Andre Tann schrieb:
Dirk Finkeldey, Montag, 19. März 2007 14:20:Um so etwas einzurichten muß derjenige mit sicherheit root sein bzw. über dessen rechte verfügen.ja, hab ich gemacht. Es wurde ein Rootkit und eine SSH Backdoor installiert. Ausserdem alle Binaries ausgetauscht, die Aufschluss auf die Aktion geben könnten. Und natürlich Logfiles manipuliert.Wie findet man ein Rootkit und ein ssh-Backdoor?
Wenn zum beispiel sudo verwendet wird um Benutzern rootrechte für bestimmte Aktionen zu geben, muß man gucken bzw. mittels eines anderen Rechners über Netzwerk versuchen ob es möglich ist sich rootrechte zu verschaffen (ist es möglich im Loginscript mittels Strg + C aus dem Dialog auszubrechen und auf die Konsole zu gelangen, ist es normalen Usern erlaubt den Xserver zu beenden und sich auf der Konsole einzulogen).
Laufen die notwendigen Netzwerkdienste in einer dchroot mit eingeschränkten rechten, besteht die möglichkeit durch zb. vorhandene links aus der dchroot auszubrechen ?
Existieren Anwendungen die mit rootrechten ausgeführt werden, wenn ja ist es möglich sich dadurch eine "Eselsbrücke" zu bauen um root zu werden ?
Da wied sich der Serverbetreiber wohl nochmal Gedanken darüber machen müßen ob er zu nett mit der Rechteverteilung umgegangen ist ;-)Welche Rechte werden denn da üblicherweise zu locker gehandhabt?...fragt sich Andre, der zwar schon länger ssh/web/ftp-Server betreibt, sich aber nie ganz sicher ist, auch wirklich alle Maßnahmen getroffen zu haben, und Einbrüche wirklich zu erkennen...
Mit freundlichen Grüßen Dirk Finkeldey