Re: Apache2 in chroot (rootjail) Umgebung

[Claus Malter <debian@sprayen.de>]

Sven Hartge wrote:
> Claus Malter wrote:
>
> > da ich vor kurzem "Opfer" einer erfolgreichen Hacker Attacke war, 
> > welcher sein Rootkit bei mir eingeschleust hat, will ich meinen Apache 
> > in einer rootjail/chroot Umgebung laufen lassen.
>
> Apache zu chrooten ist eine Mammutaufgabe. Du kannst dabei die halbe
> Distribition ins chroot kopieren, denn man möchte ja PHP haben, evtl.
> braucht es noch Perl und mySQL. Dann will man Mails verschicken, also
> exim4/sendmail mit ins chroot.

Das habe ich bemerkt. Ich habe mal versucht mit meinem Halbwissen, die 
chroot Umgebung aufzusetzen. Ich kam soweit, dass Apache mit PHP/MySQL 
lief. Dann das Problem perl... die Perl CPAN Module sind scheinbar das 
Problem. Auch mit allen libaries im chroot geht es nicht. Vermutung: Die 
CPAN Module müssen "irgendwie" neu konfiguriert werden.

> Und dann willst du das chroot natürlich auch auf einem aktuellen Stand
> halten.
>
> Du musst wissen, ob das den Aufwand wert ist. Vor allem, da das chroot
> dabei so mächtig wird, das es eh nahezu alles beinhaltet, was ein
> Angreifer braucht, um das chroot wieder umgehen zu können.
>
> Wichtiger wäre es zu wissen, auf welchem Weg a) der Angreifer überhaupt
> in dein System kam und b) warum er es geschafft hat, seine Rechte von
> www-data auf root zu erhöhen.

a) Scheinbar über ein PHP-Skript. In diesem Fall Mambo CMS. Wobei das 
nur eine Vermutung ist. Generell wird es aber eine PHP-Modul Geschichte 
gewesen sein.

b) Der Kernel war recht alt. 2.4.xx (aber eben eine alte Version). Wenn 
ich mich recht erinnere, gab es da ja mal ein paar Kernel Exploits.

> S°

Claus