(Lsung) Bekannte Sicherheitslcken bei einem voll gepatchten Woody-System?
Hallo, folgende Mail enthält wohl die Lösung auf mein eigenes Posting (ich lese über's Usenet. ;-)): http://lists.netsys.com/pipermail/full-disclosure/2004-August/025842.html Der Autor der Mail, Matt Zimmermann, ist Mitglied des Debian Security Teams. Der Benutzer hatte wohl vergessen, nach der Installation von Woody den Kernel auch als Package mit apt-get install kernel-image-2.4.18-bf2.4 zu installieren. Dadurch gab es natürlich auch keine Sicherheitsupdates, von daher war sein System auch anfällig. Vielen Dank für die vielfältigen Antworten! Gruß, Spiro. -- Spiro R. Trikaliotis http://www.trikaliotis.net/ http://www.viceteam.org/ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Bekannte Sicherheitslcken bei einem voll gepatchten Woody-System?
Hallo, auf Full-Disclosure gibt es zur Zeit eine interessante Diskussion, die hier startet: http://lists.netsys.com/pipermail/full-disclosure/2004-August/025732.html (Achtung! Leider ist der Thread etwas zerstückelt, was wohl daran liegt, dass einige Personen Mail-Programme nutzen, die kein In-Reply-To: setzen können. Also ruhig noch etwas weiter suchen) Was ist passiert? Ein Benutzer hat ein vollständig gepatches Woody-System aufgesetzt und zwei Nutzer-Accounts eingerichtet, admin und user. Beide Accounts hatten identischen Username und Paßwort, und es waren keine Accounts mit root-Rechten. Der Hintergrund ist der, dass in letzter Zeit ssh-Scans nach eben diesen Accounts durchgeführt wurden. Der Benutzer zeigt sich überrascht, dass offenbar schon kurz nach dem erfolgten Angriff das System gerootet war. Offenbar gibt es noch Sicherheitslücken, die entweder noch nicht bekannt, oder aber zumindest noch nicht gepatcht sind. Kennt irgend jemand bekannte Sicherheitslücken, die hier ausgenutzt worden sein könnten? Ich muss ehrlich zugeben, dass mich diese Erkenntniss dort nicht gerade beruhigt. Leider ist nicht angegeben, welchen Kernel er genau benutzt hat. Aber die .bash_profile (offenbar), die benutzt wurde, findet sich hier: http://lists.netsys.com/pipermail/full-disclosure/2004-August/025779.html (offenbar aber unvollständig) Gruß, Spiro. -- Spiro R. Trikaliotis http://www.trikaliotis.net/ http://www.viceteam.org/ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Bekannte Sicherheitslcken bei einem voll gepatchten Woody-System?
Spiro Trikaliotis wrote: Hallo, auf Full-Disclosure gibt es zur Zeit eine interessante Diskussion, die hier startet: http://lists.netsys.com/pipermail/full-disclosure/2004-August/025732.html (Achtung! Leider ist der Thread etwas zerstückelt, was wohl daran liegt, dass einige Personen Mail-Programme nutzen, die kein In-Reply-To: setzen können. Also ruhig noch etwas weiter suchen) Was ist passiert? Ein Benutzer hat ein vollständig gepatches Woody-System aufgesetzt und zwei Nutzer-Accounts eingerichtet, admin und user. Beide Accounts hatten identischen Username und Paßwort, und es waren keine Accounts mit root-Rechten. heissen die Accounts jetzt admin und user also admin mit passwort admin und user mit passwort user? Das wäre ja grob fahrlässig. Der Hintergrund ist der, dass in letzter Zeit ssh-Scans nach eben diesen Accounts durchgeführt wurden. Und? Habe heute um 10 eine frisch installierte Maschine (Sarge) eine frisch installierte Maschine ins Netz gehängt. Zwei Stunden später waren schon die ersten Loginversuche per ssh und zwar wurde probiert mit: admin, test, guest und user Aug 26 12:05:07 localhost sshd[2340]: Illegal user test from :::200.33.20.234 :::200.33.20.234 Aug 26 12:05:12 localhost sshd[2344]: Illegal user admin from :::200.33.20.234 Aug 26 12:05:19 localhost sshd[2346]: Illegal user admin from :::200.33.20.234 Aug 26 12:05:23 localhost sshd[2348]: Illegal user user from :::200.33.20.234 Aug 26 12:05:35 localhost sshd[2356]: Illegal user test from :::200.33.20.234 Wenn ein Angreifer einen lokalen Benutzer geknackt hat, kann er damit schon einiges machen. Da braucht es keine Sicherheitslücke. Wahrscheinlich war root auch das Passwort von root Grüße Chris -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)