OVH Community, your new community space.

Frage zwecks Ports


jasminr
19.07.07, 18:20
Zitat Zitat von TF_SChw@rZl!cht
Ich kenne da einen Fall wo ein Angreifer über ein Script in den Server eindringen konnte, bekam aber nicht komplette Rootrechte und versuchte einen IRC Spam bzw. Warbot zu installieren (was ihm auch gelungen ist)
meine antwort dazu

in deinem geschilderten fall war nicht iptables der retter sondern die unwissenheit ( oder bloedheit !) einer skriptgoere.
angreifer installiert in das system rein ohne rootrecht ?

Zitat Zitat von TF_SChw@rZl!cht
mehr sag ich jetzt nicht dazu -.-
ymmd

sledge0303
19.07.07, 13:06
Eigentlich hab ich nicht geschrieben dass IPTables komplett quatsch sind, aber lassen wir das jetzt mal.

was meinst du passiert nach diesem kommando ?

iptables -t nat --flush

richtig, alle rules werden geloescht. und nun ?
Hat der Hacker erstmal Zugriff auf das System, auch etwas Ahnung, kann er sich Dienste installieren wie er möchte und auch entsprechend freischalten. Er braucht nicht mal die Rules für IPTables löschen, wenn man richtig vorgeht sind diese bei Etch in /etc/network/if-up.d/$iptablesskript abgelegt.
Einmal Rootrechte erworben, kann man auch dieses Skript verändern und es seinem Bediungen anpassen.

in deinem geschilderten fall war nicht iptables der retter sondern die unwissenheit ( oder bloedheit !) einer skriptgoere.
Full ACK.

regel fuer iptables bringen hoechstens was wenn diese regel ausserhalb eines hosts abgelegt sind entweder im router oder bei virtualisierung der domain.
Auch das ist korrekt und mit ein Grund wieso ich mit virtualisierten Umgebungen arbeite. Das setzt voraus, eine sauberes Wirtsystem wo nur die Virtualisierungssoftware wie Xen/OpenVZ sowie SSH und die virtuellen Instanzen laufen. Wird von dort aus nur der Port 80 ein- sowie ausgehend in die VE geroutet, kann sich ein Hacker innerhalb der VE Kopf stellen. Er wird installieren aber nicht kommunizieren können über z.B. Port 6667.

Es sei denn, im dümmsten Fall, das Wirtsystem wird gehackt, dann kannst dir, um jasminr's Zitat zu nutzen,

jetzt kannst mit deinen lokal angelegten iptables den hintern abwischen.

TF_SChw@rZl!cht
19.07.07, 12:59
Zitat Zitat von jasminr
*HUST*, wenn ich sowas lese...



wie du einen rettungsfall mit iptables schilderst kann man sich das lachen nicht verkneifen.
was meinst du passiert nach diesem kommando ?

iptables -t nat --flush

richtig, alle rules werden geloescht. und nun ?

jetzt kannst mit deinen lokal angelegten iptables den hintern abwischen.

in deinem geschilderten fall war nicht iptables der retter sondern die unwissenheit ( oder bloedheit !) einer skriptgoere.

regel fuer iptables bringen hoechstens was wenn diese regel ausserhalb eines hosts abgelegt sind entweder im router oder bei virtualisierung der domain.
und wer lesen kann ist klar im Vorteil !

bekam aber nicht komplette Rootrechte
bzw. habe ich auch nicht gesagt das iptables immer Sicherheit bringt.
Das hier war ein Beispiel das es auch mal geholfen hat.
Es ist die Frage WIE man es einsetzt.

mehr sag ich jetzt nicht dazu -.-

jasminr
19.07.07, 11:40
*HUST*, wenn ich sowas lese...

Ich weis jetzt nicht wieviel Kompetenz der Angreifer hatte aber trotzdem war hier iptables der Retter.
wie du einen rettungsfall mit iptables schilderst kann man sich das lachen nicht verkneifen.
was meinst du passiert nach diesem kommando ?

iptables -t nat --flush

richtig, alle rules werden geloescht. und nun ?

jetzt kannst mit deinen lokal angelegten iptables den hintern abwischen.

in deinem geschilderten fall war nicht iptables der retter sondern die unwissenheit ( oder bloedheit !) einer skriptgoere.

regel fuer iptables bringen hoechstens was wenn diese regel ausserhalb eines hosts abgelegt sind entweder im router oder bei virtualisierung der domain.

TF_SChw@rZl!cht
18.07.07, 23:57
Zitat Zitat von sledge0303
Wenn die Dienste sicher eingerichtet sind braucht man keine Firewall auf einem Rootserver ... Lesenswerter Thread hier
hier verkneife ich mir mal meinen Kommentar ....

Ich kenne da einen Fall wo ein Angreifer über ein Script in den Server eindringen konnte, bekam aber nicht komplette Rootrechte und versuchte einen IRC Spam bzw. Warbot zu installieren (was ihm auch gelungen ist)
Funktioniert hatte seine Aktion dadurch nicht, da man via Iptables nur die Webdienste Freigegeben hatte. ..... puff es ging ins nichts für den Angreifer.
Ich weis jetzt nicht wieviel Kompetenz der Angreifer hatte aber trotzdem war hier iptables der Retter.

von daher mag es jeder selbst entscheiden aber wer behauptet iptables sei komplett Sinnlos, der denkt kurzsichtig oder ist einfach geblendet -.-

sledge0303
18.07.07, 22:48
Zitat Zitat von Snoopotic
Dann haste deine eigene Firewall noch an deiner Kiste ,)
Wenn die Dienste sicher eingerichtet sind braucht man keine Firewall auf einem Rootserver ... Lesenswerter Thread hier

Snoopotic
18.07.07, 22:25
Vielleicht machste dich ja zu deiner Beruhigung noch über "iptables" schlau. Dann haste deine eigene Firewall noch an deiner Kiste ,)

trueman
18.07.07, 22:09
ok dann war meine Paranoia ja unbegründet *fg*

Naja bin ja auch kein Linux Professor *fg*

Fragen kostet ja nix.

dAnke für die info

TF_SChw@rZl!cht
18.07.07, 22:02
Zitat Zitat von trueman
Hallo,

mir ist mal heute aufgefallen nach einer Abfrage via nmap, dass bei mir neuerdings der Port 6667 aufgelistet wird (als filtered aber)

Hängt das jetzt mit der Umstellung zusammen, dass irc jetzt erlaubt wird?

Wie kann ich den komplett sperren?

Mir ist zwar im Manager das Menü "IRC" aufgefallen, aber da kann ich den irgendwie nicht sperren. Ich könnte da nur ne neue "Allow" Regel erstellen, was ich aber nicht will.

Danke schon mal im Voraus
du sagst es doch schon selber *gg*
filtered bedeutet das der Port gefiltert wird und alle anfragen blockiert werden.
Über den Manager könntest du diese wieder freischalten.

trueman
18.07.07, 21:28
Hallo,

mir ist mal heute aufgefallen nach einer Abfrage via nmap, dass bei mir neuerdings der Port 6667 aufgelistet wird (als filtered aber)

Hängt das jetzt mit der Umstellung zusammen, dass irc jetzt erlaubt wird?

Wie kann ich den komplett sperren?

Mir ist zwar im Manager das Menü "IRC" aufgefallen, aber da kann ich den irgendwie nicht sperren. Ich könnte da nur ne neue "Allow" Regel erstellen, was ich aber nicht will.

Danke schon mal im Voraus