Sicherheit / Angriffe mitbekommen

[rajsio]

Hi alle zusammen,

soweit ich am laufendem bin, basieren die heutigen angriffe überwiegend auf Bufferoverflow (Speicherüberlauf).
Auf jedem unserer Rechener laufen Dienste,
wenn ein Angriff erfolgt ist (ich meine damit Profis) ist der rechener anschliessend immer tod
(betone immer, aber nicht der pc selbst sondern ein dienst, der aufm pc gelaufen ist)
der angreifer hat geschaft einen code auszuführen (im namen des dienstes) der ein speicherüberlauf hervorgeruft hat und somit den dienst der gekillt hat - ist nur funktionsprinzip -
jetzt hat eine angreifer ein port und rechte des dienstes für sich
wir bekommen im normalfall nix davon mit, lediglich in der log steht ein einziger eintrag dass der dienst blablabla, oder auf ein mal läuft mail nicht etc.

unser ziel ist es den pc(server) dazu zu bringen uns eine meldung zu schicken

dazu öffnet mal die dienste
eigenschaften einses dienstes
geht auf wiederherstellen
unter erster (zweiter) fehlschlag "Als Programm ausführen"
gibt die datei an (kann eine EXE BAT CMD COM datei sein)
ich habe einfach eine **.cmd datei erstellt
inhalt ganz simpel (bin für tips dankbar)
net send "hier die IP eingeben" "meldung schreiben"
z.B. net send 192.168.10.10 ein Dienst bla bla bla wurde beendet

ich habe es getestet und es funkt
es muss natürlich kein angriff dahinter sehen aber eine mitteilung ist doch ganz nett oder?

schreib bitte was ihr davon haltet oder was besser gemacht werden kann

Gruß an alle
Raphael

 

[rajsio]

noch ne kleinigkeit hab ich vergessen

wenn ich auf eigenschaften des dienstes bin unter wiederherstellen
kann ich ein programm eingeben dass uasgeführt werden soll
in meinem fall simpel xxx.cmd
dort seht
net send (adresse 192.168.10.10) dann aber nicht nachricht sondern %1%

also nochmal
net send 192.168.10.10 %1%

und unter Befehlszeilenparameter kann man die nachricht eingeben

Dienst blablabla wurde beendet

somit brauch ich net für jeden dienst eine .cmd datei schreiben, sondern nur eine
und mit %1% wird der text unter Befehlszeilenparameter übergeben

 

[meriz]

hmmm... naja. was soll ich dazu sagen. das betreffende subjekt für diesen post währe warscheindlich eher: "wie basle ich mir ein ids" *g*

ok, die idee ist anundfürsich nicht schlecht... als beispiel nehme ich den ftp server 5 von microsoft. ich muss den dienst nicht beenden, um die rechte des dienstets (ev. admin) zu übernehmen. und angenommen, der dienst wurde deaktiviert, was würdest du tun?
ok, anderes beispiel: iis url encoding... deaktiviert den dienst nicht.
privatrechner sind nicht interessant... interessante dieste sind diese, bei denen informationen aus dem inet abgeholt werden können (www-srv, ssh, ftp etc.)

nehmen wir an, ich finde auf deinem server einen dienst, der bekannte bug's hat. dann fürde ich mir ein script schreiben, das bei dir einbricht und en backdor installiert. du bekommst von deinem selbsgebastelten ids eine fehlermeldung, doch bis du handeln wirst, hab ich schon ein backdoor bei dir installiert...

es gibt viele attacken, die auf buffer overflows basieren (was das genau ist, möchte ich jetzt hier nicht erklähren, der namme spricht anundfürsich für sich). jedoch gibt es diverse andere angrifsmöglichkeiten, die effizienter sind und den dienst nicht disablen.

greez, meriz

 

[rajsio]

danke dir für die infos

könntest du mir vielleicht die anderen angriffsmethoden (stichpunktartig) sagen (oder links auf die infos)
ich finde es interessant

ist das richtig?
wenn ein backdoor installiert wird (oder läuft), wird doch ein prozess gestartet
gibt es eine möglichkeit mich zu benachrichtigen, wenn ein neuer prozess gestartet wird

du hast gesagt, was würdest du tun?

du hast schon recht, was würd ich tun?
aber darum ging es mir nicht primär, sondern darum dass man etwas mitbekommt
die meldung allein ist ja keine rettung, nur ein hinweis
dann könnte ich z.B. meine logs in der fireware, proxy verfolgen auf ungewöhnliche kommunikation usw. den server auf ungewöhnliche prozesse durchsuchen

ich bin kein experte es ist nur ein idee

den eins ist klar, wenn ich nix weis kann ich auch nicht handeln

auf tips bin ich sehr dankbar

Gruß an meriz
Raphael

 

[meriz]

andere angriffsmethoden: MIM, string-overflows, bruteforce, social-engen., es gibt viele angriffsarten & strategien.

klar, wenn ein backdoor (subseven, bo, eigen geschriebene programme) installiert wurden, wird ein prozess gestartet, der jedoch gestealth werden kann. du kannst natürlich ein programm schreiben, der dir jeden neuen prozess meldet (notepad start ist jedoch auch ein prozess etc.) also währe dies sehr mühsam. ausserdem hilft dir dies dennoch wenig, da dies auch nicht auf einen trojaner hinweist. du müsstest eine regel einbauen, die den prozess auf den namen überprüft und checkt, ob der name getarnt ist oder verdächtig ist. eine einfachere möglichkeit währe, wenn du regemässig (cronjob) einen grüntlichen protscan durchführst, denn jedes programm, das über das internet kommuniziert, öffnet einen belibig port (meist über den well-known ports >1024). schreib den output des scans (nmap) in eine datei und vergleiche diese mit den deamons, bei denen du weisst, das sie auf deinem srv laufen und auch laufen dürfen.

greez, meriz

 

[rajsio]

danke für die antwort meritz

 

[meriz]

keine ursache...

p.s: meriz, ohne t (meritz) *g*

 

[virus]

naja auch das gibt dir in keiner weise eine garantie dafür, dass kein backdoof auf dem server installiert wurde. die heutigen programme sind so ausgeklügelt, dass sie z.b. über den port 25 (eigener smtp) ein mail mit deinen passwörtern schicken, oder Daten über http per huckepack mitschicken port 80, da nützt dir auch ein portscanner nix.

es gibt aber firewalls, die die MD5 Signatur von den Programmen überwachen, d.h. jede neue Applikation muss manuell vom Admin zugelassen werden. Ist aber auch nur ein Dienst und kann "abgeschossen" werden.

Es gibt "intelligente" IDS Systeme die a) die Applikationen überwachen, und b) auch noch nach Inhalten im Internetverkehr suchen die "schlecht" sind. D.h. Jede Anfrage die aus dem Netz kommt, und jede Anfrage die vom Server aus geht wird überwacht und anhand von Filterregeln zugelassen oder gesperrt. z.b. werden dann http anfragen mit "/../../../../../" gefiltert

Zu den BufferOverflows kann ich dem meriz nur zustimmen, ich kenne nur wenige Angriffsmethoden bei dem der Dienst tatsächlich "abgeschossen" wird...

 

[mastermind]

Originally posted by rajsio@29.11.2002, 10:41
könntest du mir vielleicht die anderen angriffsmethoden (stichpunktartig) sagen (oder links auf die infos)
ich finde es interessant

http://www.orionsoftlab.com/ bzw. Active Task Manager
vieleicht ist das ja was...

Links:

http://www.bsi.de/taskforce/literatur/angriff.htm

http://www.sicherheit-im-internet.de/

http://www.infoserversecurity.org/index.php



Windows (In)Security

Microsoft Security Bulletins (engl.)
Microsoft Security Checklists (engl.)
Verfügbaren Sicherheitsupdates für Windows 2000 (CERT Uni-Stuttgart)


UNIX/Linux In(Security)

linux-secure.de


Allgemeine Security-Portals

SecurityFocus
SANS Institute
CERT®/CC (former "Computer Emergency Response Team")
Internet Security Systems
SecurityServer der Uni SiegenSecurityServer der Uni Siegen
Sicherheit im Internet
Sicherheit im Kabelnetzwerk


Security-FAQs, HowTo's und Dokumente

The WWW Security FAQ (engl.)
UNIX Security Checklist v2.0


Security Tools

Saint und Satan:
http://freshmeat.net/projects/saint/?topic_id=43
http://www.fish.com/satan/

NMAP - Port Scanner
Nessus - Security Scanner
GNU Privacy Guard (GPG) - Verschlüsselung
Public Good Privacy (PGP) - Verschlüsselung


Dialer, Trojaner und Co.

http://www.yaw.at
http://www.trojaner-info.de
http://www.dialerschutz.de
http://www.dialercontrol.de
http://www.dialerhilfe.de


Virenscanner

Norton AntiVirus for Windows 9x/NT/ME/2000/XP (deutschsprachige Updates)
Test-Berichte Anti-Virus Software


Firewalls

Alles über Firewalls - Firewall FAQ


Unsortiert

Portale & Co.
http://packetstorm.linuxsecurity.com/
http://www.antionline.com/
http://www.securiteam.com/
http://www.rootshell.com/
http://neworder.box.sk/
http://www.interrorem.com/exploits/
http://www.textfiles.com/
http://www.kryptocrew.de/
http://www.alldas.org/

Black/Grey/WhiteHats & Co.
http://www.netsecuritycrew.com/
http://www.packetstormsecurity.com
http://www.phrack.org
http://www.blackhat.com
http://www.whitehats.com/


Diese Liste ist bestimmt nicht vollständig... aber vieleicht habt ihr ja auch noch ein paar Infos dazu.

 

[rajsio]

danke

 

[mastermind]

np

nettes Pic...