root exploit im Umlauf?

Warum Debian und/oder eine seiner Spielarten? Was muss ich vorher wissen? Wo geht es nach der Installation weiter?
Antworten
romulus
Beiträge: 328
Registriert: 14.12.2002 13:29:43
Kontaktdaten:

root exploit im Umlauf?

Beitrag von romulus » 14.08.2003 12:23:59

Gibt es momentan bekannte root Exploits im Umlauf mit denen ein original debian woody kompromitiert werden kann?

Mein Server zu Hause scheint wahrscheinlich gehackt zu sein. Bin hier grad auf Arbeit und wollte mich zu Hause per ssh aufschalten, da bringt mir putty eine Warning dass sich der Host key geändert hat 8O Nach ignorieren kann ich mich auch nicht mehr einloggen, alle Einlogversuche werden bereits nach dem 2. Fehlversuch abgebrochen (normalerweise gingen da wesentlich mehr), mein Exim hat laut Selbstauskunft keine plain text authentifizierung mehr und apache hat auch keine webseiten mehr.

Sieht wohl so aus, als wenn sich da jemand Zugriff erschlichen hat :( Genau kann ich es aber wohl erst sagen wenn ich wieder zu Hause bin.

Es waren aber alle aktuellen Patches installiert, es liefen ssh (nur ssh2), http (apache1) und smtp (exim mit plain text authentifizierung, uid/passwort exim != shell accounts).

Ist da jemandem was bekannt über aktuelle exploits?
Ciao
Romulus

Benutzeravatar
blackm
Moderator und Co-Admin
Beiträge: 5921
Registriert: 02.06.2002 15:03:17
Lizenz eigener Beiträge: MIT Lizenz

Beitrag von blackm » 14.08.2003 13:51:40

Hm...hört sich ja nicht so gut an...das was mir dyndns nicht hinhaut und du an einen anderen Rechner geraten bist würde ich für unwahrscheinlich halten. Speicher von der Kiste voll...würde anders aussehen... :roll:
Also wenn ich du wäre, ich würde die Arbeit Arbeit sein lassen und direkt nach Hause fahren...
Schöne Grüße

Martin

Neu im Forum? --> https://wiki.debianforum.de/debianforum ... tensregeln
Log- und Konfigurationsdatein? --> pastebin.php
Forum unterstützen? --> https://wiki.debianforum.de/debianforum.de/Spenden

romulus
Beiträge: 328
Registriert: 14.12.2002 13:29:43
Kontaktdaten:

Beitrag von romulus » 14.08.2003 14:07:38

tja wenn das so einfach ginge ... bin leider alleine hier und muss noch bis 18 Uhr aushalten :(

Aber inzwischen habe ich noch eine andere Vermutung ... der Server hatte gestern abend kurz vorm zu Bett gehen noch einen Absturz, nach Neustart musste ich e2fsck von Hand durch laufen lassen, allerdings nur auf der Home Partition ... vielleicht hats ja da ein paar Dateien erwischt?

Ist nicht schon bald 18 Uhr ... ich muss weg ... *heul* ;)
Ciao
Romulus

romulus
Beiträge: 328
Registriert: 14.12.2002 13:29:43
Kontaktdaten:

Beitrag von romulus » 14.08.2003 14:53:19

das gibts doch nicht! 8O Jetzt liegen auf meinem Server irgendwelche mir nicht bekannte Urlaubsbilder :lol:

Schauts euch mal an: http://romulus.homelinux.org

Aber irgendwie kann ich kaum glauben, dass ein hacker so was machen sollte. Vielleicht hat ja die Dyndns Aktualisierung nicht geklappt und durch einen merkwürdigen Zufall hat derjenige der meine alte IP jetzt hat auch a) einen SSH Server b) exim c) debian d) apache laufen und geht auch noch über den Frankfurter (wohne NICHT da ;) ) Arcor Server ins Netz.

Hmmm
Ciao
Romulus

Benutzeravatar
blackm
Moderator und Co-Admin
Beiträge: 5921
Registriert: 02.06.2002 15:03:17
Lizenz eigener Beiträge: MIT Lizenz

Beitrag von blackm » 14.08.2003 15:21:24

romulus hat geschrieben:Vielleicht hat ja die Dyndns Aktualisierung nicht geklappt und durch einen merkwürdigen Zufall hat derjenige der meine alte IP
oder die aktualisierung bei dir hat nicht geklappt und jemand hat deine DynDns Domain...

by, Martin
Schöne Grüße

Martin

Neu im Forum? --> https://wiki.debianforum.de/debianforum ... tensregeln
Log- und Konfigurationsdatein? --> pastebin.php
Forum unterstützen? --> https://wiki.debianforum.de/debianforum.de/Spenden

Benutzeravatar
AspeLin
Beiträge: 664
Registriert: 19.06.2003 16:06:16
Wohnort: Berlin

Beitrag von AspeLin » 14.08.2003 15:41:13

lol... ich glaube jedenfalls nicht, daß der "hacker" dir seine urlaubsfotos (mit seinem gesicht drauf) zeigen würde! zwar habe ich selbst keine erfahrungen mit servern, aber unter diesen umständen glaube ich auch an einen irrtum...

viel erforlg beim beheben
asp@lin
Täuschung ist das Silikon der Postmoderne.

weizenbier
Beiträge: 387
Registriert: 26.11.2002 15:37:00
Wohnort: Oberhausen

Beitrag von weizenbier » 14.08.2003 15:49:21

Hi Folks,

bin eben auf den Thread gestossen.

@romulus:

Lass dir in Zukunft von deinem DynDNS-Client immer die IP an
ne Mail-Adresse schicken, die du ueber's Web abfragen kannst.
Das sieht echt nach einem Versehen aus.

Gruss,

Weizenbier
There are only 10 types of people in the world:
Those who do understand binary and those who don't.

romulus
Beiträge: 328
Registriert: 14.12.2002 13:29:43
Kontaktdaten:

Beitrag von romulus » 14.08.2003 16:07:39

ein erstaunlicher Zufall ist das aber schon ... wären da gar keine Serverdienste drauf gewesen, wäre ich ja gleich von anfang von ausgegangen, dass es ein Problem mit dyndns gab. Aber so ... der Typ hat ja praktisch dieselbe Installation wie ich mit denselben öffentlichen Diensten und geht auch über Arcor ins Netz.

Naja, mal schauen wie es aussieht wenn ich nach Hause komme, hoffentlich ist es wirklich nur eine Verwechslung :)

achja, das mit der IP per Mail zuschicken ist gar keine schlechte Idee, muss ich ich heute abend mal ransetzen.
Ciao
Romulus

Benutzeravatar
spiffi
Beiträge: 1128
Registriert: 09.08.2003 19:02:27

Beitrag von spiffi » 14.08.2003 16:41:25

Das der Typ auch bei Arcor ist, ist kein Zufall, sondern Notwendigkeit.
Ich denke mal, es ist folgendes passiert:
Dein Rechner ist heute erneut abgestürzt, oder hat zumindest die Verbindung zum Internet verloren. Danach ist Deine IP an einen anderen Arcor-Kunden gegangen. Dessen Rechner ist jetzt über Deinen alten Dyndns-Eintrag erreichbar. Und der wundert sich vielleicht schon, welcher 'Hacker' da versucht, in sein System zu kommen.

romulus
Beiträge: 328
Registriert: 14.12.2002 13:29:43
Kontaktdaten:

Beitrag von romulus » 14.08.2003 18:44:47

so es lag tatsächlich am dyndns Update und ich weiss jetzt auch warum das nicht geklappt hat: nach dem Booten gestern abend hat er das Systemdatum nicht angepasst (das steht nämlich immer auf Jahr 1996 nach einem Reboot) und ddclient hat sich geweigert ein Update zu machen, weil er dachte das letzte Update wäre weniger als 30 Sekunden her ... nämlich -5 Millionen oder so

Ok hat sich zum Glück geklärt :)
Ciao
Romulus

tylerD
Beiträge: 4068
Registriert: 10.07.2002 17:34:13
Wohnort: Halle/Saale
Kontaktdaten:

Beitrag von tylerD » 14.08.2003 21:54:23

Hu, na dann noch mal mit dem Schrecken davon gekommen ;-)

cu

Antworten