symlink.ch
Wissen Vernetzt - deutsche News für die Welt
 
symlink.ch
FAQ
Mission
Über uns
Richtlinien

Moderation
Einstellungen
Story einsenden

Suchen & Index
Ruhmeshalle
Statistiken
Umfragen

Redaktion
Themen
Partner
Planet

XML | RDF | RSS
PDA | WAP | IRC
Symbar für Opera
Symbar für Mozilla

Freunde
Benutzergruppen
LUG Switzerland
LUG Vorarlberg
LUGen in DE
SIUG
CCCZH
Organisationen
Wilhelm Tux
FSF Europe
Events
LinuxDay Dornbirn
BBA Schweiz
CoSin in Bremgarten AG
VCFe in München
Menschen
maol
Flupp
Ventilator
dawn
gumbo
krümelmonster
XTaran
maradong
tuxedo

 
Debian Kernel-2.4.18-22 root expoit entdeckt
Veröffentlicht durch XTaran am Samstag 07. Mai 2005, 10:23
Aus der forensischen Abteilung
Security xedo schreibt: "Auf meinem Webserver (Debian 3.0 Woody mit allen Security-Fixes) wurde vor kurzem eingebrochen."

xedo weiter: "Ich habe das entdeckt, weil es einen Benutzer tweak in der passwd gab, der zufällig die UID und GID 0 hatte ;-)

Der erste Blick auf die Logfiles hat nichts geholfen, da der Angreifer seine Spuren versucht hat zu vernichten.

syslog:
useradd[15476]: new user: name=tweak, uid=0, gid=0, home=/root, shell=/bin/sh
PAM_unix[17381]: Password for tweak was changed
sshd[1769]: lastlog_perform_login: Couldn't stat /var/log/lastlog: No such file or directory
sshd[1769]: lastlog_openseek: /var/log/lastlog is not a file or directory!
Auf dem Backup-Server war auch nichts, weil die Sicherung erst danach erfolgte.

Gut, dann die Möglichkeiten abgewogen, wie es es geschafft haben könnte: Eine Möglichkeit war über PHP- oder Perl-SKripte. Also durchsuchte ich die Logfiles vom Apache und das auch mit Erfolg:

apache log:
66.221.100.30 - - [18:44:14 +0100] "GET /cgi-bin/awstats.pl?configdir=%7cecho%20XXXXX HTTP/1.1" 200 622 "-" "-"
66.221.100.30 - - [18:44:23 +0100] "GET /cgi-bin/awstats.pl?configdir=%7cecho%20%XXXXXX HTTP/1.1" 200 699
66.221.100.30 - - [15/Mar/2005:18:44:33 +0100] "GET /cgi-bin/awstats.pl?configdir=%7cecho%20%XXXXXX HTTP/1.1" 200 619 "-"
66.221.100.30 - - [15/Mar/2005:18:49:50 +0100] "GET /cgi-bin/awstats.pl?configdir=%7cecho%20XXXXX
Diese Sicherheitsloch ist schon ne weile geschlossen, nur hatte ich nicht alle awstats.pl geupdated...

Und über den letzten (von mir gekürzten) Zugriff hat er sich einen telnetd daemon heruntergeladen und ihn mit den webserver rechten gestartet.

Damit hatte er die Rechte des Webservers. Das war ja schon schlimm genug, aber wie wurde er dann Root? Die nächste Suche beginnt...

.bash_history:

Was macht den eine .bash_history im Root Ordner des Apache? Tja und der Inhalt ist sehr aufschlussreich: Der Angreifer hat sich per wget ein Root-Exploit besorgt und ausgeführt -> root.

Er hat außerdem einen verstecken Ordner in /tmp erzeugt (klassisch mit 3 Punkten) und hat sich da einen FTP-Server heruntergeladen.

Weiter hat er sich den SSH-Port mehrmals auf hohe Ports gelegt, weil ich den SSH-Port noch zusätzlich per Portfilter auf IP-Adressen begrenzt habe. (Lauschende Ports erkennbar durch »netstat -a | grep LISTEN« und »fuser -v portnummer/tcp«.)

Der Root Exploit:

Wenn man das Root Exploit startet bekommt man folgende Meldung:
        Local Root exploit based on do_brk and do_munmap
         transformed by bcb5b7f1d2a11b2d50956934d301f2f7
                         POLAND

Menu:

        1. do_munmap attack (Tested on kernels 2.x.x)
        2. do_brk attack    (Tested on kernels from 2.4.18 to 2.4.22)

Your choice? :2
Und siehe da:

$ whoami
root
Der verwendete Kernel ist der letzte 2.4.18-k6 von Debian 3.0 Woody"

Pilotversuch im Herbst in Zürich: E-Voting per Handy | Druckausgabe | Wiki rund um Rootserver  >

 

 
symlink.ch Login
Login:

Passwort:

extrahierte Links
  • PHP
  • Apache
  • Debian
  • Perl
  • SourceForge
  • Debian Woody (3.0)
  • xedo
  • awstats.pl
  • Mehr zu Security
  • Auch von XTaran
  • Kolumnen
  • Wie gestresst sind Informatiker?
  • Einhändige Tastaturen
  • Fusion Schweden - Schweiz
  • Die Währungen der Open Source Community
  • Finanznews und ähnliches
  • Telefonspam
  • weiter mit LDAP: FTPd
  • Probleme mit Backup Mailservern.
  • Lugcamp 2005 - Tag 1
  • Debian Kernel-2.4.18-22 root expoit entdeckt
  • Diese Diskussion wurde archiviert. Es können keine neuen Kommentare abgegeben werden.
    was ist daran neu? (Score:1, Informativ)
    Von Anonymer Feigling am Saturday 07. May 2005, 10:34 MEW (#1)
    do_brk:
      Wird wohl der hier sein:
    http://isec.pl/vulnerabilities/isec-0012-do_brk.txt

    ..passt ja auch zum Text: Bis 2.4.22

    do_munmap:
    http://www.frsirt.com/exploits/03.01.mremap_pte.c.php

    Passt auch zum text: Linux 2.x.x (Wurde um ~ 2.4.23 zeiten gefixt)

    Die beiden dinger sind URALT und wurden auf symlink, heise und co. genüsslich durchgekaut..


    Re: was ist daran neu? (Score:1)
    Von xedo am Saturday 07. May 2005, 10:45 MEW (#2)
    (User #973 Info) http://www.tec4you.net

    Daran ist neu das 2.4.18-k6 aus debian woody immernoch betroffen ist...
    Re: was ist daran neu? (Score:0)
    Von Anonymer Feigling am Saturday 07. May 2005, 10:46 MEW (#3)
    ..für alle, welche apt-get update aber nicht blind vertrauen, ist es ein alter hut..
    Re: was ist daran neu? (Score:1)
    Von xedo am Saturday 07. May 2005, 10:51 MEW (#4)
    (User #973 Info) http://www.tec4you.net
    Tja vertraut hab ich dem Debian security Team das wenn sie einen kernel fixen das dann auch bei allen passiert.

    Aber es war weder ein bugreport noch sonst was zu finden.

    Kernel 2.4.18 ohne -k6 ist nicht betroffen
    Re: was ist daran neu? (Score:2)
    Von Frank-Schmitt am Saturday 07. May 2005, 10:54 MEW (#5)
    (User #1302 Info)
    Die beiden dinger sind URALT und wurden auf symlink, heise und co. genüsslich durchgekaut.. Wenn das wirklich so uralt sind, warum wurden die Problem dann nicht durch debian gefixt? Ein Sicherheitsloch verschwindet nicht einfach dadurch, das es altert.
    Re: was ist daran neu? (Score:0)
    Von Anonymer Feigling am Saturday 07. May 2005, 11:58 MEW (#10)
    Frag das die Debian menschen..

    Der Rest der menschheit hat es offenbar gefixt
    Kein Wunder (Score:2, Informativ)
    Von Longkong am Saturday 07. May 2005, 11:00 MEW (#6)
    (User #1919 Info)
    kernel-image-2.4.18-k6 wird auch nicht vom security-Team betreut, dann ist das kein Wunder. Nur die 2.4.18-1 er Linie wird betreut:

    http://packages.debian.org/stable/base/kernel-image-2.4.18-1-k6
    http://packages.debian.org/stable/base/kernel-image-2.4.18-k6

    Vieleicht benutzt du auch schon den -1 er, falls net würde ich schnell umteigen, falls ja ist das natürlich ein Bug-Report wert...
    Re: Kein Wunder (Score:1)
    Von xedo am Saturday 07. May 2005, 11:05 MEW (#7)
    (User #973 Info) http://www.tec4you.net
    Das der 2.4.18-k6 vom Security Team nicht betreut wurde,wußte ich nicht.
    Wie kann ich sowas herausfinden?

    Bugreport ist schon raus,hab den Maintainer auch ein paar tage vorher angeschrieben,habe aber keine Antwort bekommen.
    Re: Kein Wunder (Score:1)
    Von xedo am Saturday 07. May 2005, 11:21 MEW (#8)
    (User #973 Info) http://www.tec4you.net
    Gut beim 2.4.18-1-k6 ist es gefixt!!!
    Re: Kein Wunder (Score:2, Informativ)
    Von Longkong am Saturday 07. May 2005, 11:37 MEW (#9)
    (User #1919 Info)
    Wenn du auf die Paketseite gehst, steht dort rot security (siehe die Paketlinks)
    Re: Kein Wunder (Score:1)
    Von xedo am Saturday 07. May 2005, 12:02 MEW (#11)
    (User #973 Info) http://www.tec4you.net
    Hier Meinst du ?
    Finde da nichts mit security...
    Re: Kein Wunder (Score:1)
    Von Longkong am Saturday 07. May 2005, 12:17 MEW (#12)
    (User #1919 Info)
    Jo, eben, weil es ja auch nicht betreut wurde. Hier sieht man das es betreut wird, da oben rot security steht
    Re: Kein Wunder (Score:1)
    Von xedo am Saturday 07. May 2005, 12:36 MEW (#13)
    (User #973 Info) http://www.tec4you.net
    Sinnvollerweise hätte das Debian Security Team einen bugreport machen sollen mit allen die kernel-image-2.4.18-1-k6 gefixt sind und bei kernel-image-2.4.18-k6 noch offen sind.

    Dann wäre ich zumindest gewarnt worden dank eines backports von apt-listbugs

    Linux User Group Schweiz
    Durchsuche symlink.ch:  

    Never be led astray onto the path of virtue.
    trash.net

    Anfang | Story einsenden | ältere Features | alte Umfragen | FAQ | Autoren | Einstellungen