Heute schon gehackt?

Heute schon gehackt?
28.04.2009 22:16

Sich an einem fremden Rechner einzuloggen und dort allerlei Unfug zu treiben, ist nicht einfach. Es sei denn, man kennt den passenden Loginnamen und sogar das zugehörige Passwort. Falls zufälligerweise sogar noch der Port 22 für eine SSH-Verbindung offen steht, dann steht einem erfolgreichen Hack nichts mehr im Wege -- oder doch?

Der Australier Russel Cooker betreibt seit mehreren Jahren einen öffentlichen Server in einer virtuellen Maschine mit aktiver SSH-Verbindung. Login-Name und das Root-Passwort gibt es auf seiner Homepage.

Das muss ich mir gleich mal anschauen: ssh -a -x root@..., eine kurze Abfrage, ob ich den Schlüssel akzeptieren will, dann das Passwort.

Ich bin drin, tatsächlich. Die Spielregeln habe ich mir schon durchgelesen...

The conditions of use are:

1)  If you find a security weakness you must tell me.
2)  You must not do DOS attacks, that is not the point of the machine.
3)  You must not use this machine to attack other machines (either mine or
    machines belonging to others.
4A) Do not distribute the password to this machine.  Anyone who wants access
    to the machine must read http://www.coker.com.au/selinux/play.html or a
    t-shirt.  It is illegal in some jurisdictions to distribute the password.
4B) If you want to give someone the password then please buy them a T-Shirt
    from http://etbe.coker.com.au/t-shirts-etc/  ;)
Anything you do on this machine will be watched by other users, there is no secrecy here.

Irgendwie habe ich dabei kein gutes Gefühl, wer weiß, wer sich alles noch so hier herumtreibt. Ein kurzes who zeigt mir, dass ich nicht alleine bin. Es hat sich noch ein Root eingeloggt und natürlich wird auch meine IP-Adresse registriert, schließlich soll ich ja keine Dummheiten anstellen. Ein Blick in die /etc/issue verrät mir, dass ich mich auf einem Debian-Lenny-System befinde, die uptime beträgt allerdings nur 6 Tage. Und da ist da noch dieser Nutzer bofh, dazu noch mit einer lokalen IP-Adresse. Wer das wohl sein mag?

Zum Glück gibt es wenigstens eine Bash-History. Hier schaue ich mal nach, was meine Vorgänger alles so probiert haben und oops history -c funktioniert tatsächlich, trotzdem ist die Datei .bash_history nicht leer. Interessant, was meine Vorgänger alles so versucht haben. Code auf den Rechner kopieren und kompilieren, der hier ist auch schön:

mkfs.ext2 /dev/ram0

Die Partitionierung: /root liegt auf einer eigenen Festplatte,/tmp ebenfalls. Ich mache mich schlau und schaue in der Manpage von mount nach, was die Option nodev bedeutet. Die Ausgabe von dmesg funktioniert zwar, aber als Root keinen Zugriff auf die Logdateien in /var/log zu erhalten, finde ich doch sehr seltsam. Im Verzeichnis /tmp liegt eine Datei a. Auch die kann ich nicht lesen oder löschen, ich kann keine Kernelmodule laden, keine Nutzer anlegen, kann eigentlich gar nichts, nicht mal mein eigenes Passwort ändern:

root@play:~# passwd
passwd: root:user_r:user_t:-s0:c0.c100 is not authorized to change the password of root

Also schau ich mir den Log von Audit an. Hier habe ich versucht die Datei /tmp/a zu löschen:

type=AVC msg=audit(1240947347.533:27282): avc:  denied  { unlink } for  pid=29047 comm="rm" name="a" dev=hdc ino=11 scontext=root:user_r:user_t:s0-s0:c0.c100 tcontext=system_u:object_r:file_t:s0 tclass=file

Ich kann mir zwar die installierten Pakete auflisten lassen, aber -- natürlich -- keine neuen installieren oder gar welche löschen:

root@play:~# apt-get remove vim-tiny
E: Could not open lock file /var/lib/dpkg/lock - open (13 Permission denied)
E: Unable to lock the administration directory (/var/lib/dpkg/), are you root?

Are you root? Das weiß ich langsam selbst nicht mehr. Aber was soll's: Lieber ein Root ohne Rechte als bofh.


Kommentare
SELinux halt
Daniel Gultsch, Mittwoch, 29. April 2009 11:02:25
Ein/Ausklappen

da hat halt jemand ne Virtuelle Maschine mit SELinux ausgerüstet. Root ist halt wirklich nur noch pseudo root.

Da fällt mir ein: Gabs eigentlich schonmal nen SELinux Artikel?


Bewertung: 128 Punkte bei 22 Stimmen.
Den Beitrag bewerten: Gut / Schlecht

Infos zum Autor

Marcel Hilzinger

Marcel Hilzinger

Marcel Hilzinger arbeitet als Redakteur für die Zeitschriften LinuxUser und EasyLinux. Am liebsten schreibt er Artikel zu netten Gadgets oder Multimedia-Software. In seiner Freizeit spielt er gerne Kicker.

Zum Blog von Marcel Hilzinger →