nicht angemeldet
hack request in 1 sekunde 5
Hallo,
ich wollte mal die unix spezies fragen ,ob ein aufgerufenes script das zig mal
in einer sekunde aufgerufen wird dem server schaden oder gar zerstören könnte.
Ich rede von einem sicheren apache server.
Unten die requests vom errorlog:
[Sat Aug 2 02:56:04 2003] [error] [client 216.240.141.38] File does not exist: /alain/public_html/data/verotellog.txt
[Sat Aug 2 02:56:04 2003] [error] [client 216.240.141.38] File does not exist: /alain/public_html/ccbill/password/verotellog.txt
[Sat Aug 2 02:56:04 2003] [error] [client 216.240.141.38] File does not exist: /alain/public_html/.bash_history
[Sat Aug 2 02:56:04 2003] [error] [client 216.240.141.38] File does not exist: /alain/public_html/ccbill/password/.htpasswd
[Sat Aug 2 02:56:04 2003] [error] [client 216.240.141.38] File does not exist: /alain/public_html/cgi/add-passwd.cgi
Gruss vom Alain
--
...wenn das gehirn so einfach wäre,es zu vestehen,\nwären wir zu dumm um es zu begreifen...
...wenn das gehirn so einfach wäre,es zu vestehen,\nwären wir zu dumm um es zu begreifen...
-
Hallo,
ich wollte mal die unix spezies fragen ,ob ein aufgerufenes script das zig mal
in einer sekunde aufgerufen wird dem server schaden oder gar zerstören könnte.
Ich rede von einem sicheren apache server.
Unten die requests vom errorlog:[Sat Aug 2 02:56:04 2003] [error] [client 216.240.141.38] File does not exist: /alain/public_html/data/verotellog.txt
[Sat Aug 2 02:56:04 2003] [error] [client 216.240.141.38] File does not exist: /alain/public_html/ccbill/password/verotellog.txt
[Sat Aug 2 02:56:04 2003] [error] [client 216.240.141.38] File does not exist: /alain/public_html/.bash_history
[Sat Aug 2 02:56:04 2003] [error] [client 216.240.141.38] File does not exist: /alain/public_html/ccbill/password/.htpasswd
[Sat Aug 2 02:56:04 2003] [error] [client 216.240.141.38] File does not exist: /alain/public_html/cgi/add-passwd.cgiWas ist daran ein Hack? Da versucht jemand nur etwas aufzurufen, was nicht da ist. Unter Apache ist public_html ein Verzeichnis eines bestehenden Users, das so aufgerufen werden kann:
http://domain.tld/~user
Gruß
Reiner-
Hallo,
Was ist daran ein Hack? Da versucht jemand nur etwas aufzurufen, was nicht da ist. Unter Apache ist public_html ein Verzeichnis eines bestehenden Users, das so aufgerufen werden kann:
naja ich habe z.B. auch solche whereami.cgi?g=ls requests aber im servererror log zeigt er nur whereami.cgi an.
Ich denke mal das wenn jemand mal den richtigen request code einsetzt,dass da eine bestimmte liste wie z.B. das adminpassowrd angezeigt würde.
Gruss vom Alain--
...wenn das gehirn so einfach wäre,es zu vestehen,
wären wir zu dumm um es zu begreifen...-
Hi!
naja ich habe z.B. auch solche whereami.cgi?g=ls requests aber im servererror log zeigt er nur whereami.cgi an.
Ich denke mal das wenn jemand mal den richtigen request code einsetzt,dass da eine bestimmte liste wie z.B. das adminpassowrd angezeigt würde.Auf Unix-Systemen kannst du das Admin (ROOT)-Passwort nicht anzeigen lassen, da es dort gar nicht gespeichert ist. Gespeichert ist nur ein MD5-Hash, also eine Art Signatur des Passworts. Das Password selber läßt sich aus dieser Signatur heraus aber nicht wiederherstellen.
csx
-
Auf Unix-Systemen kannst du das Admin (ROOT)-Passwort nicht anzeigen lassen, da es dort gar nicht gespeichert ist. Gespeichert ist nur ein MD5-Hash, also eine Art Signatur des Passworts. Das Password selber läßt sich aus dieser Signatur heraus aber nicht wiederherstellen.
csx
sag mal wäre es nich theoretisch möglich über n script meinetwegen für alle möglichen passwörter einer bestimmten länge den md5-code ermitteln zu lassen?
dann hätte man alle möglichen passwörter die funktionieren würden, oder?
ich mein die md5 funktion ist doch ein ganz spezifischer algorhytmus, also nicht maschienenspezifisch...
??
gruß
-
Hi!
sag mal wäre es nich theoretisch möglich über n script meinetwegen für alle möglichen passwörter einer bestimmten länge den md5-code ermitteln zu lassen?
Naja, fast, denn einige Zeichenkombinationen ergeben den gleichen MD5-Hash. Aber im Prinzip wäre das wohl möglich.
Da Unixpasswörder aber mindestens 8 Zeichen lang sein müssen, und aus ich-weis-nicht-wie-vielen verschiedenen Zeichen bestehen können (A-Z, a-z, 0-9, Sonderzeichen), würde es wohl etwas schwierig sein, eine geeignete Datenbank zu finden. Gehen wir mal von 50 möglichen Zeichen aus und einer Passwortlänge von nur 8 Zeichen: 80^8 = 1,677,721,600,000,000 mögliche Kombinationen. Un wenn jetzt jemand 9 Zeichen genommen hat, dann hast du ganz verloren.
dann hätte man alle möglichen passwörter die funktionieren würden, oder?
Ja, du müßtest nur noch das richtige in deiner Datenbank finden.
ich mein die md5 funktion ist doch ein ganz spezifischer algorhytmus, also nicht maschienenspezifisch...
Stimmt. Die Hash-Werte sind immer gleich.
Gruß
csx -
Hallo Sorgenkind,
sag mal wäre es nich theoretisch möglich über n script meinetwegen für alle möglichen passwörter einer bestimmten länge den md5-code ermitteln zu lassen?
Klar.
dann hätte man alle möglichen passwörter die funktionieren würden, oder?
Ja.
Du vergisst eines: Wie lange dauert so etwas? Wenn Du ein 8 Zeichen langes Passwort mit 10 Ziffern + 52 Buchstaben (Groß/Kleinschreibung) + 10 Sonderzeichen als Basis nimmst (= 72 Zeichen) dann hast Du 72^8 = 722204136308736 verschiedene Möglichkeiten, müsstest also so viele Passwörter erzeugen. Nachdem jeder MD5-String mindestens 16 Byte braucht (wenn Du ihn binär und nicht als Text abspeicherst) bräuchtest Du alleine für die MD5-Strings 11555266180939776 Bytes, die Passwörter im Klartext noch nicht einmal mitgerechnet. Das sind mehr als 10 Mio Gigabyte. Das alleine der Speicherbedarf. Außerdem kannst Du nur eine endliche Anzahl an Passwörtern pro Sekunde erzeugen. Folglich brauchst Du, selbst wenn Du 10 Mio Passwörter jede Sekunde durchrechnen könntest, etwas mehr als 72220413 Sekunden, das sind mehr als 2 1/4 Jahre. Und 10 Mio Passwörter jede Sekunde ist wirklich _sehr_ schnell. Außerdem ist dabei die Zeit, die zum Abspeichern benötigt wird, noch gar nicht einberechnet.
Das heißt: So ein Vorhaben, wie Du es ansprichst, ist mit heutiger Technik nicht durchführbar.
Viele Grüße,
Christian-
Hi Christian,
Das heißt: So ein Vorhaben, wie Du es ansprichst, ist mit heutiger Technik nicht durchführbar.
mit _einer_ handelsüblichen Angreifer-Maschine nicht - mit einer entsprechend motivierten Internet-Community (nach entsprechender Verteilung der Passwort-Räume und einem Ansatz a la "SETI@home") dagegen schon weitaus eher.
Viele Grüße
Michael--
T'Pol: I apologize if I acted inappropriately.
V'Lar: Not at all. In fact, your bluntness made me reconsider some of my positions. Much as it has now.
(sh:| fo:} ch:] rl:( br:^ n4:( ie:% mo:) va:| de:/ zu:| fl:( ss:) ls:~ js:|)
=> http://www.peter.in-berlin.de/projekte/selfcode/?code=sh%3A|+fo%3A}+ch%3A]+rl%3A(+br%3A^+n4%3A(+ie%3A%25+mo%3A)+va%3A|+de%3A%2F+zu%3A|+fl%3A(+ss%3A)+ls%3A~+js%3A|
Auch diese Signatur wird an korrekt konfigurierte Browser gzip-komprimiert übertragen.
-
-
-
Hi,
Auf Unix-Systemen kannst du das Admin (ROOT)-Passwort nicht anzeigen lassen, da es dort gar nicht gespeichert ist. Gespeichert ist nur ein MD5-Hash, also eine Art Signatur des Passworts. Das Password selber läßt sich aus dieser Signatur heraus aber nicht wiederherstellen.
Das muss so nicht stimmen. Auf vielen Systemen werden die Passwörter immer noch mit crypt() verschlüsselt. Das ändert aber nichts an der Aussage, dass dabei die Passwörter nicht gespeichert sind. Nur ist es bei crypt() wesentlich leichter das Passwort durch brute force herauszubekommen.
Ausserdem ist das kein Spezialfall für root, das sollte bei allen benutzern so sein.Grüße Andres Freund
--
ss:) zu:) ls:} fo:) de:] va:) ch:| n4:& rl:° br:^ js:( ie:% fl:( mo:|
-
-
-
-
normalerweise is sowas bei DoS(denial of service) dabei.
dabei versucht man halt ne schwachstelle auszunutzen und in diesem fall wäre das ein versuchter buffer overflow (Pufferüberlauf).es ist aber sehr wahrscheinlich, dass bei apache sowas nicht zum absturz führt in dieser geringen menge...
sorry, wenn was net stimmt....
-
Moin!
ich wollte mal die unix spezies fragen ,ob ein aufgerufenes script
Dein Logfile beweist, dass _kein_ Skript aufgerufen wurde. Insofern sind alle darauf folgenden Annahmen und Herleitungen falsch - zumindest für diesen konkreten Fall.
das zig mal in einer sekunde aufgerufen wird dem server schaden oder gar zerstören könnte.
Es ist problemlos möglich, den Server durch gezielte Überlastung, also den Aufruf von ungeschützten (dazu komme ich gleich) und rechenaufwendigen Skripten lahmzulegen.
Hier auf dem Self-Server kamen die Probleme auch immer mal wieder vor - teilweise wohl absichtlich, teilweise auch eher unabsichtlich (Benutzer-Dummheit in besonders schweren Fällen).
Das Problem: Die Suche und die Archivanzeige wurden mit vielen parallelen Aufrufen ausgelastet. Die Suche hatte zwar einen Überlastschutz eingebaut, der zu Beginn des Skripts die aktuelle Serverlast checkt und ggf. das Skript dann mit einer Fehlermeldung abbricht, das Problem war aber, dass dieses Skript selbst in Perl geschrieben ist und somit trotzdem erst einmal der Perl-Interpreter angeworfen werden mußte.
Die jetzige Lösung ist, dass ein kleines C-Programm, welches direkt und ohne großen Overhead startet, die Last prüft und bei freien Ressourcen dann das Perl-Skript startet.
Die Archiv-Anzeige hingegen wurde mal von einem wildgewordenen Spider überfallen. Der hatte wahnsinnig viele parallele Anfragen an den Server gestellt - und fürs Archiv werden auch wieder Perl-Skripte aufgerufen. Da sich der Spider-Programmierer (ein Suchmaschinenprojekt an einer deutschen Hochschule) irgendwie nicht wirklich entschuldigen wollte (dabei sollte allen Spider-Programmierern klar sein, dass sie sich extrem unfreundlich verhalten, wenn sie einen Server mit 100 parallelen Requests überfallen), wurde die IP-Adresse kurzerhand ausgesperrt.
Der Server kann bei solchen Überlast-Situationen - je nach Betriebssystem - durchaus abstürzen, zumindest aber total unansprechbar werden - für jeglichen Zugriff, auch für die Kommandozeile.
Schaden kann eigentlich nur dadurch entstehen, dass der Server aus dieser Situation nicht wirklich "nett" befreit werden kann. Wenn man es nicht schafft, die ausufernden Prozesse sauber oder unsauber abzuschießen, sondern die harte Methode mit einem Reset nutzen muß (Netzwerkkabel ziehen würde eigentlich helfen - nur kommt man da meist nicht ran, weil der Server im Rechenzentrum steht), dann können geöffnete Dateien und Datenbanken durchaus Datenverluste verursachen.
Der Prozessor kann übrigens auch durchbrennen, wenn er durch die hohe Last und mangelhafte Kühlung überhitzt. Dem Self-Server ist genau das schon mal passiert. Dagegen helfen Intel-Prozessoren - die brennen nicht durch, die regeln bei Überhitzung die Prozessortemperatur herunter. Der P4 kann laut TomsHardwareGuide wohl sogar das komplette Abnehmen des Kühlkörpers verkraften und läuft weiter!
- Sven Rautenberg
--
SELFTREFFEN 2003 - http://selftreffen.kuemmi.ch/
ss:) zu:) ls:[ fo:} de:] va:) ch:] sh:) n4:# rl:| br:< js:| ie:( fl:( mo:|-
Hallo Sven,
Die jetzige Lösung ist, dass ein kleines C-Programm, welches direkt und ohne großen Overhead startet, die Last prüft und bei freien Ressourcen dann das Perl-Skript startet.
gibts da auch was in perl einen standard code dafür ,das erst die server last prüft?
Oder kann ich dieses c-programm irgendwo runterladen?Gruss vom Alain
--
...wenn das gehirn so einfach wäre,es zu vestehen,
wären wir zu dumm um es zu begreifen...-
Hi,
Die jetzige Lösung ist, dass ein kleines C-Programm, welches direkt und ohne großen Overhead startet, die Last prüft und bei freien Ressourcen dann das Perl-Skript startet.
gibts da auch was in perl einen standard code dafür ,das erst die server last prüft?
Oder kann ich dieses c-programm irgendwo runterladen?Wenn's nirgendwo auftaucht, siehe 'man getloadavg' (ISO C), kannst Du Dir billig 'was basteln.
Ist AFAIK sogar reentrant.so short
Christoph Zurnieden
-
Hallo Alain,
gibts da auch was in perl einen standard code dafür ,das
erst die server last prüft?Nein. Ich hatte damals schlicht per
uptimegeprueft, wieviel
Last auf dem Server ist.Oder kann ich dieses c-programm irgendwo runterladen?
Nein. Aber ich kann es mal posten:
#include <stdio.h>
#include <stdlib.h>#define REDIRECT_URI "http://selfsuche.teamone.de/fehler/suche_max.htm"
#define PROGRAM "/home/www/teamone.de/selfsuche/cgi-bin/such.pl"void run_script(const char *argv[],const char *envp[]) {
if(execve(PROGRAM,argv,envp) == -1) {
perror("execve");
}
}void redirect_to_error() {
printf("Status: 302\015\012Location: "REDIRECT_URI"\015\012");
}int main(int argc,const char *argv[],const char *envp[]) {
double x[3];
int return_values;if((return_values = getloadavg(x,3)) == -1) {
perror("getloadavg");
run_script(argv,envp);
}
else {
if(x[0] > 2.5) {
fprintf(stderr,"load last minute: %f\n",x[0]);
redirect_to_error();
}
else {
run_script(argv,envp);
}
}return EXIT_SUCCESS;
}Wie du siehst ein sehr einfaches Programm.
Gruesse,
CK--
http://cforum.teamone.de/
http://wishlist.tetekum.de/
If God had meant for us to be in the Army, we would have been born with green, baggy skin".-
Hi Christian,
Das es Dich auch noch gibt freut einen wirklich!
Nein. Aber ich kann es mal posten:
#include <stdio.h>
#include <stdlib.h>#define REDIRECT_URI "http://selfsuche.teamone.de/fehler/suche_max.htm"
#define PROGRAM "/home/www/teamone.de/selfsuche/cgi-bin/such.pl"Hardcoded Paths? Ts ts ts! ,-)
int main(int argc,const char *argv[],const char *envp[]) {
double x[3];
int return_values;if((return_values = getloadavg(x,3)) == -1) {
Aha, wie ich es mir gedacht hatte ;-)
so short
Christoph Zurnieden
PS:
Eurer beider Bewerbungen sind noch nicht vergessen.
BTW: wann hast Du es eigentlich genau hinter Dir?
Bitte entschuldige die öffentliche Anfrage, aber direkt hattest Du nicht mehr reagiert.
CZ-
Hi Christoph
BTW: wann hast Du es eigentlich genau hinter Dir?
Offiziell Ende September, er versucht aber mit so ziemlich allen Mitteln Verkürzung zu kriegen da die FH-Dortmund zugesagt hat und da fängt es etwas früher an.
Bitte entschuldige die öffentliche Anfrage, aber direkt hattest Du nicht mehr reagiert.
Christian hatte ein paar Probleme mit den Keys für die Mails und musste einen neuen Schlüssel anlegen, da ging es dann wohl im Stress der kurzen Wochenende und Internet nur bei seiner Mutter oben unter.
Gruss Daniela
--
Nein, wir frieren unsere Hühner nicht auf Gletschern fest.
Selfcode: sh:) fo:) ch:) rl:) br:> n4:| ie:{ mo:) va:) de:] zu:} fl:( ss:) ls:&-
Hi Daniela,
Ich wollte DIch schon fragen, habe mich aber nicht getraut ;-)
BTW: wann hast Du es eigentlich genau hinter Dir?
Offiziell Ende September, er versucht aber mit so ziemlich allen Mitteln Verkürzung zu kriegen da die FH-Dortmund zugesagt hat und da fängt es etwas früher an.
Au Mann.
Bitte entschuldige die öffentliche Anfrage, aber direkt hattest Du nicht mehr reagiert.
Christian hatte ein paar Probleme mit den Keys für die Mails und musste einen neuen Schlüssel anlegen, da ging es dann wohl im Stress der kurzen Wochenende und Internet nur bei seiner Mutter oben unter.
Sowas ähnliches schon gedacht. Ist ja auch nicht weiter schlimm.
so short
Christoph Zurnieden
-
-
-
Hallo CK,
Nein. Aber ich kann es mal posten:
#include <stdio.h>
#include <stdlib.h>#define REDIRECT_URI "http://selfsuche.teamone.de/fehler/suche_max.htm"
#define PROGRAM "/home/www/teamone.de/selfsuche/cgi-bin/such.pl"void run_script(const char *argv[],const char *envp[]) {
if(execve(PROGRAM,argv,envp) == -1) {
perror("execve");
}
}void redirect_to_error() {
printf("Status: 302\015\012Location: "REDIRECT_URI"\015\012");
}int main(int argc,const char *argv[],const char *envp[]) {
double x[3];
int return_values;if((return_values = getloadavg(x,3)) == -1) {
perror("getloadavg");
run_script(argv,envp);
}
else {
if(x[0] > 2.5) {
fprintf(stderr,"load last minute: %f\n",x[0]);
redirect_to_error();
}
else {
run_script(argv,envp);
}
}return EXIT_SUCCESS;
}Wie du siehst ein sehr einfaches Programm.
Danke für den Tip,aber ähem,sorry wenn ich vielleicht etwas naiv frage,
wie soll die datei heissen?
*.exe doch nicht oder? Und läuft das auch auf unix?Und in welchem verzeichniss legt man diese datei ab?
Ich bin nicht gerade ein Hirsch was C-programme betrifft,
obwohl der code dem perl oder javascript ähnelt,desshalb doch nicht so einfach für mich wie für Dich :)Gruss vom Alain
--
...wenn das gehirn so einfach wäre,es zu vestehen,
wären wir zu dumm um es zu begreifen...-
Hi Alain,
wie soll die datei heissen?
das ist unter UNIX irrelevant.
Datei-Endungen sind kein Konzept eines Betriebssystems, sondern ein Konzept einer Klicki-Bunti-Schicht oben drüber; ein Systemlader entscheidet über die Verwendung eines Datei-Inhalts aufgrund eben dieses Inhalts (wo ganz vorne in der Datei eine 'magic number' mit der Bedeutung "dies ist ein ausführbares Programm" drin steht, so ähnlich wie Du bei Perl-Skripten die 'magic number' "#!" kennst).
Und läuft das auch auf unix?
Immerhin läuft es schon mal auf dem BSD-UNIX-Server des Self-Portals ... beantwortet das Deine Frage? ;-)
Deine Frage müßte aber vermutlich eher lauten: Wozu muß der zu verwendende C-Compiler (inklusive seiner Systembibliotheken) kompatibel sein? (Und die Antwort lautet dann eben "ISO" oder so ähnlich.)
Viele Grüße
Michael--
T'Pol: I apologize if I acted inappropriately.
V'Lar: Not at all. In fact, your bluntness made me reconsider some of my positions. Much as it has now.
(sh:| fo:} ch:] rl:( br:^ n4:( ie:% mo:) va:| de:/ zu:| fl:( ss:) ls:~ js:|)
=> http://www.peter.in-berlin.de/projekte/selfcode/?code=sh%3A|+fo%3A}+ch%3A]+rl%3A(+br%3A^+n4%3A(+ie%3A%25+mo%3A)+va%3A|+de%3A%2F+zu%3A|+fl%3A(+ss%3A)+ls%3A~+js%3A|
Auch diese Signatur wird an korrekt konfigurierte Browser gzip-komprimiert übertragen.
-
-
-
-
Hallo,
Schaden kann eigentlich nur dadurch entstehen, dass der Server aus dieser Situation nicht wirklich "nett" befreit werden kann. Wenn man es nicht schafft, die ausufernden Prozesse sauber oder unsauber abzuschießen, sondern die harte Methode mit einem Reset nutzen muß (Netzwerkkabel ziehen würde eigentlich helfen - nur kommt man da meist nicht ran, weil der Server im Rechenzentrum steht), dann können geöffnete Dateien und Datenbanken durchaus Datenverluste verursachen.
und wie kann man in der Situation aus der Ferne noch ein Reset machen?
SSH-Dämon mit einer höheren Priorität laufen lassen oder reicht das nicht? Braucht man spezielle Hardware für den Reset?Gruß,
Christian-
Moin,
und wie kann man in der Situation aus der Ferne noch ein Reset machen?
SSH-Dämon mit einer höheren Priorität laufen lassen oder reicht das nicht? Braucht man spezielle Hardware für den Reset?Jep, spezielle Hardware. Zum Beispiel Operator 1.0:
Eine kohlenstoffbasierte, autonome Einheit die zu über 70% aus Wasser besteht. Aufgrund des komplexen Herstellungsprozesses ist mit einer Lieferzeit von wenigstens 9 Monaten zu rechen, woran sich noch einmal 18 bis 23 Jahre kundenspezifische Konfiguration anschließen. Vorsicht: Obwohl die Herstellung an sich von ungeschulten Arbeitskräften vorgenommen werden kann, ist es dringend anzuraten die Konfiguration von ausgebildetem Fachpersonal übernehmen zu lassen.
Nach Abschluß der Konfigurationsphase kann die Einheit für eine Vielzahl von Tätigkeiten eingesetzt werden. So kann sie zum Beispiel auch - über ein handelsübliches Telefon ferngesteuert - einen Server zurücksetzen.;-)
--
Henryk Plötz
Grüße aus Berlin
~~~~~~~~ Un-CDs, nein danke! http://www.heise.de/ct/cd-register/ ~~~~~~~~
~~ Help Microsoft fight software piracy: Give Linux to a friend today! ~~-
Hallo,
Jep, spezielle Hardware. Zum Beispiel Operator 1.0:
Eine kohlenstoffbasierte, autonome Einheit die zu über 70% aus Wasser besteht. Aufgrund des komplexen Herstellungsprozesses ist mit einer Lieferzeit von wenigstens 9 Monaten zu rechen, woran sich noch einmal 18 bis 23 Jahre kundenspezifische Konfiguration anschließen. Vorsicht: Obwohl die Herstellung an sich von ungeschulten Arbeitskräften vorgenommen werden kann, ist es dringend anzuraten die Konfiguration von ausgebildetem Fachpersonal übernehmen zu lassen.
Nach Abschluß der Konfigurationsphase kann die Einheit für eine Vielzahl von Tätigkeiten eingesetzt werden. So kann sie zum Beispiel auch - über ein handelsübliches Telefon ferngesteuert - einen Server zurücksetzen.LOL. Ist aber nur für einen Reboot ziemlich teuer; deshalb hatte ich eher an Reboot-on-Lan Netzwerkkarten o.ä. gedacht.
Gruß,
Christian
-
-
-