Registrierung
leer
leer
newposts
Users
search
FAQ
Login
Start

Hallo Gast, und Willkommen im Forum. Sie müssen sich einloggen oder registrieren, um alle Funktionen nutzen zu können.


PN's Forum \ Computer \ Software \ Betriebssysteme \ Linux \ zehntausende Server gehackt durch Bug in proftpd


 Poison Nuke  *

#1 Verfasst am 13.11.2010, um 16:55:39



Hallo,

am 01.11.2010 wurde ein Bug bekannt, durch den ein Angreifer durch Senden einer einfachen Sequenz vollen root-Zugriff auf einen Server erlangen konnte, ohne irgendwelches drumherum.

http://bugs.proftpd.org/show_bug.cgi?id=3521

Die Meldung wurde auch sogleich bekannt und die meisten Distributionen haben entsprechend einen Patch nachgeliefert, allerdings dauerte es teilweise doch einige Tage, bei Parallels Plesk, einer Administrationsoberfläche die auf hunderttausenden Servern installiert ist, war ein Update erst 11 Tage später verfügbar.

Dadurch bedingt, und weil viele Systemadministratoren nicht schnell genug reagiert haben, sind nun zig tausend Server gehackt und stehen unter der Kontrolle von anderen, meist Bot-Netze, die Angriffe ausführen, oder SPAM versenden oder ähnliches.




mein Server ist nicht betroffen. Erstens hab ich keine Version die vom Bug betroffen ist und selbst wenn, läuft der Dienst auf einem anderen Port und ist normalerweise auch abgeschaltet, solange ich ihn nicht brauche


greetz
Poison Nuke

Aonas

#2 Verfasst am 13.11.2010, um 17:08:58



ich benutze generell nur SCP/SFTP
auf einem server läuft vsftpd

also alles roger



 Poison Nuke  *

#3 Verfasst am 13.11.2010, um 17:17:09



wie erkennt man, ob der eigene Server gehackt wurde:



Quellcode
/root/.ssh/authorized_keys


dort ist ein Key eingetragen, der mit dem Namen "xxx" endet.



das ausführen folgender Befehle sollte die ebenfalls folgenden Ausgaben erzeugen, wenn nicht, isser gehackt:

Quellcode
server:~ # lsattr /bin/ps
-------------- /bin/ps
server:~ # lsattr /usr/bin/top
-------------- /usr/bin/top






greetz
Poison Nuke

bearbeitet von Poison Nuke, am 13.11.2010, um: 17:17:21

PN's Forum \ Computer \ Software \ Betriebssysteme \ Linux \ zehntausende Server gehackt durch Bug in proftpd


- Zurück zur Homepage - Eigene Beiträge - Neue Beiträge - Wer ist online? - Impressum - Datenschutz - Statistiken -



Board coded and provided by: Poison Nuke
Copyright 2007-2014, Robert Menger