etc var lib bin usr dev lib64 im webXX Verzeichnis

Dieses Thema im Forum "Server Administration" wurde erstellt von etron770, 19. Apr. 2012.

  1. etron770

    etron770 Member

    Hallo zusammen,
    wo könnte die Sicherheitslücke sein, wenn ich auf einem Testserver die Verzeichnisse/symlinks etc var lib bin usr dev lib64 in /var/www/clients/client1/web1 finde. Ich habe das bei google irgnedwie nicht gefunde weil die Namen so gängig sind

    Ich kenne das von früher auch schon mal allerdings war da der Einbruch schon weiter, denn wenn man diese Verzeichnisse damals gelöscht hat war kein Zugang mehr möglich. diese mal habe ich das wohl noch rechtzeitig gesehen.


    Bevor ich den Server neu aufsetze würde ich gerne diese Loch stopfen
     
  2. Till

    Till Administrator

    Du bringst hier was durcheinander, das ist keine Sicherheitslücke sondern das Jail eines Jailed SSH Users. Es ist also ein Feature das Dein System sicherer macht und daher genau das Gegenteil einer Sicherheitslücke. Ein Jail ist eine limitierte Linux Teil-Umgebung welche nur die Kopien von Systemdateien und Verzeichnissen enthält auf die der ge-jailte User zugreifen darf um das Hauptsystem gegenüber dem SSH Login abzusichern.
     
  3. etron770

    etron770 Member

    Klasse .. irgendwo habe ich schon einmal gelesen:
    "glaube nur Vertrauenswürdigen Quellen"

    Damals hatte ich mich gewundert was das war, also hatte ich den Hoster (Bekannter) gerfragt ob er das kennt. :confused:
    Die Antwort war
    - ohh da ist einer in Deinen Vserver eingebrochen


    Seitdem bekomme ich die Panik wenn ich das sehe


    aber
    ... warum ist damals der root Konsolenzugang mit sshk key abgestürzt als ich die Verzeichnisse gelöscht habe.

    und mit was sind diese Verzeichnisse mitten in der Nacht erstellt worden?
    Serverzeit 23:53 UTC also 1:53 MESZ

    Da war ich (der einzige der an dem VS sitzt) garantiert nicht dran
     
  4. Till

    Till Administrator

    Das kann ich Dir nicht sgane, dazu müsste man den Server und die Logs analysieren.

    Du kannst ganz einfach überprüfen ob sie von ISPConfig sein, wenn die Webseite einen ssh User hat bei dem jailkit aktiviert ist (oder mal aktiviert war) oder aber einen cronjob hat der "jailed" ist, dann sind die Verzeichnisse von ISPConfig und das ist ok. Sollten es keinen ssh User oder cronjob in ISPConfig für diese Seite geben, dann solltestDu das näher überprüfen.
     
  5. etron770

    etron770 Member

    Das Verzeichnis müsste aber dann
    /home/[username] sein so wie es in den jailkit conf angegeben ist oder?

    Meintest Du einen Shell Benutzer? da ist keiner eingetragen.
     
  6. etron770

    etron770 Member

    ISPCONFIG legt eine Verzeichnis .ssh mit an das fehlte bei dem Webspace.

    Egal wenn nochmal eines dieser Verzeichnisse angelegt wird fährt der Server erst einmal sofort herunter. Dann kann ich mir das ansehen.


    Hoffentlich denke ich daran wenn ich mal einen Jailkit über ISPCONFIG anlege - LOL
     
  7. Till

    Till Administrator

    Das Home Verzeichnis aber nicht das root des Jails. Wenn Du einen ssh User tom im web 1 anlegts, dann ist das Jail z.B:

    /var/www/clients/client1/web1

    wie bei Dir. Das Home Verzeichnis des Users ist aber

    /var/www/clients/client1/web1/home/tom

    Denn wenn sich tom in sein Jail einloggt dann muss sich das System ja wie ein normales Linux verhalten, er landet also in /var/www/clients/client1/web1/home/tom/, kommt aber per cd .. nicht weiter als bis zum Verzeichnis /var/www/clients/client1/web1/ da für ihn /var/www/clients/client1/web1/ = / ist.

    Shellbenutzer oder cronjob.

    Das wird aber erst in den neuesten Versionen erstellt seitdem key auth implementiert wurde, bei älteren Versionen hat ispconfg das nooch nicht angelegt.
     
  8. etron770

    etron770 Member

    Das wäre echt der Gag, damals war auch ISPCONFIG installiert.

    Egal selbst wenn ich irgendwie im /var/web eines der Verzeichnisse anlege schaltet die Kiste ab.

    Entweder das kommt nicht mehr vor dann bin ich beruhigt und wenn ich ein jail benötige muss ich diese Verzeichnisse eben solange bis meine Nerven wieder beruhigt sind vom Systemstop ausklammern. :)

    Auf jeden Fall hab ich wieder was gelernt


    Danke für Deine Mühe
     
  9. Till

    Till Administrator

    Kein hacker würde die verzeichnisse so dort anlegen, macht einfach keinen sinn da er daraus keinen nennenswerten nutzen ziehen kann, denn er beabsichtigt ja den server zu übernehmen und nicht sich im web verzeichnis selbst einzusperren. Und wenn ein hacker etwas rauf läd, dann trant er das. Daher kannst du davon ausgehen dass es ein jail war und kein hack.
     

Diese Seite empfehlen