Claus Malter <[EMAIL PROTECTED]> wrote: > Sven Hartge wrote: >> Wichtiger wäre es zu wissen, auf welchem Weg a) der Angreifer >> überhaupt in dein System kam und b) warum er es geschafft hat, seine >> Rechte von www-data auf root zu erhöhen.
> a) Scheinbar über ein PHP-Skript. In diesem Fall Mambo CMS. Wobei das > nur eine Vermutung ist. Generell wird es aber eine PHP-Modul > Geschichte gewesen sein. > b) Der Kernel war recht alt. 2.4.xx (aber eben eine alte Version). > Wenn ich mich recht erinnere, gab es da ja mal ein paar Kernel > Exploits. Das ist mit die gefährlichste Kombination die man haben kann: Web-Scripte, die externe Informationen verarbeiten und nicht auf dem aktuellsten Stand sind und ein veralteter Kernel, über den ein Angreifer seine Rechte erhöhen kann. In dieser Konstellation hätte dir auch auch chroot nicht geholfen, da man daraus auch ausbrechen kann, sobald man erst einmal root ist. S° -- Sven Hartge -- professioneller Unix-Geek Meine Gedanken im Netz: http://sven.formvision.de/blog/ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
