Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Analyse eines Einbruchs

Mitglied: homedom

homedom (Level 1) - Jetzt verbinden

10.06.2012, aktualisiert 14:51 Uhr, 3117 Aufrufe, 4 Kommentare

Hallo,
bei uns wurde am 6. Juni in unseren Server "eingebrochen". Bei dem Server handelt es sich um einen Apache 2.2.22 hinter dem ein Jboss 5.10 läuft. Wir haben den Apache mit mod_jk so konfiguriert, dass dieser nur die Adresse /apps an den Jboss weiterleitet. Der Jboss lauschte nur auf 127.0.0.1 Port 8009(AJP) und 8080(HTTP). Iptables wurde so konfiguriert, dass nur Port 80, 443 und ein SSH Port von außen Freigegeben waren. Wir hatten den Server erst am 6. Juni soweit eingerichtet (waren noch nicht komplett fertig) dass die JMX-Console noch nicht abgesichert war und der Jboss testweise noch mit root Rechten lief. Uns war bekannt, dass es einen Wurm für Jboss gibt, welcher über die JMX-Console eindringt, wir waren uns jedoch sicher, da wir von außen nicht auf die JMX-Console zugreifen konnten (Jboss lauschte ja nur auf 127.0.0.1 und Apache leitete nur /apps weiter), dass wir davon verschont bleiben sollten. Nun wurden wir am selben Tag um 23 Uhr eines besseren belehrt, als genau mit diesem Exploit unser System kompromitiert wurde.
Nun ist uns die Vorgehensweise des Angreifers ein komplettes Rätsel, da auch in den Apache Logs an diesem Tag nichts allzu auffälliges zu sehen ist. Habt ihr eine Idee wie das funktionieren könnte? Wir würden das gerne in Zunkunft vermeiden, auch wenn wir schon die JMX-Console abgesichert haben und JBoss nicht mehr als root laufen lassen.
Gruß, homedom
Mitglied: Alchimedes
11.06.2012, aktualisiert um 12:58 Uhr
Hallo,

es gibt mit Sicherheit verschiedene Wege,da aber ein "bekanntes" Exploit genutzt wurde hat der Angreifer vieleicht mit Nessus gearbeitet?
Dieses Tool kann man sehr gut benutzen um Schwachstellen in seinem System zu ueberpruefen.
Fuer Firmen ist es jedoch nicht kostenlos und leider koennen es Angreifer ebenso nutzen.
Aber es gibt viele Wege nach Rom.... Was sagen den die Firewalllogs?
Gab es auffaellige ssh scans?
Oder hat vieleicht jemand von "Intern" der vertraut war mit der Schwachstelle, diese fuer sich genutzt?

Gruss
Bitte warten ..
Mitglied: danielfr
11.06.2012 um 13:04 Uhr
Der beste Weg das nachzuvollziehen ist den Exploit selbst auszuführen und zu beobachten was passiert. Die Kiste sollte neu aufgesetzt werden, wer weiss, was sich da jetzt sonst noch so tummelt. Dieser Link könnte noch interessant sein.
Bitte warten ..
Mitglied: homedom
11.06.2012 um 20:10 Uhr
Den Exploit hab ich mittels Metasploit schon erfolgreich an einem ungesicherten System ausgeführt. Wenn ich jedoch einen Apache Webserver vorschalte mit der selben Konfiguration wie bei unserem alten System, dann kann man gar nicht mehr auf die URL http://host/jmx-console zugreifen, da wir mittels mod_rewrite alle nicht http requests auf https://host/apps umschreiben. auch https requests auf https://host/ werden auf https://host/apps weitergeleitet. Daher ist es mir noch ein Rätsel wie man auf die Jboss Console zugreifen soll der, wie bereits gesagt, nur hinter dem Apache auf die Verbindungen von localhost lauscht. Gibt es für apache2 2.2.22 eine bekannte Sicherheitslücke im mod_rewrite welche solch etwas zulässt? In den Firewalllogs gab es nur einige wenige request auf ssh port und auf samba port, da ist nichts dran auffällig. Im kernel log fehlt allerdings der komplette 6. Juni:

Jun 5 16:29:26 ubuntu kernel: [ 19.895384] eth1: no IPv6 routers present
Jun 7 20:24:32 ubuntu kernel: [186921.565553] nf_conntrack version 0.5.0 (16384 buckets, 65536 max)

Wir haben den Server komplett neu aufgesetzt und alle keys und Passwörter getauscht. Wir verwenden nun Jboss7 und haben auch noch einige kleinere Änderungen an der Apache Konfiguration gemacht.
Bitte warten ..
Mitglied: danielfr
11.06.2012 um 21:27 Uhr
afaik gibts da nix... aber der Angreifer könnte ja über einen anderen Weg reingekommen sein. Da müsste man dann wohl einen ausführlichen Test machen, auch Nessus muss vermutlich nicht immer alles finden.
Bitte warten ..
Ähnliche Inhalte
Windows Netzwerk
Einbruch Übertragungsrate Netzwerk
Frage von geforce28Windows Netzwerk10 Kommentare

Hallo Leute, ich habe einen Windows 8.1 Client mit super Hardware, i7 16gb ram usw Er hat einen Intel ...

LAN, WAN, Wireless
Netzwerk Analyse
gelöst Frage von TooobiiLAN, WAN, Wireless9 Kommentare

Hallo, ich interessiere mich sehr über WLAN und allgemein über Netzwerke, kenne mich allerdings nur in ein paar wenigen ...

Windows Server
Traffic-Analyse
gelöst Frage von malikaWindows Server15 Kommentare

Hallo, über den Router sehe ich, dass manchmal die Netzwerkbelastung zu hoch ist. Ich sehe auch von welchen Rechner. ...

Windows Tools
Analyse nach Datenklau
Frage von BergEnteWindows Tools5 Kommentare

Hallo Admin Forum, wir müssten einen PC überprüfen auf dem wahrscheinlich Daten per USB geklaut worden sind. Der Vorfalll ...

Neue Wissensbeiträge
Windows 10

USB Maus und Tastatur versagen Dienst unter Windows 10

Erfahrungsbericht von hardykopff vor 2 TagenWindows 105 Kommentare

Da steht man ziemlich dumm da, wenn der PC sich wegen fehlender USB Tastatur und Maus nicht bedienen lässt. ...

Administrator.de Feedback
Update der Seite: Alles zentriert
Information von Frank vor 2 TagenAdministrator.de Feedback18 Kommentare

Hallo User, die größte Änderung von Release 5.8 ist das Zentrieren der Webseite (auf großen Bildschirmen) und ein "Welcome"-Teaser ...

Humor (lol)

WhatsApp-Nachrichten endlich auch per Bluetooth versendbar

Information von BassFishFox vor 2 TagenHumor (lol)4 Kommentare

Genau darauf habe ich gewartet! ;-) Der beliebte Messaging-Dienst WhatsApp erhält eine praktische neue Funktion: Ab dem nächsten Update ...

Google Android

Googles "Android Enterprise Recommended" für Unternehmen

Information von kgborn vor 3 TagenGoogle Android3 Kommentare

Hier eine Information, die für Administratoren und Verantwortliche in Unternehmen, die für die Beschaffung und das Rollout von Android-Geräten ...

Heiß diskutierte Inhalte
Router & Routing
Router auf Orginal Firmware zurück flashen mit Tftpd
Frage von ILeonardRouter & Routing19 Kommentare

Hallo, Ich habe zwei Router, einmal TP-Link 841n v11 und TP-Link 940N v5. Ich wollte fragen, ob jemand mir ...

Router & Routing
WRT keine Verbindung zum Web Interface
gelöst Frage von ILeonardRouter & Routing18 Kommentare

Hallo, Ich habe einen TP-Link WR841n mit wrt geflasht, das Problem ist ich kann mich mit 192.168.1.1 nicht verbinden. ...

Windows Server
Standortvernetzung zu einem Strato VServer (Windows)
Frage von matzefratze81Windows Server10 Kommentare

Moin, ich komme aus einem Enterprise-Umfeld und habe den Fehler gemacht, dass ich mich auf ein kleines Unternehmen eingelassen ...

Grafikkarten & Monitore
4k EIZO Monitor, Fernseher und Splitter
Frage von LerxxeyGrafikkarten & Monitore9 Kommentare

Hallo Zusammen, vielleicht könnt ihr mir bei einem Problem helfen wo ich einfach nicht mehr weiterkomme Und zwar haben ...