etc var lib bin usr dev lib64 im webXX Verzeichnis

#1
Hallo zusammen,
wo könnte die Sicherheitslücke sein, wenn ich auf einem Testserver die Verzeichnisse/symlinks etc var lib bin usr dev lib64 in /var/www/clients/client1/web1 finde. Ich habe das bei google irgnedwie nicht gefunde weil die Namen so gängig sind

Ich kenne das von früher auch schon mal allerdings war da der Einbruch schon weiter, denn wenn man diese Verzeichnisse damals gelöscht hat war kein Zugang mehr möglich. diese mal habe ich das wohl noch rechtzeitig gesehen.


Bevor ich den Server neu aufsetze würde ich gerne diese Loch stopfen
 

Till

Administrator
#2
Du bringst hier was durcheinander, das ist keine Sicherheitslücke sondern das Jail eines Jailed SSH Users. Es ist also ein Feature das Dein System sicherer macht und daher genau das Gegenteil einer Sicherheitslücke. Ein Jail ist eine limitierte Linux Teil-Umgebung welche nur die Kopien von Systemdateien und Verzeichnissen enthält auf die der ge-jailte User zugreifen darf um das Hauptsystem gegenüber dem SSH Login abzusichern.
 
#3
Klasse .. irgendwo habe ich schon einmal gelesen:
"glaube nur Vertrauenswürdigen Quellen"

Damals hatte ich mich gewundert was das war, also hatte ich den Hoster (Bekannter) gerfragt ob er das kennt. :confused:
Die Antwort war
- ohh da ist einer in Deinen Vserver eingebrochen


Seitdem bekomme ich die Panik wenn ich das sehe


aber
... warum ist damals der root Konsolenzugang mit sshk key abgestürzt als ich die Verzeichnisse gelöscht habe.

und mit was sind diese Verzeichnisse mitten in der Nacht erstellt worden?
Serverzeit 23:53 UTC also 1:53 MESZ

Da war ich (der einzige der an dem VS sitzt) garantiert nicht dran
 

Till

Administrator
#4
... warum ist damals der root Konsolenzugang mit sshk key abgestürzt als ich die Verzeichnisse gelöscht habe.
Das kann ich Dir nicht sgane, dazu müsste man den Server und die Logs analysieren.

aber
... warum ist damals der root Konsolenzugang mit sshk key abgestürzt als ich die Verzeichnisse gelöscht habe.

und mit was sind diese Verzeichnisse mitten in der Nacht erstellt worden?
Serverzeit 23:53 UTC also 1:53 MESZ

Da war ich (der einzige der an dem VS sitzt) garantiert nicht dran
Du kannst ganz einfach überprüfen ob sie von ISPConfig sein, wenn die Webseite einen ssh User hat bei dem jailkit aktiviert ist (oder mal aktiviert war) oder aber einen cronjob hat der "jailed" ist, dann sind die Verzeichnisse von ISPConfig und das ist ok. Sollten es keinen ssh User oder cronjob in ISPConfig für diese Seite geben, dann solltestDu das näher überprüfen.
 
#5
Das Verzeichnis müsste aber dann
/home/[username] sein so wie es in den jailkit conf angegeben ist oder?

Meintest Du einen Shell Benutzer? da ist keiner eingetragen.
 
#6
ISPCONFIG legt eine Verzeichnis .ssh mit an das fehlte bei dem Webspace.

Egal wenn nochmal eines dieser Verzeichnisse angelegt wird fährt der Server erst einmal sofort herunter. Dann kann ich mir das ansehen.


Hoffentlich denke ich daran wenn ich mal einen Jailkit über ISPCONFIG anlege - LOL
 

Till

Administrator
#7
Das Verzeichnis müsste aber dann
/home/[username] sein so wie es in den jailkit conf angegeben ist oder?
Das Home Verzeichnis aber nicht das root des Jails. Wenn Du einen ssh User tom im web 1 anlegts, dann ist das Jail z.B:

/var/www/clients/client1/web1

wie bei Dir. Das Home Verzeichnis des Users ist aber

/var/www/clients/client1/web1/home/tom

Denn wenn sich tom in sein Jail einloggt dann muss sich das System ja wie ein normales Linux verhalten, er landet also in /var/www/clients/client1/web1/home/tom/, kommt aber per cd .. nicht weiter als bis zum Verzeichnis /var/www/clients/client1/web1/ da für ihn /var/www/clients/client1/web1/ = / ist.

Meintest Du einen Shell Benutzer? da ist keiner eingetragen.
Shellbenutzer oder cronjob.

ISPCONFIG legt eine Verzeichnis .ssh mit an das fehlte bei dem Webspace.
Das wird aber erst in den neuesten Versionen erstellt seitdem key auth implementiert wurde, bei älteren Versionen hat ispconfg das nooch nicht angelegt.
 
#8
Das wäre echt der Gag, damals war auch ISPCONFIG installiert.

Egal selbst wenn ich irgendwie im /var/web eines der Verzeichnisse anlege schaltet die Kiste ab.

Entweder das kommt nicht mehr vor dann bin ich beruhigt und wenn ich ein jail benötige muss ich diese Verzeichnisse eben solange bis meine Nerven wieder beruhigt sind vom Systemstop ausklammern. :)

Auf jeden Fall hab ich wieder was gelernt


Danke für Deine Mühe
 

Till

Administrator
#9
Kein hacker würde die verzeichnisse so dort anlegen, macht einfach keinen sinn da er daraus keinen nennenswerten nutzen ziehen kann, denn er beabsichtigt ja den server zu übernehmen und nicht sich im web verzeichnis selbst einzusperren. Und wenn ein hacker etwas rauf läd, dann trant er das. Daher kannst du davon ausgehen dass es ein jail war und kein hack.
 

Werbung