Ako ma hackli - poradna.net

Vcera som dostal telefonat od zakaznika, ze sa mu vratili vsetky emaily, ktore posielal s chybovymi hlaskami. Na moje prekvapenie som zistil, ze som na blackliste roznych serverov.
Pri kontrole posty sa dalej ukazalo, ze uz par dni server odosiela vacsie mnozstvo sprav. Ale ako, ked nemam open relay server? A tak som zacal patrat. "Vinnikom" je chudiatko vevericka(webamil), do ktoreho sa dotycny nalogoval cez roota (zaujimave, root totizto nema ziadne heslo a ma zakaz sa prihlasovat remotne, mam len userov v grupe root).
No a tu si zhrniem co som zistil.
1. Utocnik vytvoril v mysql usera bez mena a hesla, ktory sa mohol prihlasit odkialkolvek (naco to je mi trosku zahadne)
2. Courier-imap zrazu zacal overovat hesla cez mysql modul.

Apr 18 11:48:18 n4all pop3d: authdaemon: starting client module
Apr 18 11:48:18 n4all authdaemond.mysql: received auth request, service=pop3, authtype=login
Apr 18 11:48:18 n4all authdaemond.mysql: authshadow: trying this module

hoci ma jasne nastaveny v /etc/courier-imap/authdaemonrc

authmodulelist="authshadow authpwd"

co vidiet aj vo vypise procesov

root 5341 5337 0 2011 ? 00:00:04 saslauthd -a shadow
root 30840 1 0 10:56 ? 00:00:00 /usr/sbin/courierlogger -pid=/var/run/authdaemon/pid -start /usr/libexec/authlib/authdaemond.mysql
root 30841 30840 0 10:56 ? 00:00:00 /usr/libexec/authlib/authdaemond.mysql

V podstate mam dve otazky...stretol sa uz niekto s niecim takymto?
A druha preco courier-imap vola authdaemon.mysql, ked v konfigu ma jasne napisane, ze povolene su len authshadow a authpwd?

Předmět	Autor	Datum
Je možné, že tvůj courier-imap běží s jinou konfigurací, než kterou jsi mu vytvořil ty. To jsou klas… JR_Ewing 18.04.2012 14:35	JR_Ewing	18.04.2012 14:35
Mna hackli len raz a to preto, ze som zabudol zmazat testovacie konto s lahkym heslom (hackli ten uc… fleg 18.04.2012 15:06	fleg	18.04.2012 15:06
Takze som to cele zanalyzoval a zahadu mailbombingu uz mam vyriesenu. Chyba bola, ze root nemal hesl… fleg 18.04.2012 19:06	fleg	18.04.2012 19:06
tak tak heslo treba davat vzdy, ked nechces aby sa nikto nikdy prihlasil tak tam daj heslo iofewuhiu… MM.. 18.04.2012 19:26	MM..	18.04.2012 19:26
Tak cele to bolo trosku inak, mysql je ok, root bez hesla je ok, co nie je ok je Courier, ktory ma v… fleg 20.04.2012 10:44	fleg	20.04.2012 10:44
Jo, presne jako muj hack, taky problem v neaktualnosti sw :-), No tak roboty scanuji pomalu, trva to… poslední JR_Ewing 20.04.2012 10:47	JR_Ewing	20.04.2012 10:47

Je možné, že tvůj courier-imap běží s jinou konfigurací, než kterou jsi mu vytvořil ty. To jsou klasické techniky.

Zřejmě roota získal nějakým trikem ve squirellmailu spolu s chybou apache. Nebo máš špatně definovaná práva Není možné, že proces apache by mohl měnit /etc/passwd, /etc/shadow nebo /etc/group ?

Zkontroluj si export a podívej se na výchozí cesty, třeba tam máš v adresáři, který v PATH nemá co dělat ještě jiného démona.

Jak se dostal do tvé databáze? To ji máš na jednom serveru vystaveném do internetu?

Uznávám, že mám trošku více komplikované řešení, ale za to mě hackli jen jednou a to ještě kombinací chyb v joomle a apachi, a to jen jeden z webů. Tedy ne server, ale jen změněný web.

To řešení se stává z:
samostatný mysql server, z webserveru dostupný jen striktně definovaným uživatelům, ten je mimo DMZ, upraveno firewallem
webserver je umístený za proxy, není na něj přímý přístup
celé je to za firewallem, takže mimo portu 80 a 443 na proxy se na to nikdo nedokáže dostat.

Jinak doporučuju ke studiu knížku: Linux - hacking bez záhad.

Mna hackli len raz a to preto, ze som zabudol zmazat testovacie konto s lahkym heslom (hackli ten ucet a spustali tam nejake blbosti, nic vazne).
Toto je vlastne druhy hack.
Ako sa dostal na mysql netusim, v kazdom pripade som zistil nasledovne.
Slackware spusta pri courierovi authdaemon.mysql aj na mojom domacom routri, cize je to asi normalne spravanie, divne lebo debilian spusta len authdaemond.
Obmedzil som lognutie roota cez couriera a to tak, ze som mu presunul maildir;o), cize root sa uz s vymyslenym heslom nelogne (testoval som telnet aj webmail) a tym padom by mailbombing mal byt zazehnany.
User vytvoreny v mysql s tym mozno ani nesuvisi, pretoze po jeho zmazani sa root mohol logovat dalej, navyse nemal ziadne prava k ziadnej databaze (globalne uz vobec nie).

Takze som to cele zanalyzoval a zahadu mailbombingu uz mam vyriesenu. Chyba bola, ze root nemal heslo, kedze ho nemal courier sa autentifikoval s akymkolvek heslom.
Heslo som tam nemal kvoli "bezpecnposti", kedze som sa naivne pre 8 rokmi domnieval, ze ked root nebude mat heslo nikto sa neprihlasi (napr ftp server neprihlasi), ale courier evidentne prihlasenie umoznil.

tak tak heslo treba davat vzdy, ked nechces aby sa nikto nikdy prihlasil tak tam daj heslo iofewuhiufehwroifhubeiurghfpeiwuohrfpoehwrpofherwp ohfpeorhw :D
Ale to sa potom neprihlais uz ani ty

Tak cele to bolo trosku inak, mysql je ok, root bez hesla je ok, co nie je ok je Courier, ktory ma v sebe nejaky bug (tato starsia verzia) a umoznuje prihlasit sa rootovi cez akekolvek heslo.
Zaujimave, ze to zneuzili az teraz, ten server bezi uz 8 rokov, ale aspon sa potvrdilo, ze je dobre mat sw aktualizovany;o).

Jo, presne jako muj hack, taky problem v neaktualnosti sw , No tak roboty scanuji pomalu, trva to, nez na server nekdo narazi. Me taky v praci hackli nezabezpeceenou telefonni ustrednu az po nekolika mesicich.

Zpět do poradny Odpovědět na původní otázku Nahoru