Servers <strong>und</strong> stelle<br />
fest, daß diese Seiten ein paar St<strong>und</strong>en zuvor über einen öffentlich zugänglichen Proxy<br />
zuerst geladen, <strong>und</strong> dann nach ein paar St<strong>und</strong>en wieder <strong>zurück</strong>gespielt wurden. Ich<br />
durchsuche nun die typischen Log-Dateien auf Veränderungen:<br />
• /var/log/messages - gelöscht<br />
• /var/log/xferlog - gelöscht<br />
• .bash_history - gelöscht<br />
• /var/log/wtmp - unbrauchbar<br />
Alle Log-Dateien, die hätten verwertet werden können, waren gelöscht worden. Mir<br />
bleiben also nur noch die Log-Dateien des Apache Servers, die auf einen frei<br />
zugänglichen PROXY-Server zeigen.<br />
Ich versuche es mit der Wiederherstellung der Datei /var/log/messages mit einem<br />
UNDELETE Befehl, der in einigen Fällen aus dem Filesystem ext2 Dateien<br />
wiederherstellen kann. Fehlanzeige ! Der Einbrecher verwendete offensichtlich den VI<br />
Editor, der I-Node echt ist. Dieser legt keine zweite, temporäre Datei an, die dan später<br />
gelöscht wird, (... - Dateien) sondern dieser kann eine Log-Datei in Echtzeit verändern,<br />
während der SYSLOGD diese weiter beschreibt. Das einzige, was hier nun eventuell noch<br />
geholfen hätte, ist das byteweise Auslesen der gesamten Festplattenpartition mit dd<br />
if="/dev/sda1" of="/dev/..." Dieses hätte vielleicht noch Reste hervorgebracht, ich denke<br />
aber, daß der SYSLOGD gerade dabei war, diese zu überschreiben.....Tja, ohne Beweise<br />
keine Möglichkeit, den Täter zu finden. Die Polizei wird also nicht verständigt.<br />
Am nächsten Morgen führt auch ein Anruf bei dem Betreiber des PROXY zu keinem<br />
Ergebnis, da dieser nicht nur einen PROXY betreibt, sondern auch noch Analog-Zugänge,<br />
in die man sich ohne Paßwort einloggen darf, halt Testzugänge.<br />
Am Abend dieses Montages beschlagnahmt die Staatsanwaltschaft diesen Server. Es ist<br />
angeblich von diesem aus in den Server des B<strong>und</strong>esverkehrsministeriums eingebrochen<br />
worden. Die Festplatte dort wurde gelöscht. Im Radio wird zufälligweise genau an diesem<br />
Montag aus berichtet, daß auch in den FDP Server eingebrochen wurde. Es stand dort auf<br />
der ersten Seite geschrieben: 4.9 % sind genug !<br />
Erstellt von Doc Gonzo - http://kickme.to/plugins