Re: Fw: Einbruch in Rechner
On Sun, Jul 20, 2003 at 07:30:35PM +0200, Andreas Kretschmer wrote: am Sun, dem 20.07.2003, um 19:24:22 +0200 mailte Björn Gaworski folgendes: Linux ist so sicher, wie der Administrator es einstellt. Ich dachte immer Linux Standard Policy ist verbiete alles! Ich habe es Nein, das ist von Distri zu Distri schon unterschiedlich. Was IMHO default zu 100% sicher ist: KNOPPIX. Da lauscht nix nach außen. Naja 100% wohl auch nicht. Prinzipiell kann jetzt Software, inklusive der Kernel aufgrund von Bugs Dinge tun, die nicht vorgesehen sind. Gefählich wirds dann, wenn jemand von außen die Software so mit Daten füttern kann, daß sie Dinge tut, die seinen bösartigen zwecken dienen. Dies hat mit von außen zugänglichen Diensten nichts mehr zu tun. Draus leitet sich z.B. die Empfehlung ab, sowenig Dinge wie mögliche als root zu tun, um in einem solchen Fall die tragweite eines Angriffes zu beschränken. Beispielsweise könnte dein E-Mail-Programm einen Fehler enthalten, der sich ausnutzen läßt um beliebigen Code auszuführen. Ich könnte nun Dir eine E-Mail schicken, die diesen Fehler ausnutzt, und ein Stück Code ausführt, der mir deine Online-Banking-Daten von gnucash zusendet. Deswegen recht es leider weder aus, Ports zu schließen, Firewalls irgendwo zwischenzuhänge, oder Dienste generell nicht nach außen anzubieten. Die Windows-typischen E-Mail-Würmer funktioneren ja genau nach diesem Prinzip. -billy. -- Meisterbohne Meisterbohne GbR, Küfner, Mekle, Meier Tel: +49-731-399 499-0 eLösungen Söflinger Straße 100 Fax: +49-731-399 499-9 89077 Ulm http://www.meisterbohne.de/ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Fw: Einbruch in Rechner
Naja 100% wohl auch nicht. Prinzipiell kann jetzt Software, inklusive der Kernel aufgrund von Bugs Dinge tun, die nicht vorgesehen sind. Gefählich wirds dann, wenn jemand von außen die Software so mit Daten füttern kann, daß sie Dinge tut, die seinen bösartigen zwecken dienen. Dies hat mit von außen zugänglichen Diensten nichts mehr zu tun. Draus leitet sich z.B. die Empfehlung ab, sowenig Dinge wie mögliche als root zu tun, um in einem solchen Fall die tragweite eines Angriffes zu beschränken. Beispielsweise könnte dein E-Mail-Programm einen Fehler enthalten, der sich ausnutzen läßt um beliebigen Code auszuführen. Ich könnte nun Dir eine E-Mail schicken, die diesen Fehler ausnutzt, und ein Stück Code ausführt, der mir deine Online-Banking-Daten von gnucash zusendet. Deswegen recht es leider weder aus, Ports zu schließen, Firewalls irgendwo zwischenzuhänge, oder Dienste generell nicht nach außen anzubieten. Die Windows-typischen E-Mail-Würmer funktioneren ja genau nach diesem Prinzip. -billy. Gegen so etwas kann man sich sowieso nie schützen, außer man verbietet es generell ausführbare Programme per Mail zu versenden, was Outlook Express mittlerweile tut ;) Kann man aber zum Glück ausschalten. Bei den meisten Kiddiewürmern für Windows liegt es immer noch am User, der die Mail empfängt das Programm auszuführen. Ist für Linux ja auch nicht weiter schwer soetwas zu programmieren. Bei ausführen einfach mal die Kontaktliste auslesen und sich selber an alle Adressen versenden, wenns der User startet, selber Schuld :D __ Björn -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Fw: Einbruch in Rechner
On Tue, Jul 22, 2003 at 07:36:32PM +0200, Björn Gaworski wrote: Beispielsweise könnte dein E-Mail-Programm einen Fehler enthalten, der sich ausnutzen läßt um beliebigen Code auszuführen. Ich könnte nun Dir eine E-Mail schicken, die diesen Fehler ausnutzt, und ein Stück Code ausführt, der mir deine Online-Banking-Daten von gnucash zusendet. Deswegen recht es leider weder aus, Ports zu schließen, Firewalls irgendwo zwischenzuhänge, oder Dienste generell nicht nach außen anzubieten. Die Windows-typischen E-Mail-Würmer funktioneren ja genau nach diesem Prinzip. -billy. Gegen so etwas kann man sich sowieso nie schützen, außer man verbietet es generell ausführbare Programme per Mail zu versenden, was Outlook Express mittlerweile tut ;) Kann man aber zum Glück ausschalten. Das ist nicht das, worauf ich hinauswollte. Mit ausführbaren Dateien ist ja klar. Ich schick die ein shellscript mit 'sudo nohup rm -rf / ' und so weiter. Das fiese ist, wenn dein Mailprogramm einen bug hat, z.B. einen Pufferüberlauf bei der Behandlung des Subjects, dann kann ich Dir eine meine mit einem specially crafted, also speziell erzeugtem Subject schicke, und -- ohne das das ausfürbahre Attachments sind, oder Du etwas anklicken mußt -- wird bei der Darstellung der Liste der neuen Mails dein Mail-Programm einen Schluckaufbekommen und meinen code ausführen. IMHO hatte mutt im letzten halben Jahr mal einen Buffer-Overflow-Bug, weiß jetzt aber nicht mehr, ob der einen remote code exploit ermöglicht hat. -billy. -- Meisterbohne Meisterbohne GbR, Küfner, Mekle, Meier Tel: +49-731-399 499-0 eLösungen Söflinger Straße 100 Fax: +49-731-399 499-9 89077 Ulm http://www.meisterbohne.de/ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Fw: Einbruch in Rechner
Das ist nicht das, worauf ich hinauswollte. Mit ausführbaren Dateien ist ja klar. Ich schick die ein shellscript mit 'sudo nohup rm -rf / ' und so weiter. Das fiese ist, wenn dein Mailprogramm einen bug hat, z.B. einen Pufferüberlauf bei der Behandlung des Subjects, dann kann ich Dir eine meine mit einem specially crafted, also speziell erzeugtem Subject schicke, und -- ohne das das ausfürbahre Attachments sind, oder Du etwas anklicken mußt -- wird bei der Darstellung der Liste der neuen Mails dein Mail-Programm einen Schluckaufbekommen und meinen code ausführen. IMHO hatte mutt im letzten halben Jahr mal einen Buffer-Overflow-Bug, weiß jetzt aber nicht mehr, ob der einen remote code exploit ermöglicht hat. -billy. Ja stimmt, die meisten solcher Bugs sind darauf zurückzuführen, das die Programmierer Buffer nicht rcihtig verwalten können, und es zu Overflows bzw. Underruns kommt. Und das obwohl die eigentlich wissen sollten, wie man es richtig macht. __ Björn -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Fw: Einbruch in Rechner
On Die, 22 Jul 2003 at 20:48 (+0200), Björn Gaworski wrote: [...] Ja stimmt, die meisten solcher Bugs sind darauf zurückzuführen, das die Programmierer Buffer nicht rcihtig verwalten können, und es zu Overflows bzw. Underruns kommt. Und das obwohl die eigentlich wissen sollten, wie man es richtig macht. Nur mal so aus Interesse: Was haben Buffer underruns mit Sicherheitslecks zu tun? Jan -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Fw: Einbruch in Rechner
On Tue, Jul 22, 2003 at 09:52:46PM +0200, Jan Trippler wrote: On Die, 22 Jul 2003 at 20:48 (+0200), Björn Gaworski wrote: [...] Ja stimmt, die meisten solcher Bugs sind darauf zurückzuführen, das die Programmierer Buffer nicht rcihtig verwalten können, und es zu Overflows bzw. Underruns kommt. Und das obwohl die eigentlich wissen sollten, wie man es richtig macht. Nur mal so aus Interesse: Was haben Buffer underruns mit Sicherheitslecks zu tun? Ich versuch das als nicht-C-Programmierer mal möglichst einfach zu erklären. Meistens reserviert Software für die Speicherung von Daten, wie z.B. Zeichenketten einen festen Speicherbereich. Wird nun beim Kopieren von Daten in diese Speicherbereiche z.B. beim Einlesen von eMails oder eines HTTP-Requests die Größe dieses Bereichs nicht überprüft, so werden andere Bereiche im Speicher überschrieben. Unter umständen sind das dummerweise Bereiche, in dem nicht Daten gespeichert sind, sondern der ausführbare Maschinencode. Ist dem Angreifer das Opfer-System bekannt, als ist das ein x86-System oder ein PowerPC, läuft ein Linux / BSD / MacOS, und welche Version hat z.B. der Apache, so läßt sich unter Umständen ein solcher Fehler zur geziehlten Ausführung von bösartigem Code ausnutzen. (Dies ist ein Grund, warum manche Betreiber von Webservern z.B. die Rückmeldung, um welches System es sich handelt, und welche Softwareversion eingestzt wird unterdrücken.) Dererlei Angriffe sind allerdings nicht ganz trivial, da je nach System ein spezieller Angriff gebastelt werden muß. IIRC gibt es allerdings auch dafür schon unterstützende Tools. -billy. -- Meisterbohne Meisterbohne GbR, Küfner, Mekle, Meier Tel: +49-731-399 499-0 eLösungen Söflinger Straße 100 Fax: +49-731-399 499-9 89077 Ulm http://www.meisterbohne.de/ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Fw: Einbruch in Rechner
On Die, 22 Jul 2003 at 22:35 (+0200), Philipp Meier wrote: On Tue, Jul 22, 2003 at 09:52:46PM +0200, Jan Trippler wrote: On Die, 22 Jul 2003 at 20:48 (+0200), Björn Gaworski wrote: [...] Ja stimmt, die meisten solcher Bugs sind darauf zurückzuführen, das die Programmierer Buffer nicht rcihtig verwalten können, und es zu Overflows bzw. Underruns kommt. Und das obwohl die eigentlich wissen sollten, wie man es richtig macht. Nur mal so aus Interesse: Was haben Buffer underruns mit Sicherheitslecks zu tun? Ich versuch das als nicht-C-Programmierer mal möglichst einfach zu erklären. [...] Und ich als (auch) C-Programmierer frage deshalb, weil Du hier Buffer *Overflows* meinst - Buffer *Underruns* treten im Allgemeinen im Zusammenhang mit CD-/DVD-Brennern auf und haben überhaupt nix mit Sicherheitslecks zu tun. Jan -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Fw: Einbruch in Rechner
On Die, 22 Jul 2003 at 22:35 (+0200), Philipp Meier wrote: On Tue, Jul 22, 2003 at 09:52:46PM +0200, Jan Trippler wrote: On Die, 22 Jul 2003 at 20:48 (+0200), Björn Gaworski wrote: [...] Ja stimmt, die meisten solcher Bugs sind darauf zurückzuführen, das die Programmierer Buffer nicht rcihtig verwalten können, und es zu Overflows bzw. Underruns kommt. Und das obwohl die eigentlich wissen sollten, wie man es richtig macht. Nur mal so aus Interesse: Was haben Buffer underruns mit Sicherheitslecks zu tun? Ich versuch das als nicht-C-Programmierer mal möglichst einfach zu erklären. [...] Und ich als (auch) C-Programmierer frage deshalb, weil Du hier Buffer *Overflows* meinst - Buffer *Underruns* treten im Allgemeinen im Zusammenhang mit CD-/DVD-Brennern auf und haben überhaupt nix mit Sicherheitslecks zu tun. Jan Nun ja, sicherlich ist das der bekannteste Bufferunderun. Buffer underrun ist aber auch , wenn ein Programm auf eine Speicheradresse zugreift, die es sich zwar reserviert hat, aber z.B. nicht mit 0 o.ä. initialisiert hat und in der momentan undefiniertes steht. Das kann zum Absturz des Programms führen oder zu anderem unerwartetem Verhalten. Das hat jetzt indirekt etwas mit sicherheitslecks zu tun, da, wenn man dieses Fehlverhalten z.B. einer Firewall kennt, man es vielleicht als Angreifer herbeiführen kann und schon stürzt die Firewall ab. In erster Linie habe ich das aber der vollständigkeit halber erwähnt, und wollte eigentlich nur sagen, das man als Programmierer auf beides achten muss, über- und unterläufe. __ Björn -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Fw: Einbruch in Rechner
On Tue, Jul 22, 2003 at 11:31:40PM +0200, Jan Trippler wrote: On Die, 22 Jul 2003 at 22:35 (+0200), Philipp Meier wrote: On Tue, Jul 22, 2003 at 09:52:46PM +0200, Jan Trippler wrote: On Die, 22 Jul 2003 at 20:48 (+0200), Björn Gaworski wrote: [...] Ja stimmt, die meisten solcher Bugs sind darauf zurückzuführen, das die Programmierer Buffer nicht rcihtig verwalten können, und es zu Overflows bzw. Underruns kommt. Und das obwohl die eigentlich wissen sollten, wie man es richtig macht. Nur mal so aus Interesse: Was haben Buffer underruns mit Sicherheitslecks zu tun? Ich versuch das als nicht-C-Programmierer mal möglichst einfach zu erklären. [...] Und ich als (auch) C-Programmierer frage deshalb, weil Du hier Buffer *Overflows* meinst - Buffer *Underruns* treten im Allgemeinen im Zusammenhang mit CD-/DVD-Brennern auf und haben überhaupt nix mit Sicherheitslecks zu tun. Buffer Underruns wurden von Björn erwähnt und nicht von mir ;-) Theoretisch ist es bestimmt möglich Buffer Underruns auf für exploits zu nutzen. Ich interpretieres Buffer Underrun mal als den Fall, daß in dem entsprechenden Bereich noch vorhandene Daten nicht gelöscht werden und sich somit somit mit den neuen Daten vermischen / sich anhängen und insofern diese verschmutzen. Keine Ahnung, ob sowas in der freien Wildbahn schonmal als exploit umgesetzt wurde. -billy. -- Meisterbohne Meisterbohne GbR, Küfner, Mekle, Meier Tel: +49-731-399 499-0 eLösungen Söflinger Straße 100 Fax: +49-731-399 499-9 89077 Ulm http://www.meisterbohne.de/ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Fw: Einbruch in Rechner
* Björn Gaworski [EMAIL PROTECTED] [030720 13:44]: chkrootkit ist nicht installiert, also kann ich das leider nicht starten. Das ist auch durchaus sinnvoll so. Was nützt es dir einen rootkit-Finder installiert zu haben, wenn der, der ein rootkit installiert, auch gleich den rootkit-Finder austauschen kann? Ich werd das System jetzt neu installieren. Sofern du nicht offentsichtliches in den Logdateien gefunden hast, wirst du dann aber nicht herausfinden, wie dein System kompromitiert wurde, und es eigentlich nur eine Frage der Zeit, bis jemand die gleiche Lücke wieder ausnutzt. Yours sincerely Alexander -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Fw: Einbruch in Rechner
Alexander Schmehl schrieb: * Björn Gaworski [EMAIL PROTECTED] [030720 13:44]: chkrootkit ist nicht installiert, also kann ich das leider nicht starten. Das ist auch durchaus sinnvoll so. Was nützt es dir einen rootkit-Finder installiert zu haben, wenn der, der ein rootkit installiert, auch gleich den rootkit-Finder austauschen kann? Ich werd das System jetzt neu installieren. Sofern du nicht offentsichtliches in den Logdateien gefunden hast, wirst du dann aber nicht herausfinden, wie dein System kompromitiert wurde, und es eigentlich nur eine Frage der Zeit, bis jemand die gleiche Lücke wieder ausnutzt. Yours sincerely Alexander -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Fw: Einbruch in Rechner
Ich werd das System jetzt neu installieren. Sofern du nicht offentsichtliches in den Logdateien gefunden hast, wirst du dann aber nicht herausfinden, wie dein System kompromitiert wurde, und es eigentlich nur eine Frage der Zeit, bis jemand die gleiche Lücke wieder ausnutzt. Yours sincerely Alexander mich würde mal als relativem Anfänger und glücklicherweise wahrscheinlich auch nocht nicht aus dem Internet Überfallenen interessieren: - woran merkt man eindeutig, dass man von jemanden aus dem Web beklaut wurde oder so ? Wo wird das angezeigt ? - kann man sich mit einem DSL- Router, von dem der Hersteller behauptet, er habe Firewall-Funktion (NETGEAR), als sicher zurücklehnen? Selbst habe ich da wenig eingestellt. Nur so ein Portscanner im WEB hat festgestellt, dass ich rundherum dicht wäre. - Wie kann man das überhaupt selbst so testen, dass man sich hundertprozentig drauf verlassen kann ? Reichen diese Online-Portscanner aus dem Internet ? Fragen über Fragen, aber dazu sind die Experten hier ja da, dass man sie ausdrückt, oder ? ;-) Gruss Peter -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Fw: Einbruch in Rechner
* [EMAIL PROTECTED] (Peter Schubert) wrote: - woran merkt man eindeutig, dass man von jemanden aus dem Web beklaut wurde oder so ? Merkwürdiges Verhalten des Rechners bzw. regelmäßiges Durchsehen der relevanten Logdateien sollten erste Anlaufpunkte für Auffälligkeiten sein. Wo wird das angezeigt ? Logdateien, nicht erwartetes Verhalten/merkwürdige Rechte bzw. Größen von Systemdateien. - kann man sich mit einem DSL- Router, von dem der Hersteller behauptet, er habe Firewall-Funktion (NETGEAR), als sicher zurücklehnen? Nein, natürlich nicht. Selbst habe ich da wenig eingestellt. Nur so ein Portscanner im WEB hat festgestellt, dass ich rundherum dicht wäre. - Wie kann man das überhaupt selbst so testen, dass man sich hundertprozentig drauf verlassen kann ? Reichen diese Online-Portscanner aus dem Internet ? Einem Onlineportscanner traue ich nicht weiter, als ich ihn werfen kann. Sie liefern zu oft Falschaussagen. Schau Dir mal nessus oder nmap an. Fragen über Fragen, aber dazu sind die Experten hier ja da, dass man sie ausdrückt, oder ? ;-) Ich würde mich eher an die Newsgroup de.comp.security.firewall wenden. Gruß, Marcus -- Lungenzüge tief ins Leere keinen Klepper, keine Mähre wie der Springer im Spiel der Spiele Der Tod ist ein Dandy -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Fw: Einbruch in Rechner
Achso, hatte ich vergessen zu erwähnen: die Logfiles sind alle gelöscht :( Ich find das eh fragwürdig, weil ich Woody installiert hab und nix besonderes verändert oder eingestellt hab. Alle Useraccounts sind durch Passwörter geschützt. Ansich hatte ich immer gedacht Linux wär dann sicher, jetzt bin ich auf jeden Fall ziemlich enttäuscht und 'freue' mich jetzt schon dadrauf alles neu zu installieren. Daten waren zum Glück keine drauf und die ganzen Configs aus /etc hab ich sowieso gesichert. Also kein Verlust. Aber ich will halt wissen, wie so etwas passieren kann. Aber so wie ich das sehe krieg ich das ohne die Logs eh nicht raus. __ Björn - Original Message - From: Alexander Schmehl [EMAIL PROTECTED] To: [EMAIL PROTECTED] Sent: Sunday, July 20, 2003 2:00 PM Subject: Re: Fw: Einbruch in Rechner * Björn Gaworski [EMAIL PROTECTED] [030720 13:44]: chkrootkit ist nicht installiert, also kann ich das leider nicht starten. Das ist auch durchaus sinnvoll so. Was nützt es dir einen rootkit-Finder installiert zu haben, wenn der, der ein rootkit installiert, auch gleich den rootkit-Finder austauschen kann? Ich werd das System jetzt neu installieren. Sofern du nicht offentsichtliches in den Logdateien gefunden hast, wirst du dann aber nicht herausfinden, wie dein System kompromitiert wurde, und es eigentlich nur eine Frage der Zeit, bis jemand die gleiche Lücke wieder ausnutzt. Yours sincerely Alexander -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl) -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Fw: Einbruch in Rechner
Also es zu merken war nicht schwer: ich hatte nen fremden Useraccount in meinem System, die Netzwerkkarte zum lokalen Netz läuft nicht mehr und ich kann als root keine Netzwerkeinstellungen vornehmen. __ Björn - Original Message - From: Peter Schubert [EMAIL PROTECTED] To: [EMAIL PROTECTED] Sent: Sunday, July 20, 2003 3:28 PM Subject: Re: Fw: Einbruch in Rechner Ich werd das System jetzt neu installieren. Sofern du nicht offentsichtliches in den Logdateien gefunden hast, wirst du dann aber nicht herausfinden, wie dein System kompromitiert wurde, und es eigentlich nur eine Frage der Zeit, bis jemand die gleiche Lücke wieder ausnutzt. Yours sincerely Alexander mich würde mal als relativem Anfänger und glücklicherweise wahrscheinlich auch nocht nicht aus dem Internet Überfallenen interessieren: - woran merkt man eindeutig, dass man von jemanden aus dem Web beklaut wurde oder so ? Wo wird das angezeigt ? - kann man sich mit einem DSL- Router, von dem der Hersteller behauptet, er habe Firewall-Funktion (NETGEAR), als sicher zurücklehnen? Selbst habe ich da wenig eingestellt. Nur so ein Portscanner im WEB hat festgestellt, dass ich rundherum dicht wäre. - Wie kann man das überhaupt selbst so testen, dass man sich hundertprozentig drauf verlassen kann ? Reichen diese Online-Portscanner aus dem Internet ? Fragen über Fragen, aber dazu sind die Experten hier ja da, dass man sie ausdrückt, oder ? ;-) Gruss Peter -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl) -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Fw: Einbruch in Rechner
Bitte kein ToFu hier! Siehe http://www.oe-faq.de.vu/! * Björn Gaworski [EMAIL PROTECTED] wrote: Ich find das eh fragwürdig, weil ich Woody installiert hab und nix besonderes verändert oder eingestellt hab. Alle Useraccounts sind durch Woody zu installieren, reicht alleine nicht. Waren auch die aktuellsten Sicherheitsupdates drauf? Passwörter geschützt. Ansich hatte ich immer gedacht Linux wär dann sicher, Man muß nicht unbedingt Passwörter zu knacken, um eine Maschine zu kompromittieren. Schon mal von Remote Root Exploits gehört? Manches ist sicherer als anderes, aber _nichts_ ist 100% sicher. jetzt bin ich auf jeden Fall ziemlich enttäuscht und 'freue' mich jetzt schon dadrauf alles neu zu installieren. Gruß, Marcus -- Du kannst doch nicht Frauen und Kinder erschiessen! - Das ist leicht. Du darfst nur nicht so weit vorhalten! Hahahaha... Krieg ist die Hölle! -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Fw: Einbruch in Rechner
Marcus Frings schrieb: * [EMAIL PROTECTED] (Peter Schubert) wrote: - woran merkt man eindeutig, dass man von jemanden aus dem Web beklaut wurde oder so ? Merkwürdiges Verhalten des Rechners bzw. regelmäßiges Durchsehen der relevanten Logdateien sollten erste Anlaufpunkte für Auffälligkeiten sein. evtl. mal welche Dateien, wo ? /etc/xyz. Wo wird das angezeigt ? Logdateien, nicht erwartetes Verhalten/merkwürdige Rechte bzw. Größen von Systemdateien. im Verzeichnis /var/ ? Dort habe ich bemerkt, dass manchmal bis zu einem Gigabyte Masse drinnen war, die aber in der nächsten Sitzung wieder verschwunden war. Kann aber nicht genau sagen, wo. Ich würde mich eher an die Newsgroup de.comp.security.firewall wenden. das ist ein guter Hinweis, Danke. Ich hoffe nur, dass dort nicht nur Windows-User drin sind. Gruss Peter -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Fw: Einbruch in Rechner
Björn Gaworski schrieb: Also es zu merken war nicht schwer: ich hatte nen fremden Useraccount in meinem System, die Netzwerkkarte zum lokalen Netz läuft nicht mehr und ich kann als root keine Netzwerkeinstellungen vornehmen. __ Björn mal von der reinen menschlichen Logik her - dann muss der Einbrecher aber ein ziemlicher Idiot sein, wenn er noch einen eigenen und damit hausfremden User-Account hinterläßt. Hat das eventuell Linux nicht selbst angelegt und es war einer der vielen vielen Nutzer, die Linux namentlich vorhält? Also, ich dachte nur, wenn ich irgendwo in einen fremden Rechner reinkriechen würde, würde ich doch nicht noch einen Haufen Spuren hinterlassen. Aber wie gesagt, dass ist die naive logische Denkweise eines Anfängers. Hacker haben eventuell eine andere Logik ;-) Gruss Peter -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Fw: Einbruch in Rechner
Du plenkst. Bitte abstellen! [Plenken = Leerzeichen zwischen Wort und Satzzeichen einfügen] * [EMAIL PROTECTED] (Peter Schubert) wrote: Marcus Frings schrieb: * [EMAIL PROTECTED] (Peter Schubert) wrote: - woran merkt man eindeutig, dass man von jemanden aus dem Web beklaut wurde oder so ? Merkwürdiges Verhalten des Rechners bzw. regelmäßiges Durchsehen der relevanten Logdateien sollten erste Anlaufpunkte für Auffälligkeiten sein. evtl. mal welche Dateien, wo ? /etc/xyz. Schau Dir mal an, was alles so in /var/log/ herumfliegt. Wo wird das angezeigt ? Logdateien, nicht erwartetes Verhalten/merkwürdige Rechte bzw. Größen von Systemdateien. im Verzeichnis /var/ ? Kann überall sein. Bekannte Kandidaten sind aber eher /dev/, /(s)bin und /usr/(s)bin. Ich würde mich eher an die Newsgroup de.comp.security.firewall wenden. das ist ein guter Hinweis, Danke. Ich hoffe nur, dass dort nicht nur Windows-User drin sind. LOL! Danke, gesiggt! Du wirst Dich noch wundern, wenn Du die Gruppe liest. Gruß, Marcus -- Du kannst doch nicht Frauen und Kinder erschiessen! - Das ist leicht. Du darfst nur nicht so weit vorhalten! Hahahaha... Krieg ist die Hölle! -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Fw: Einbruch in Rechner
On Sunday 20 July 2003 15:28, Peter Schubert wrote: Ich werd das System jetzt neu installieren. Sofern du nicht offentsichtliches in den Logdateien gefunden hast, wirst du dann aber nicht herausfinden, wie dein System kompromitiert wurde, und es eigentlich nur eine Frage der Zeit, bis jemand die gleiche Lücke wieder ausnutzt. Yours sincerely Alexander mich würde mal als relativem Anfänger und glücklicherweise wahrscheinlich auch nocht nicht aus dem Internet Überfallenen interessieren: - woran merkt man eindeutig, dass man von jemanden aus dem Web beklaut wurde oder so ? Im schlechtesten Fall gar nicht. Ich kenne da Beispiele in denen Firmen das erst gemerkt haben nachdem sie von aussen darauf aufmerksam gemacht wurden. Wo wird das angezeigt ? Wie schon gesagt erst mal nirgendwo. - kann man sich mit einem DSL- Router, von dem der Hersteller behauptet, er habe Firewall-Funktion (NETGEAR), als sicher zurücklehnen? Selbst habe ich da wenig eingestellt. Nur so ein Portscanner im WEB hat festgestellt, dass ich rundherum dicht wäre. Es ist eine irrige Annahme zu glauben durch eine Firewall hätte man alle Probleme vom Hals. Netzwerk-Sicherheit ist kein Gegenstand wie ein Schloss oder wie die Hersteller solcher Geräte zum Teil anpreisen, eine Black Box an der ominöse Lichter blinken und die ab und zu mal zu schweren sakralen Klängen ein wenig gespenstischen Rauch von sich gibt. Netzwerk-Sicherheit ist ein ständiger Prozess eine Umgebung auf dem aktuellen Stand der Zeit zu halten - Wie kann man das überhaupt selbst so testen, dass man sich hundertprozentig drauf verlassen kann ? Reichen diese Online-Portscanner aus dem Internet ? Für jemanden der sich von zu Hause ins Internet einwählt ist das erst einmal schon ein Weg um zu erkennen ob irgendwelche Dienste, über die Ports, nach aussen hin angeboten werden die da nichts zu suchen haben. http://scan.sygatetech.com/ ist da nicht schlecht. Auf einer Maschine auf der keine Dienste nach aussen angeboten werden könnte man sogar auf eine Firewall verzichten. Fragen über Fragen, aber dazu sind die Experten hier ja da, dass man sie ausdrückt, oder ? ;-) Ich kann ein Buch aus dem dpunkt-Verlag dazu empfehlen: Linux Sicherheit von Tobias Klein. Mit annähernd 1000 Seiten recht umfangreich und auf deutsch. Tschüss, Thomas -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Fw: Einbruch in Rechner
* Björn Gaworski [EMAIL PROTECTED] [030720 15:43]: Ich find das eh fragwürdig, weil ich Woody installiert hab und nix besonderes verändert oder eingestellt hab. Alle Useraccounts sind durch Passwörter geschützt. Ansich hatte ich immer gedacht Linux wär dann sicher, jetzt bin ich auf jeden Fall ziemlich enttäuscht und 'freue' mich jetzt schon dadrauf alles neu zu installieren. Linux ist so sicher, wie der Administrator es einstellt. Also kein Verlust. Aber ich will halt wissen, wie so etwas passieren kann. Klartext-Protokolle benutzt? Nicht die aktuellen Sicherheits-Updates eingespielt? Schlecht gepflegte Backports eingespielt? Aber so wie ich das sehe krieg ich das ohne die Logs eh nicht raus. Wahrscheinlich nicht, aber ich verweise mal auf die Debian Security Manual http://www.debian.org/doc/manuals/securing-debian-howto/ (bzw. die nicht ganz aktuelle Übersetzung unter http://www.cs.uni-frankfurt.de/~schmehl/securing-debian/ ). Yours sincerely Alexander -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Fw: Einbruch in Rechner
On Sun, Jul 20, 2003 at 04:06:18PM +0200, Peter Schubert wrote: Björn Gaworski schrieb: Also es zu merken war nicht schwer: ich hatte nen fremden Useraccount in meinem System, die Netzwerkkarte zum lokalen Netz läuft nicht mehr und ich kann als root keine Netzwerkeinstellungen vornehmen. __ Björn mal von der reinen menschlichen Logik her - dann muss der Einbrecher aber ein ziemlicher Idiot sein, wenn er noch einen eigenen und damit hausfremden User-Account hinterläßt. Hat das eventuell Linux nicht selbst angelegt und es war einer der vielen vielen Nutzer, die Linux namentlich vorhält? Ich hörte noch nie davon, daß das System einen Systemuser musti hat. Also, ich dachte nur, wenn ich irgendwo in einen fremden Rechner reinkriechen würde, würde ich doch nicht noch einen Haufen Spuren hinterlassen. Aber wie gesagt, dass ist die naive logische Denkweise eines Anfängers. Hacker haben eventuell eine andere Logik ;-) Soweit ich das hier mitbekommen habe, war das weder Hacker noch Cracker sondern einfach irgendein Hirni, der keinen blassen Schimmer hatte. Das einzig inetressante an der Geschichte ist herauszufinden _wie_ er ins System gekommen ist. Dabei sollte man sich folgendes im Hinterkopf behalten: - Der Typ ist ein Dilletant - Er hat mit sicherheit nicht irgendeine neue Lücke gefunden, sondern was bewährtes genutzt. - Höchstwahrscheinlich was altbewährtes. Die Auswahl dürfte nicht allzugroß sein. Gruss Peter gruss f -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Fw: Einbruch in Rechner
Frank Lorenzen schrieb: Soweit ich das hier mitbekommen habe, war das weder Hacker noch Cracker sondern einfach irgendein Hirni, der keinen blassen Schimmer hatte. Das einzig inetressante an der Geschichte ist herauszufinden _wie_ er ins System gekommen ist. Dabei sollte man sich folgendes im Hinterkopf behalten: - Der Typ ist ein Dilletant - Er hat mit sicherheit nicht irgendeine neue Lücke gefunden, sondern was bewährtes genutzt. - Höchstwahrscheinlich was altbewährtes. *Altbewährtes ? da müssten ja die Expis ruckzuck drauf kommen ? Die Auswahl dürfte nicht allzugroß sein. und wie sieht es damit aus, dass es Zufall war, dass er in das besagte System hineinfiel... ? Peter -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Fw: Einbruch in Rechner
On Sun, Jul 20, 2003 at 03:43:43PM +0200, Björn Gaworski wrote: Achso, hatte ich vergessen zu erwähnen: die Logfiles sind alle gelöscht :( Ich find das eh fragwürdig, weil ich Woody installiert hab und nix besonderes verändert oder eingestellt hab. Alle Useraccounts sind durch Passwörter geschützt. Ansich hatte ich immer gedacht Linux wär dann sicher, Falsch gedacht. Es gibt keine größere Lüge als Linux ist per Default sicher. Vorzugsweise werden solche Märchen von einschlägiger Fach- und Lachliteratur sowie von allzu eifrigen Predigern des wahren Glaubens (Kicher, Gacker, lach, *ROTFL*) verbreitet. Stets im Hinterkopf behalten: *) Sicherheit ist ein Prozess, kein Zustand. *) Dieser Prozess erreicht _nie_ _nie_ _niemalsnicht_ 100% Ich bin übrigens der Meinung, daß (Netzwerktechnisch) ein Linux-Rechner in unkundigen Händen mehr Schaden anrichten kann als eine Win-Büchse in kundigen Händen. Im speziellen bei Debian sollte man auf folgendes Achten: Die Release-Zyklen sind bei Debian relativ groß. Auch die sub-Releases, also 3.0r0, 3.0r1, usw., lassen sich meist viel Zeit. Deshalb ist es _unumgänglich_ security.debian.org mit in die apt-quellen einzubeziehen. In durch Marketing vorangetriebenen Distributionszyklen fällt das nicht so sehr ins Gewicht, da, sofern man immer updated, öfter frische und damit meist auch fehlerbereinigte Software ins System kommt. Das dabei auch immer mal wieder neue Fehler ins System kommen sollte man aber auch niucht vergessen. Die Security Updates von Debian stellen hierzu einen Goldenen Mittelweg da. Hier werden bewußt auch in neue Upstream Versionen eingearbeitete Fixes auf die Version in Stable backgeported. Und selbst hierbei schleichen sich gelegentlich Fehler ein; Ich kann mich da an einen Fix erinner, der 1 Tag später gleich wieder gefixt wurde. Ein guter und meist auch sehrhilfreicher Tip ist folgender: *) Jeder laufende Service sollte nur an die Interfaces gebunden werden, auf denen er auch gebraucht wird. Damit hast du schon mal viel gewonnen. Ein Apache der ein bischen Intranet macht muß nicht von Außen erreichbar sein. Damit hast Du gleichzeitig eventuelle Apache-Exploits _von Außen_ abgewehrt. Sollte jemand von innen einen Angriff fahren bringt die das natürlich nix. jetzt bin ich auf jeden Fall ziemlich enttäuscht und 'freue' mich jetzt schon dadrauf alles neu zu installieren. Das solltest Du auf _jeden_ Fall tun. Mach aber bitte nicht den Fehler die Kiste wieder ganz genauso aufzusetzen, den ndann: Gewinn = 0 Daten waren zum Glück keine drauf und die ganzen Configs aus /etc hab ich sowieso gesichert. Also kein Verlust. Aber ich will halt wissen, wie so etwas passieren kann. Aber so wie ich das sehe krieg ich das ohne die Logs eh nicht raus. Ein Loghost regelt gelegentlich. __ Björn gruss f -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Fw: Einbruch in Rechner
On Sun, Jul 20, 2003 at 06:34:59PM +0200, Peter Schubert wrote: [...] *Altbewährtes ? da müssten ja die Expis ruckzuck drauf kommen ? Nun, im Unix/linux Bereich geht es zum Glück noch nicht so schlimm zu wie mit diesen rasend schnellen Würmern unter Windows. Aber im prinzip hast du recht. Es gibt einige ready-to-use Exploits/Rootkits. Wenn man solche konsequent einsetzt (wenn viele das einsetzen) wird sicher auch der Hilfe ich wurde gerootet Aufschrei lauter werden. [...] und wie sieht es damit aus, dass es Zufall war, dass er in das besagte System hineinfiel... ? u Ich gehe sogar davon aus, daß es zufall war das er in _dein_ System rein ist. Er hat nur nicht per Zufall eine Lücke gefunden. Peter gruss f -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Fw: Einbruch in Rechner
On Sun, Jul 20, 2003 at 06:49:12PM +0200, Frank Lorenzen wrote: [...] Snip Axo, fast hätt ichs vergessen. Hilfreich könnte sein, wenn du auf dem kompromittierten Rechner mal ein dpkg -l laufen lässt und die Ausgabe hier postest. Daraus könnte man zumindest mal schließen, ob es an alter, anfälliger Software lag, oder doch was ganz anderes war. Ich gehe nicht davon aus, daß der Angreifer die Paketdatenbank verändert hat um seine Einbruchsstelle zu verschleiern, obwohl das zugegebenermaßen mal eine nette Idee wäre ;-) gruss f -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Fw: Einbruch in Rechner
Ich werde demnächst mal ein dpkg -l hier reinposten, wenn ich es hinbekommen habe zu dem rechner wieder eine netzwerkverbindung herzustellen, ich hab vergessen welche IP Adresse ich der Internetnetzwerkkarte gegeben hab, und ich kann leider nicht mehr nachschauen, da alle Netzwerktools von mir aus nicht gestartet werden können. Mittlerweile habe ich einen Verdacht wie er auf meinen Rechner aufmerksam geworden ist. Punkt 1: Der Typ ist dämmlich und benutzt fertige Kiddie-Tools Punkt 2: Ich bin dämlich, denn ich denke Samba läuft, wenn man es nicht verhindert als Standard auf allen NICs, oder? Dann hatte ich nämlich ne schöne Windowsfreigabe nach außen und es gibt ja wirklich genug Windowsfreigaben-Portscanner. So denke ich mal, ist das abgelaufen. Dann hat der sich wohl ein Rootkit besorgt und ein bischen rumgespielt. __ Björn P.S. dpkg -l folgt -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Fw: Einbruch in Rechner
Hallo, * Björn Gaworski [EMAIL PROTECTED] [030720 15:43]: Ich find das eh fragwürdig, weil ich Woody installiert hab und nix besonderes verändert oder eingestellt hab. Alle Useraccounts sind durch Passwörter geschützt. Ansich hatte ich immer gedacht Linux wär dann sicher, jetzt bin ich auf jeden Fall ziemlich enttäuscht und 'freue' mich jetzt schon dadrauf alles neu zu installieren. Linux ist so sicher, wie der Administrator es einstellt. Ich dachte immer Linux Standard Policy ist verbiete alles! Ich habe es bestimmt nicht so eingerichtet, das jeder sich auf meiner Linuxkiste sich einen Account einrichten darf ;) (...) Aber so wie ich das sehe krieg ich das ohne die Logs eh nicht raus. Wahrscheinlich nicht, aber ich verweise mal auf die Debian Security Manual http://www.debian.org/doc/manuals/securing-debian-howto/ (bzw. die nicht ganz aktuelle Übersetzung unter http://www.cs.uni-frankfurt.de/~schmehl/securing-debian/ ). Yours sincerely Alexander Danke Björn -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Fw: Einbruch in Rechner
am Sun, dem 20.07.2003, um 19:16:27 +0200 mailte Björn Gaworski folgendes: Punkt 2: Ich bin dämlich, denn ich denke Samba läuft, wenn man es nicht verhindert als Standard auf allen NICs, oder? Dann hatte ich nämlich ne Ja, aber man kann es zwingen. Allerdings IMHO nicht den nmbd, aber da bin ich mir nicht ganz sicher. Den smbd aber definitiv. Andreas -- Diese Message wurde erstellt mit freundlicher Unterstützung eines freilau- fenden Pinguins aus artgerechter Freilandhaltung. Er ist garantiert frei von Micro$oft'schen Viren. (#97922 http://counter.li.org) GPG 7F4584DA Was, Sie wissen nicht, wo Kaufbach ist? Hier: N 51.05082°, E 13.56889° ;-) pgp0.pgp Description: PGP signature
Re: Fw: Einbruch in Rechner
Wer Lust hat kann das unten nochmal alles lesen, mein Kommentar dazu: Linux sicher zu halten ist wohl viel komplizierter, als ich es mir vorgestellt habe. Ist ja ein Fulltimejob ;) Mal sehen ob ich dazu noch zeit hab, ansonsten geh ich halt nie mehr ins Internet *lüg* __ Björn - Original Message - From: Frank Lorenzen [EMAIL PROTECTED] To: DEBIAN DE [EMAIL PROTECTED] Sent: Sunday, July 20, 2003 6:40 PM Subject: Re: Fw: Einbruch in Rechner On Sun, Jul 20, 2003 at 03:43:43PM +0200, Björn Gaworski wrote: Achso, hatte ich vergessen zu erwähnen: die Logfiles sind alle gelöscht :( Ich find das eh fragwürdig, weil ich Woody installiert hab und nix besonderes verändert oder eingestellt hab. Alle Useraccounts sind durch Passwörter geschützt. Ansich hatte ich immer gedacht Linux wär dann sicher, Falsch gedacht. Es gibt keine größere Lüge als Linux ist per Default sicher. Vorzugsweise werden solche Märchen von einschlägiger Fach- und Lachliteratur sowie von allzu eifrigen Predigern des wahren Glaubens (Kicher, Gacker, lach, *ROTFL*) verbreitet. Stets im Hinterkopf behalten: *) Sicherheit ist ein Prozess, kein Zustand. *) Dieser Prozess erreicht _nie_ _nie_ _niemalsnicht_ 100% Ich bin übrigens der Meinung, daß (Netzwerktechnisch) ein Linux-Rechner in unkundigen Händen mehr Schaden anrichten kann als eine Win-Büchse in kundigen Händen. Im speziellen bei Debian sollte man auf folgendes Achten: Die Release-Zyklen sind bei Debian relativ groß. Auch die sub-Releases, also 3.0r0, 3.0r1, usw., lassen sich meist viel Zeit. Deshalb ist es _unumgänglich_ security.debian.org mit in die apt-quellen einzubeziehen. In durch Marketing vorangetriebenen Distributionszyklen fällt das nicht so sehr ins Gewicht, da, sofern man immer updated, öfter frische und damit meist auch fehlerbereinigte Software ins System kommt. Das dabei auch immer mal wieder neue Fehler ins System kommen sollte man aber auch niucht vergessen. Die Security Updates von Debian stellen hierzu einen Goldenen Mittelweg da. Hier werden bewußt auch in neue Upstream Versionen eingearbeitete Fixes auf die Version in Stable backgeported. Und selbst hierbei schleichen sich gelegentlich Fehler ein; Ich kann mich da an einen Fix erinner, der 1 Tag später gleich wieder gefixt wurde. Ein guter und meist auch sehrhilfreicher Tip ist folgender: *) Jeder laufende Service sollte nur an die Interfaces gebunden werden, auf denen er auch gebraucht wird. Damit hast du schon mal viel gewonnen. Ein Apache der ein bischen Intranet macht muß nicht von Außen erreichbar sein. Damit hast Du gleichzeitig eventuelle Apache-Exploits _von Außen_ abgewehrt. Sollte jemand von innen einen Angriff fahren bringt die das natürlich nix. jetzt bin ich auf jeden Fall ziemlich enttäuscht und 'freue' mich jetzt schon dadrauf alles neu zu installieren. Das solltest Du auf _jeden_ Fall tun. Mach aber bitte nicht den Fehler die Kiste wieder ganz genauso aufzusetzen, den ndann: Gewinn = 0 Daten waren zum Glück keine drauf und die ganzen Configs aus /etc hab ich sowieso gesichert. Also kein Verlust. Aber ich will halt wissen, wie so etwas passieren kann. Aber so wie ich das sehe krieg ich das ohne die Logs eh nicht raus. Ein Loghost regelt gelegentlich. __ Björn gruss f -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl) -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Fw: Einbruch in Rechner
am Sun, dem 20.07.2003, um 19:24:22 +0200 mailte Björn Gaworski folgendes: Linux ist so sicher, wie der Administrator es einstellt. Ich dachte immer Linux Standard Policy ist verbiete alles! Ich habe es Nein, das ist von Distri zu Distri schon unterschiedlich. Was IMHO default zu 100% sicher ist: KNOPPIX. Da lauscht nix nach außen. Ein Debian, als 'normaler UNIX-Server' installiert, hat schon einige Ports nach außen auf. Ich weiß nicht, wie sich original-debian-SAMBA verhält. Als Admin muß man das halt prüfen, wenn ich in $FIRMA eine Kiste irgendwo ans Internet lasse, mache ich generell und sofort zur Kontrolle einen Portscan von außen auf die Kiste. Auch sollte man das regelmäßig prüfen, manchmal gibt es $KOLLEGEN, die meinen, auf einem Portfilter/iptables später mal noch eben schnell Webmin installieren zu müssen... Andreas -- Diese Message wurde erstellt mit freundlicher Unterstützung eines freilau- fenden Pinguins aus artgerechter Freilandhaltung. Er ist garantiert frei von Micro$oft'schen Viren. (#97922 http://counter.li.org) GPG 7F4584DA Was, Sie wissen nicht, wo Kaufbach ist? Hier: N 51.05082°, E 13.56889° ;-) pgp0.pgp Description: PGP signature
Re: Fw: Einbruch in Rechner
On Sun, Jul 20, 2003 at 07:26:57PM +0200, Björn Gaworski wrote: Wer Lust hat kann das unten nochmal alles lesen, mein Kommentar dazu: Linux sicher zu halten ist wohl viel komplizierter, als ich es mir vorgestellt habe. Ist ja ein Fulltimejob ;) Mal sehen ob ich dazu noch zeit Ganz in Gegenteil. Ich wollte keine Angst schüren oder so, ich habe nur versucht, zugegeben ein wenig wortreich, darzustellen, daß ein Rechner nicht durch das Aufspielen von Linux sicher wird. Bei Debian Stable ist das mit der SSecurity wirkliches easy-going: Due solltest eine Handvoll (wirklich nur _eine_ Handvoll) Regeln beim konfigurieren beachten. Du solltest die Updates von security.debian.org benutzen und einfach 1mal am Tag, sofern du auch an diesem Tag ins Internet gehst per apt-get bzw. dselect verfügbare Updates einspielen. Das ist wirklich Kindergeburtstag: apt-get update; apt-get upgrade oder mit dselect update ausführen, select, Leertaste, Schauen was er updaten will, Return, Install ausführen. Das wars. Damit hälst Du dein Sytstem aktuell. Im gegesatz dazu, mußt du dir bei anderen Unices/Linuxen erstmal deine Updates zusammensuchen. Das machen Debian und die Security-Maintainer alles für dich. Du mußt es nur nutzen und von Hand anstoßen. Und selbst daß kann man automatisieren. hab, ansonsten geh ich halt nie mehr ins Internet *lüg* Hihi. Alles halb so wild. *KEINE PANIK* Ich wollte dich nur aus einer eventuellen Traumwelt Linux ist sicher herausstoßen. DAS ist nämlich das Gefährliche. Tu ein wenig aktives für die Sicherheit deiner Rechner. Es ist bei Debian gar nicht schwer. Björn gruss f -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Fw: Einbruch in Rechner
Hallo Björn, Am 20. Juli 2003 schrieb Björn Gaworski: Punkt 2: Ich bin dämlich, denn ich denke Samba läuft, wenn man es nicht verhindert als Standard auf allen NICs, oder? Dann hatte ich nämlich ne schöne Windowsfreigabe nach außen und es gibt ja wirklich genug Windowsfreigaben-Portscanner. Aha, das hatte ich schon in meiner ersten Mail vermutet. Ein gut bekanntes Problem, das sowohl in stable, aber noch viel länger in testing existiert hat. Ergo: Sicherheitspatches einspielen und auch die anderen hier gegebenen Tipps beachten! Torsten -- Torsten Werner +49 162 3123004 [EMAIL PROTECTED] http://www.twerner42.de -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Fw: Einbruch in Rechner
Am 19:24 2003-07-20 +0200 hat =?iso-8859-15?Q?Bj=F6rn_Gaworski?= geschrieben: Hallo, * Björn Gaworski [EMAIL PROTECTED] [030720 15:43]: Linux ist so sicher, wie der Administrator es einstellt. Ich dachte immer Linux Standard Policy ist verbiete alles! Ich habe es bestimmt nicht so eingerichtet, das jeder sich auf meiner Linuxkiste sich einen Account einrichten darf ;) ??? Das ist BSD-Philosofphie !!! Da installierste FreeBSD und nichts geht ;-)) Da kannste dir dann erst mal die kanzen Ports zusammensuchen, die de brauchst und dann freigeben... Bei mir laufen nur noch zwei Rechnuer unter FreeBSD weils einfach zu nervig ist. Michelle -- Registered Linux-User #280138 with the Linux Counter, http://counter.li.org. +--+ | Michelle's Internet-ServiceInh. Michelle Konzack| | FunkLAN-Providerin | +--+ -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)