Fórum Ubuntu CZ/SK
Ubuntu pro osobní počítače => Internet a sítě => Téma založeno: GlidingFLY 23 Června 2008, 21:54:53
-
Zjistil jsem, že pomocí mého proftpd+mysql se mi v systému pomocí scriptů php hrabou nežádoucí cizinci. Průnik se daří pomocí usera mysql, ale tohoto nemám zřízeného v databázi. Jak tomu zabránit?
Pomocí tohoto usera vytvoří chroot to directory /var/lib/mysql/public_html a tam uloží scripty nyck.php a bebe.php.
Dále se mi ve složce /var/tmp objeví další složka /.b ve kterém je umístěn nějaký prográmek demon (bash). Kde mám co blbě a jak to zalepit? Páč dokud toho usera mysql neodstavím, mazání a zabíjení procesu nebude brát konce.
-
No koukám, že děravé programy moc lidí nezajímá. Proftpd díru má, našel jsem o tom pár zmínek jako o debianím bugu kdy pomocí uživatele mysql je možný průnik. Ale bohužel jsem nenašel radu jak tu díru zaplátovat. Dělá to na mne dojem jako kdyby to měly být zadní vrátka pro šťouraly v systémech a jejich obsahu. No a kdo jiný by měl mít největší zájem? A co s tím pak dělají nechť ať si každý domyslí. Když si prohlédnu log tak zírám jak snadno se dostane a co vše je schopen provést. Bezpečí Ubuntu je pověra. Čím více se bude rozšiřovat tím více bude napadán. A jak jsem zjistil tak velice snadno.
-
Asi je na místě zkusit jiného ftp démona, myslím, že jich je na výběr víc. S tou nebezpečností bych to tak tragicky neviděl - Ubuntu je mířeno spíš na desktop a tam tolik lidí s proftpd a mysql bez firewallu/natu nebo něčeho podobného nebude. Na server bych dal něco přece jenom "skalnějšího", počínaje Centosem, přes OpenSuSE po Debian (stable) a zapnul SELinux (tam kde je). Další možnost je ten ftp server vritualizovat (já takhle měl jeden čas ve vmware http server). Jinak je samozřejmé, že každý systém má chyby, tady o nich aspoň víš a můžeš se tomu přizpůsobit.
Pokud se ti tam už někdo navrtal tak je asi na místě to zcela po windowsovsku celé přeinstalovat, s tím, že logy ukazjí vše co provedl se na 100% počítat nedá :(
-
ad.1) servery naslouchajici na ext zone by se vzdy mely spoustet chrootovane (aby se v podobnych pripadech nemohli "cizinci hrabat v systemu")
-
Jj. Jak jsem výše psal, chrootovaně to mám. On nenadělal škody, pouze špicloval v databázi. Ten script bebe.php mu posloužil jako souborový prohlížeč pomocí webu. Nevím k čemu mu posloužil ten nyck.php ale to ještě zjistím. Zajímá mne to a tak jsem to přesměroval na jiný server a tam si něj počkám. K tomu účelu jsem si postavil ze starého HW ftp server jako kopii toho hlavního. Ten bash, který spouštěl jako démona ze složky /var/tmp/.b měl za úkol odesílat práci na klávesnici v souvislosti s přihlašováním se kamkoli. On či oni rozhodně neskončili a jsem zvědav do jaké míry jsou schopni proniknout a oč jim pomocí těch nástrojů jde.
Zatím se mi zdá, že se jedná o sběr dat kde je hlavně zajímají poštovní adresy, možnosti zneužití webů na tom konkrétním serveru a přístupové ůdaje kamokoli ze serveru.
-
GlidingFLY: toto by mne zajímalo více :) Mám podobnou zkušenost a dlouho jsem taktéž nemohl přijít na to, jak se sakra dokázal někdo dostat přes chrootované FTP + jmena&hesla v DB do systému. Můžeš sem pastnout konfigurák proftpd? Nějak jsem to zalepil přímo v něm, jen už si nepamatuji jak :'( A sorry za pozdní odpověď, nějak jsem tenhle topic opravdu přehlédl :(
-
tak toto ma velmi zaujima, posli urcite ten vypis proftpd, poslem kamosovi co sa tomuto venuje aj ked z inej strany :)
urcite ta to hneva ze tam niekto lozi a nevies presne co stavara ale mna to fascinuje ako sa mu podarilo obist celu ochranu.
chroot jail si neskusal?
-
http://secunia.com/advisories/13915/ (http://secunia.com/advisories/13915/)
http://www.transcendlinux.com/mysql (http://www.transcendlinux.com/mysql)
skus pozret
inac ked das do google : bypass chroot FTP mysql user, popripade odoberses slova mysqol a user najdes dost vela clankov
-
Jakmile zaútočí vystřihnu log a pošlu ho sem. Ale zatím se uklidnil. Musíme počkat až to zase zkusí. Já jsem zkoušel simulovat funkci toho jeho bashe (určitě se jedná o jednoho útočníka i když se vždy přihlašoval s jinou IP, ale kdopak ví kolik lidí to umí zneužít...), který sídlil v /var/tmp/.b a zjistil jsem, že pokud je aktivní což zajišťuje cron z téhož adresáře (když zabiju ten bash on za chvilku obživne), tak si pomocí prohlížeče zajistíte brouzování systémem jako file managerem. K tomu stačí jako adresu použít http://tvuj-server/~mysql a je to, páč browser zobrazí obsah složky /var/lib/mysql/public_html a tam sídlí ony dva php scripty (bebe.php (file-manager) a nyck.php (?)) Jakmile však zabijete toho bashe a složku /.b smažete můžete psát cokoli a stránka je nedostupná. Tedy to znamená, že pokud máte v mysql bázi uživatele s otevřeně napsaným heslem tak ho hladce přečte a má user účty kompletní (teď záleží na tom co vše má jeden přes mysql zřizováno a nejenom tam). A pozor! Pokud pouze smažete tu složku a nevšimnete si co z ní bylo puštěno a restartnete server, tak se situace obnoví. Šikulka ten bash. Musí být zabit jako první, pak následují další kroky.
No příčinou je pouze jedna jediná díra v proftpd+mysql modul. Že jakmile se přihlásíte jako uživatel mysql a napíšete správné heslo tak se automaticky vytvoří databáze public_html bez buněk, přímo ve struktuře mysql (/var/lib/mysql), tam má chrootdir a tam on uloží co potřebuje a zmizí. Pak už jede pouze krz apache, který za to ovšem vůbec nemůže. Celá operace trvá 3 vteřiny.
-
A ten konfigurák? :) Co si pamatuju, tak se mi v systému objevily soubory dva - a.php a b.php, pricemz b.php byl přesně jak říkáš emulátor bashe a co bylo a.php už nevím.
Už vím, jak jsem to řešil. Nastavil jsem minimální UID a GID loginů na takovou hodnotu, které nemá uživatel šanci dosáhnout (>63000).
-
Nastavit SQLminID na 63000 není možné, neboť by se nemohl přihlásit nikdo. Je možné jej nastavit na max. 999 pokud chci, aby se mohl přihlásit i prvouživatel po instalaci systému.
Nicméně tím to nebude protože u mne bylo nastaveno na 500 a user i group mysql měli mnohem menší.
Svůj konfigurák tu zatím vystavovat nebudu, jak snad ti zkušenější chápou. Zveřejním pouze logy z proftpd a apache pokud dojde k dalšímu pokusu.
Ostatně všiml jsem si, že když se mu povedl ten průnik na usera mysql úspěšně tak to byl druhý pokus v té jeho session. První byl na usera oracle A to o něčem vypovídá. Tenhle člověk něco ví. Ti ostatní co tam mají neúspěšné pokusy na jména admin, administrator a všelijaké další vědí prdlačku, ti pouze zkoušejí zdali nějaký správce "náhodou" něco nezapoměl.
-
Nastavit SQLminID na 63000 není možné, neboť by se nemohl přihlásit nikdo. Je možné jej nastavit na max. 999 pokud chci, aby se mohl přihlásit i prvouživatel po instalaci systému.
No a to bude ten rozdíl :) Já jsem vlastně všechny uživatele, které jsou v systému (až na prvouživatele) převedl do mysql a ze systému je úplně eliminoval. Všechny potřebné služby - postfix, dovecot etc. využívají tu samou db. Tím pádem mohu vyloučit útok přes lib. účet (služby) v systému, protože nesplňuje požadavek na SQLminID - FTP se tak omezuje jen na uživatele v tabulce, kteří už jsou chrootováni přesně tak, jak je potřeba.
A ještě jedna věc - mám vypnutou autentifikaci přes PAM. Pomocí
AuthOrder mod_sql.c
vynucuji autentifikaci striktně přes MySQL.
-
Tak za toto moc děkuji. Ihned jsem toto vynucení zapsal do konfiguráku, neměl jsem to tam.
-
Bacha - pokud jsi používal originální konfigurák od ProFTPd, tak tuším, že tam tuhle direktivu někde schovanou má a primárně je použit právě PAM. Co se týče ověření, tak je to jednoduché - zkus se přihlásit jako uživatel, který je zanesen v systému a ne v mysql db, nesmí tě to tam pustit.
-
Nepoužil jsem originál. A ověřil jsem tu funkčnost na sobě. Dokud jsem to tam neměl tak přestože jsem měl v db určen chroot vnořený do home tak jsem se svým testovacím ftp klientem přihlašoval do / Tedy umožnil mi jako prvouživateli pohybovat se celým systémem, ale změny jsem mohl provádět pouze ve svém ftp chroot directory. Ostatní uživatelé přistupovali normálně pouze do svého což se jim jevilo jako kořen.
Nyní po zápisu vynucení se přihlásím i jako prvouživatel pouze tam, kam mám určeno v db a jeví se mi to jako kořen. A to znamená, že to funguje. Nyní zbývá počkat na toho "šikulu" a ověřit na něm zdali tato změna v konfiguráku bude stačit.
-
Ok, kdyby ne, tak mi pošli ten konfig na mail, nebo do PMka a mrknu na to, co tam mam já od tebe jinak. Protože jak jsem psal, stejného šikulu jsem taky v systému měl a povedlo se mi jej eliminovat.
-
Tak Petře, dnes šikula v 15:15:54 hod. otevřel proftpd připojení jako user mysql. 4x se pokusil přihlásit, marně!!! Ale pak pokračoval jako user ftp v 15:16:07 hod. se třemi pokusy, marně!!! Vše prováděl z této IP adresy: 77.81.246.184
Ještě hledal pomocí browseru obsah /var/lib/mysql/public_html v 15:15:43 hod. (tím vlastně začal)
Takže ta directiva zabrala pro tento typ průniku.
Veliká pochvala a dík. Ale budu ho sledovat dál...
-
Super, alespoň tak :) Když já paranoik nemám rád uživatele v systému, proto vše striktně přes DB a v systému jen to nejnutnější :) Vyřešeno?
-
Ano, považuji to za vyřešeno. Ale ukazuje se, že jak stoupá popularita linuxu obecně, hlavně díky Ubuntu distribucím, tak se budou množit pokusy o průniky a hledat cesty kudy a jak získat citlivá data či prostor na serverech.
-
Hele to si nemyslím. Tihle lidi ví co dělají a pokusy o průnik na servery eviduji už od roku raz dva :) To, že si někde nějaký jouza pustí brute-force attack na 22 ještě nic neznamená a zpravidla alespoň trochu administrovaný systém je schopen jim bez problémů odolat.
-
hehe... kdyby tě zajímalo co je zač, tak tumáš :)
Country Name: Romania
Country Code: ROU (RO)
IP Address Region: Mures
IP Address City: Sighisoara
IP Address Latitude: (46.2167)
IP Address Longtitude: (24.8)
IP Address Lookup for 77.81.246.184 show that IP belongs to: SC Teleson SRL
-
Jo to už jsem zjistil, ale to nebude jeho pravá. On se určitě maskuje.
-
no, na Tvem miste bych na nej nachystal nejakou "pasticku" .. // a moc bych ho nestrasil
-
Myslim, ze ho nechytis. Urcite ma google a tohle vlakno si s pobavenim cte.
Ale treba neumi moc cesky :-)
-
Jasně, že mne napadlo, že to může být i někdo znající česky. Ale o to v zásadě nejde. Podstatné je, že kdosi našel vstupní vrata do tajné komnaty a správcovi se daří ta vrata zajistit dříve než dojde ke krádeži pokladů ;) Alespoň zatím. Práce těch co hledají díry v systémech či jednotlivých programech je vlastně prospěšná neboť pomáhá vylepšovat zabezpečení systému jako celku. Tito lidé nikdy nepřestanou, je to jejich koníček, zábava a mají to v povaze, takže budování nějakých pastiček ani nemá moc smyslu. Ledaže bych to dokázal tak, že ho fyzicky dostihnu a dám pěstí mezi kukadla ;D