Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Analyse eines Einbruchs

Frage Sicherheit Erkennung und -Abwehr

Mitglied: homedom

homedom (Level 1) - Jetzt verbinden

10.06.2012, aktualisiert 14:51 Uhr, 3090 Aufrufe, 4 Kommentare

Hallo,
bei uns wurde am 6. Juni in unseren Server "eingebrochen". Bei dem Server handelt es sich um einen Apache 2.2.22 hinter dem ein Jboss 5.10 läuft. Wir haben den Apache mit mod_jk so konfiguriert, dass dieser nur die Adresse /apps an den Jboss weiterleitet. Der Jboss lauschte nur auf 127.0.0.1 Port 8009(AJP) und 8080(HTTP). Iptables wurde so konfiguriert, dass nur Port 80, 443 und ein SSH Port von außen Freigegeben waren. Wir hatten den Server erst am 6. Juni soweit eingerichtet (waren noch nicht komplett fertig) dass die JMX-Console noch nicht abgesichert war und der Jboss testweise noch mit root Rechten lief. Uns war bekannt, dass es einen Wurm für Jboss gibt, welcher über die JMX-Console eindringt, wir waren uns jedoch sicher, da wir von außen nicht auf die JMX-Console zugreifen konnten (Jboss lauschte ja nur auf 127.0.0.1 und Apache leitete nur /apps weiter), dass wir davon verschont bleiben sollten. Nun wurden wir am selben Tag um 23 Uhr eines besseren belehrt, als genau mit diesem Exploit unser System kompromitiert wurde.
Nun ist uns die Vorgehensweise des Angreifers ein komplettes Rätsel, da auch in den Apache Logs an diesem Tag nichts allzu auffälliges zu sehen ist. Habt ihr eine Idee wie das funktionieren könnte? Wir würden das gerne in Zunkunft vermeiden, auch wenn wir schon die JMX-Console abgesichert haben und JBoss nicht mehr als root laufen lassen.
Gruß, homedom
Mitglied: Alchimedes
11.06.2012, aktualisiert um 12:58 Uhr
Hallo,

es gibt mit Sicherheit verschiedene Wege,da aber ein "bekanntes" Exploit genutzt wurde hat der Angreifer vieleicht mit Nessus gearbeitet?
Dieses Tool kann man sehr gut benutzen um Schwachstellen in seinem System zu ueberpruefen.
Fuer Firmen ist es jedoch nicht kostenlos und leider koennen es Angreifer ebenso nutzen.
Aber es gibt viele Wege nach Rom.... Was sagen den die Firewalllogs?
Gab es auffaellige ssh scans?
Oder hat vieleicht jemand von "Intern" der vertraut war mit der Schwachstelle, diese fuer sich genutzt?

Gruss
Bitte warten ..
Mitglied: danielfr
11.06.2012 um 13:04 Uhr
Der beste Weg das nachzuvollziehen ist den Exploit selbst auszuführen und zu beobachten was passiert. Die Kiste sollte neu aufgesetzt werden, wer weiss, was sich da jetzt sonst noch so tummelt. Dieser Link könnte noch interessant sein.
Bitte warten ..
Mitglied: homedom
11.06.2012 um 20:10 Uhr
Den Exploit hab ich mittels Metasploit schon erfolgreich an einem ungesicherten System ausgeführt. Wenn ich jedoch einen Apache Webserver vorschalte mit der selben Konfiguration wie bei unserem alten System, dann kann man gar nicht mehr auf die URL http://host/jmx-console zugreifen, da wir mittels mod_rewrite alle nicht http requests auf https://host/apps umschreiben. auch https requests auf https://host/ werden auf https://host/apps weitergeleitet. Daher ist es mir noch ein Rätsel wie man auf die Jboss Console zugreifen soll der, wie bereits gesagt, nur hinter dem Apache auf die Verbindungen von localhost lauscht. Gibt es für apache2 2.2.22 eine bekannte Sicherheitslücke im mod_rewrite welche solch etwas zulässt? In den Firewalllogs gab es nur einige wenige request auf ssh port und auf samba port, da ist nichts dran auffällig. Im kernel log fehlt allerdings der komplette 6. Juni:

Jun 5 16:29:26 ubuntu kernel: [ 19.895384] eth1: no IPv6 routers present
Jun 7 20:24:32 ubuntu kernel: [186921.565553] nf_conntrack version 0.5.0 (16384 buckets, 65536 max)

Wir haben den Server komplett neu aufgesetzt und alle keys und Passwörter getauscht. Wir verwenden nun Jboss7 und haben auch noch einige kleinere Änderungen an der Apache Konfiguration gemacht.
Bitte warten ..
Mitglied: danielfr
11.06.2012 um 21:27 Uhr
afaik gibts da nix... aber der Angreifer könnte ja über einen anderen Weg reingekommen sein. Da müsste man dann wohl einen ausführlichen Test machen, auch Nessus muss vermutlich nicht immer alles finden.
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Microsoft Office
Fahrer Analyse Tabelle (Palletenzeit pro, min.) in EXCEL13 (3)

Frage von kluthi69 zum Thema Microsoft Office ...

Entwicklung
Eine Analyse-csv via Powershell in Sharepoint exportieren? (2)

Frage von Scuzzy zum Thema Entwicklung ...

Windows Server
gelöst Unterstützung bei der Analyse - langsamer SQL Zugriff (6)

Frage von Sachellen zum Thema Windows Server ...

Monitoring
Welches Aufgabenlevel hat eine Fault Tree Analyse? (6)

Frage von Marabunta zum Thema Monitoring ...

Heiß diskutierte Inhalte
Router & Routing
gelöst Ipv4 mieten (22)

Frage von homermg zum Thema Router & Routing ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...