>diesen Eintrag fand ich heute in meinem messages:
>Feb 16 19:10:27 bkrouter kernel: Warning: possible SYN flood from
>193.15.190.148 on 194.77.43.66:11
>1. Sending cookies.
>Feb 16 19:10:31 bkrouter mountd[175]: Unauthorized access by NFS client
>193.15.190.148.
>Feb 16 19:10:31 bkrouter mountd[175]: [truncated] Blocked attempt of
>193.15.190.148 to mount ^P^P^P
>^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^P^
....
>Feb 17 05:00:14 bkrouter sshd[13438]: log: ROOT LOGIN as 'moof' from
>shell1.ncal.verio.com
Tja, den Typ ("moof") hatte ich im Dezember auf zwei meiner Rechner
auch. Er hat mir ZWEI Linux-Rechner praktisch vollstaendig geloescht.
Ein Spezialist, der auch attackiert wurde, bei dem aber nichts passiert
ist, hat den Fall verfolgt und konnte folgendes herausfinden:
---------------------
After the attack on December 22 which came from the Linux host
lists.saintleo.edu (Saint Leo College in Florida), I called their SysOp
Richard Reeves on December 23 to warn him and to ask him to clean the
host, because I was convinced that this host was owned by the hacker.
Surprisingly, Richard told me that the hacker has been identified and
has been stopped to do his work. Now that we have seen more attacks, I
am not so sure. There are several possibilities:
- After the institutional server is no longer available, the identified
hacker continues to do the work from a private dial-in account.
----------------------
Zu deinem Problem:
- Unbedingt den Update des NFS-Server machen, der von SuSE 5.3 hat ein
riesiges Loch, "mountd-exploit" genannt. Genaueres dazu findest du
auf www.cert.org.
- Ueberpruefe deine Passwort-Datei, vor allem den "moof"..
- was schwieriger ist, checke welche Dateien er evtl. veraendert hat,
evtl neu installieren oder auf SuSe 6.0 updaten.
Allgemein fuer ALLE:
Bisher habe ich bezueglich Sicherheit unter Linux zu wenig darauf geachtet.
Es gibt im Internet tonnenweise Tools, Scripts, C-Programme und
aehnliches um Systeme anzugreifen. Ein beliebtes Mittel dazu sind
Port-Scanner, die abfragen, welche Dienste auf welchem Port laufen. Der
Hacker muss dann nur noch checken, welche Version installiert
ist und im Nu root-Zugriff.
Das Stichwort dazu heisst "Buffer-Overflow". Damit wird dem Port eine
(ZU) grosse Menge an Daten uebermittelt und der Buffer laeuft ueber,
dadurch reagiert das System falsch und der Hacker kann durch spezielle
Programme Dateien plazieren, aendern oder ergaenzen, so als ob er als
root eingeloggt waere (ist er aber zu diesem Zeitpunkt nicht). Sobald
er z.B. seine passwd-Datei mit "moof" als User und root-Rechten bei dir
drauf hat, kann er Minuten spaeter per Telnet als User "moof" einloogen
und hat Root-Rechte. Was er dann macht, haengt von seiner "kriminellen
Energie" ab. Wie gesagt, bei mir waren nach seinem Angriff nur noch eine
Handvoll Dateien vorhanden (2 GB-Festplatte, installiert ca. 1,2 GB).
Im Moment weiss ich, dass noch folgendes Programm einen
"Buffer-Overflow" Bug hat: proFTPD 1.2.0pre1, daher unbedingt das Update
auf die Pre2 installieren (ist auch im CERT beschrieben). SuSE hat noch
die alte auf dem Server.
Alle die Suse 5.3. und NFS einsetzen, sind angreifbar (vulnerable),
und sollten DRINGEND die neueste NFS-Version einsetzen.
Die Version des NFS-Servers findest du mit folgendem Befehl raus:
rpd.mountd --version
dann sollte folgende Version angezeigt werden, damit nichts passieren
kann:
rpc.mountd --version
Universal NFS Server 2.2beta38
Uebrigens die Log-Eintraege mit "Possible SYN flood..." kannst du
abhaken, das ist nur eine Info des Kernel, dass jemand einen SYN Flood
versucht hat, aber der Kernel das abgefangen hat. Also kein Angriff,
sondern ein Versuch. Bei mir kommen auf drei Rechnern praktisch taeglich
mehrere solcher SYN floods rein, ist echt nervig. Wenn ein Hacker dann auch
noch seine IP-Adresse faelscht, kann er (zumindest nicht auf einfache Weise)
fast nicht ausfindig gemacht werden.
So ist ein bisschen lang geworden, wenn du oder jemand anderer mehr
darueber wissen moechtet (meine bitteren Erfahrugen mit zwei
geloeschten Linuz-Platten...) email an mich. Mittlerweile habe ich
SuSE 6.0, einen Log-Analyzer installiert und habe WWW-Servern mit
Security-Tools abgeklappert, News-Groups gelesen etc....
Infos sind naemlich genug da, wenn man nach "Security" sucht. Leider
sucht man meistens erst, wenn schon was passiert ist.
Ueli
--
Um aus der Liste ausgetragen zu werden, eine Mail an [EMAIL PROTECTED]
schicken, mit dem Text: unsubscribe suse-linux
