> Denn weder unter Win noch. Imho unter Mac ist der > Mechanismus zur Erlangung von Rootrechten identisch > dem von Linux.
Wann kapiert endlich der letzte DAU dass es verflucht nochmal gar nicht notwendig ist root-Rechte u erlangen um maximalen Schaden anzurichten
Es reicht wenn der Binärcode mit DEINEN Rechten läuft, sich in DEIn Userhome einnistest, sich in DEINE Autostarts einnistet und auf ALLE DEINE Daten Zugriff hat
Hast du auch nur einen blassen Schimmer welchen Schaden so ein Teil damit anrichten kann und wie leicht es dann ist eine VERBINDUNG NACH AUSSEN aufzubauen, beliebigen Code nachzuladen, diesen wieder im Hintergrund MIT DEINEN RECHTEN laufen zu lassen und alle DEINE privaten Dateien, Passowrtlisten ind Textfiles, MAIL-DATEN DEINES ACCOUNTS nach Mails mit Passwörtern durchzugraben und nach aussen zu senden
JEDER der hier behauptet "Mähh braucht doch root-Rechte" sollte am besten komplett die Finger von Computern lassen weil wer durch seine Navität früher oder später Opfer von sowas wird und NICHT NUR BEI SICH Schaden anrichtet
Auch braucht NIEMAND root-Rechte um von DEINEM Rechner mit DEINEM ACCOUNT als USER DOS-Attacken auf Dritte zu fahren
Sollte jemand für ein bestimmtes Angriffszenario doch root-Rechte benötigen, so gibt es immer irgendwelche Bugs in den Standardtools um vom User zum root durch zu brechen. Meist wird ausreichend schnell gefixt, aber manche Lücke wird erst nach langer Zeit bekannt.
Diese Angriffe funktionieren meistens nicht. Vielleicht kann ein Fedoranutzer hier einmal versuchen, diesen in der News beschriebenen Angriff samt angeblicher Folgen unter einem Standard-Fedora oder einem Standard-RHEL6 und der üblicherweise standardmäßig konfgurierten Software (u.a. SELinux, "Firewall") nachzustellen.
Außerdem ist es gar nicht so einfach, eine jar-Datei unter Linux auszuführen, gerade nicht für DAUs. Erstens ist sehr oft überhaupt kein Java installiert (trotz LibreOffice-Installation) und zum zweiten wurde in vielen Distros die Möglichkeit zum praktisch automatischen Ausführen dieser jar-Dateien quasi "abgeschafft". Das letzte Mal habe ich dieses Unfeature in openSuse 11.1 gesehen.
Selbst unter Ubuntu ist sowas ja wunderbar Dau-kompatibel, nicht wahr? :-) http://wiki.ubuntuusers.de/Java/Tipps oder so etwas: http://forum.ubuntuusers.de/topic/.jar-ausfuehren/#post-519626 Viel Spaß beim Linux-Cracken mit jar-Dateien.
Draufklicken und Ausführen unter Linux ist ja so einfach. Schon nach einer Zweistunden-Foren-Informations-Session sollten es die wenigen wackeren Linux-DAUs, die das durchgestanden haben, fertig bringen, diese jar-Dateien auszuführen, immer vorausgesetzt, sie tun das dann überhaupt noch.
"meistens" ist eine verdammt beschissene Sicherheitsstrategie
98% aller erfolgreichen Angriffe funktionieren auf eine Art und Weise basierend auf Kettenreaktionen die zuvor nie jemand für möglich gehalten hätte
Oder wärst du zB auf die Idee gekommen
So gesehen bei einem verdammt grossen Kunden
WENN ein Angriff MÖGLICh ist wird er auch passieren Die fRage ist NICHT ob sondern WANN
Und jeder der sich weigert das zu begriefne wird fprher oder später betroffen sein und sollte wenn er vorher oft genug gwarnt wurde und danach Schaden bei Dritten mit seiner Scheisskiste angerichtet wird eine in die Fresse bekommen - Soo einfach ist das!
Idiotische Foren-Software hat das Beispiel gekillt
* PHP-Code scheinbar wahllos an Parameter angehängt * Laden damit im Access-Log * Über einen anderen vhost mit Remote-Include Lücke Access-Log eingebunden * kein open_base_dir gesetzt * PHP-Skipts eines unbeteiligten vhosts in Folge manipuliert * Spam-Code eingeschleust (Seitenaufruf = mail, Traffic-Kurve in der Nacht unverändert damit fällt es weniger auf) * Zwischenstufen der Infektion gelöscht * Access-Log war aufgrund fehlender Rechte noch da
Da schaust du erstmal nur wie ein Autobus wenn du in den Logs nachverfolgst was da egnau zwishen vhsots alles abgelaufen ist weil du erst mal alarmiert wirst dass der für den du verantwortlich bist angeblich ein Sicgherheitsleck hat weil komprommitiert
Also doch - nicht richtig bzw. ordentlich gemanaged die Kiste... Da hat wohl dann auch die "verdammte"Grösse des Kunden nix genützt. Die Rede war vom Desktop und nicht von Multihome-Servern. Da stehen wohl die Dinge etwas anders, zumal das vor geschilderte Szenario absolut nix mit Java zu tun hat sondern offenbar mit altbekannten und für jeden halbwegs fitten Admin relativ einfach wirksam zu verhindernden Script-Injection-Angriffen handelt. Reg dich ab und wechsel oder update wenigstens die Serveradmin-Sw (sieht mir sehr nach nem löchrigen ungepatchten Plesk aus...)
> Also doch - nicht richtig bzw. ordentlich gemanaged die Kiste...
Und du glaubst ein nicht ordentlich gemanageder Desktop schenidet besser ab Das war ein Beispiel verdammt nochmal wie schnell Dinge an die keiner denkt und die keiner für möglich hält einschlagen
> Da hat wohl dann auch die "verdammte"Grösse des Kunden nix genützt
Ja und? Wäre es ein kleiner gewesen wäre das selbe raus gekommen
Wäre es ein Desktop gewesen wo EINE User-Space Lücke zum falschen Zeitpunkt offen ist detto
> Die Rede war vom Desktop und nicht von Multihome-Servern
Und weiter? Wo ist der grundlegende Unterschied im Kontext "Passiert meistens nichts"?
> Da stehen wohl die Dinge etwas anders
Inwiefern?
> zumal das vor geschilderte Szenario absolut nix mit Java zu tun hat
Das ist doch verdamm tnochmal Scheissegal WEs geht nicht um eine spezifische Lücke sondern die Dummheit zu glauben "Bähh braucht es doch root-rechte"
> sondern offenbar mit altbekannten und für jeden halbwegs fitten Admin > relativ einfach wirksam zu verhindernden Script-Injection-Angriffen handelt
Dämliche Klugscheisserei
> Reg dich ab und wechsel oder update wenigstens die Serveradmin-Sw
a) Nicht mein Server b) Keine Server-Admin Software involviert und notwendig c) Reg ich mich ab wenn der letzte Trottel kapiert hat dass Security JDEN und jeses OS betrifft
Wenn du verstanden hättest was ich schrieb wäre dir das auch klar
> (sieht mir sehr nach nem löchrigen ungepatchten Plesk aus...)
Dummes Geschwätz
a) hätte die beim beschriebenen Problem keine Einfluss b) Braucht sowas generell keine Sau
Also doch - nicht richtig bzw. ordentlich gemanaged die Kiste... Da hat wohl dann auch die "verdammte"Grösse des Kunden nix genützt. Die Rede war vom Desktop und nicht von Multihome-Servern. Da stehen wohl die Dinge etwas anders, zumal das vor geschilderte Szenario absolut nix mit Java zu tun hat sondern offenbar mit altbekannten und für jeden halbwegs fitten Admin relativ einfach wirksam zu verhindernden Script-Injection-Angriffen handelt. Reg dich ab und wechsel oder update wenigstens die Serveradmin-Sw (sieht mir sehr nach nem löchrigen ungepatchten Plesk aus...)
Es reicht wenn du eine AW einmal postest, vor allem wenn sie dermassen zeigt dass du NICHTS vom Thema Security geschweige denn was man dir zeigen wollte verstanden hast
> Denn weder unter Win noch. Imho unter Mac ist der
> Mechanismus zur Erlangung von Rootrechten identisch
> dem von Linux.
Wann kapiert endlich der letzte DAU dass es verflucht nochmal gar nicht notwendig ist root-Rechte u erlangen um maximalen Schaden anzurichten
Es reicht wenn der Binärcode mit DEINEN Rechten läuft, sich in DEIn Userhome einnistest, sich in DEINE Autostarts einnistet und auf ALLE DEINE Daten Zugriff hat
Hast du auch nur einen blassen Schimmer welchen Schaden so ein Teil damit anrichten kann und wie leicht es dann ist eine VERBINDUNG NACH AUSSEN aufzubauen, beliebigen Code nachzuladen, diesen wieder im Hintergrund MIT DEINEN RECHTEN laufen zu lassen und alle DEINE privaten Dateien, Passowrtlisten ind Textfiles, MAIL-DATEN DEINES ACCOUNTS nach Mails mit Passwörtern durchzugraben und nach aussen zu senden
JEDER der hier behauptet "Mähh braucht doch root-Rechte" sollte am besten komplett die Finger von Computern lassen weil wer durch seine Navität früher oder später Opfer von sowas wird und NICHT NUR BEI SICH Schaden anrichtet
Auch braucht NIEMAND root-Rechte um von DEINEM Rechner mit DEINEM ACCOUNT als USER DOS-Attacken auf Dritte zu fahren
+1
Sollte jemand für ein bestimmtes Angriffszenario doch root-Rechte benötigen, so gibt es immer irgendwelche Bugs in den Standardtools um vom User zum root durch zu brechen. Meist wird ausreichend schnell gefixt, aber manche Lücke wird erst nach langer Zeit bekannt.
Diese Angriffe funktionieren meistens nicht.
Vielleicht kann ein Fedoranutzer hier einmal versuchen, diesen in der News beschriebenen Angriff samt angeblicher Folgen unter einem Standard-Fedora oder einem Standard-RHEL6 und der üblicherweise standardmäßig konfgurierten Software (u.a. SELinux, "Firewall") nachzustellen.
Außerdem ist es gar nicht so einfach, eine jar-Datei unter Linux auszuführen, gerade nicht für DAUs. Erstens ist sehr oft überhaupt kein Java installiert (trotz LibreOffice-Installation) und zum zweiten wurde in vielen Distros die Möglichkeit zum praktisch automatischen Ausführen dieser jar-Dateien quasi "abgeschafft". Das letzte Mal habe ich dieses Unfeature in openSuse 11.1 gesehen.
Selbst unter Ubuntu ist sowas ja wunderbar Dau-kompatibel, nicht wahr? :-)
http://wiki.ubuntuusers.de/Java/Tipps
oder so etwas:
http://forum.ubuntuusers.de/topic/.jar-ausfuehren/#post-519626
Viel Spaß beim Linux-Cracken mit jar-Dateien.
Draufklicken und Ausführen unter Linux ist ja so einfach. Schon nach einer Zweistunden-Foren-Informations-Session sollten es die wenigen wackeren Linux-DAUs, die das durchgestanden haben, fertig bringen, diese jar-Dateien auszuführen, immer vorausgesetzt, sie tun das dann überhaupt noch.
> Diese Angriffe funktionieren meistens nicht
"meistens" ist eine verdammt beschissene Sicherheitsstrategie
98% aller erfolgreichen Angriffe funktionieren auf eine Art und Weise basierend auf Kettenreaktionen die zuvor nie jemand für möglich gehalten hätte
Oder wärst du zB auf die Idee gekommen
So gesehen bei einem verdammt grossen Kunden
WENN ein Angriff MÖGLICh ist wird er auch passieren
Die fRage ist NICHT ob sondern WANN
Und jeder der sich weigert das zu begriefne wird fprher oder später betroffen sein und sollte wenn er vorher oft genug gwarnt wurde und danach Schaden bei Dritten mit seiner Scheisskiste angerichtet wird eine in die Fresse bekommen - Soo einfach ist das!
Idiotische Foren-Software hat das Beispiel gekillt
* PHP-Code scheinbar wahllos an Parameter angehängt
* Laden damit im Access-Log
* Über einen anderen vhost mit Remote-Include Lücke Access-Log eingebunden
* kein open_base_dir gesetzt
* PHP-Skipts eines unbeteiligten vhosts in Folge manipuliert
* Spam-Code eingeschleust (Seitenaufruf = mail, Traffic-Kurve in der Nacht unverändert damit fällt es weniger auf)
* Zwischenstufen der Infektion gelöscht
* Access-Log war aufgrund fehlender Rechte noch da
Da schaust du erstmal nur wie ein Autobus wenn du in den Logs nachverfolgst was da egnau zwishen vhsots alles abgelaufen ist weil du erst mal alarmiert wirst dass der für den du verantwortlich bist angeblich ein Sicgherheitsleck hat weil komprommitiert
Es ist hier die Rede von einer "bösen" jar-Datei.
Der Angriff damit ist unter Linux nicht Dau-kompatibel (s.o.) und fortgeschrittene Nutzer führen diese Datei nicht einfach so aus.
Dieser Angriff bringt somit für die Urheber nichts, mangels infizierbarer "Masse".
Theoretisch magst Du recht haben, aber real bringt diese Art von Angriff unter Linux gar nichts.
Also doch - nicht richtig bzw. ordentlich gemanaged die Kiste...
Da hat wohl dann auch die "verdammte"Grösse des Kunden nix genützt.
Die Rede war vom Desktop und nicht von Multihome-Servern. Da stehen wohl die Dinge etwas anders, zumal das vor geschilderte Szenario absolut nix mit Java zu tun hat sondern offenbar mit altbekannten und für jeden halbwegs fitten Admin relativ einfach wirksam zu verhindernden Script-Injection-Angriffen handelt.
Reg dich ab und wechsel oder update wenigstens die Serveradmin-Sw (sieht mir sehr nach nem löchrigen ungepatchten Plesk aus...)
> Also doch - nicht richtig bzw. ordentlich gemanaged die Kiste...
Und du glaubst ein nicht ordentlich gemanageder Desktop schenidet besser ab
Das war ein Beispiel verdammt nochmal wie schnell Dinge an die keiner denkt und die keiner für möglich hält einschlagen
> Da hat wohl dann auch die "verdammte"Grösse des Kunden nix genützt
Ja und?
Wäre es ein kleiner gewesen wäre das selbe raus gekommen
Wäre es ein Desktop gewesen wo EINE User-Space Lücke zum falschen Zeitpunkt offen ist detto
> Die Rede war vom Desktop und nicht von Multihome-Servern
Und weiter?
Wo ist der grundlegende Unterschied im Kontext "Passiert meistens nichts"?
> Da stehen wohl die Dinge etwas anders
Inwiefern?
> zumal das vor geschilderte Szenario absolut nix mit Java zu tun hat
Das ist doch verdamm tnochmal Scheissegal
WEs geht nicht um eine spezifische Lücke sondern die Dummheit zu glauben "Bähh braucht es doch root-rechte"
> sondern offenbar mit altbekannten und für jeden halbwegs fitten Admin
> relativ einfach wirksam zu verhindernden Script-Injection-Angriffen handelt
Dämliche Klugscheisserei
> Reg dich ab und wechsel oder update wenigstens die Serveradmin-Sw
a) Nicht mein Server
b) Keine Server-Admin Software involviert und notwendig
c) Reg ich mich ab wenn der letzte Trottel kapiert hat dass Security JDEN und jeses OS betrifft
Wenn du verstanden hättest was ich schrieb wäre dir das auch klar
> (sieht mir sehr nach nem löchrigen ungepatchten Plesk aus...)
Dummes Geschwätz
a) hätte die beim beschriebenen Problem keine Einfluss
b) Braucht sowas generell keine Sau
Also doch - nicht richtig bzw. ordentlich gemanaged die Kiste...
Da hat wohl dann auch die "verdammte"Grösse des Kunden nix genützt.
Die Rede war vom Desktop und nicht von Multihome-Servern. Da stehen wohl die Dinge etwas anders, zumal das vor geschilderte Szenario absolut nix mit Java zu tun hat sondern offenbar mit altbekannten und für jeden halbwegs fitten Admin relativ einfach wirksam zu verhindernden Script-Injection-Angriffen handelt.
Reg dich ab und wechsel oder update wenigstens die Serveradmin-Sw (sieht mir sehr nach nem löchrigen ungepatchten Plesk aus...)
Es reicht wenn du eine AW einmal postest, vor allem wenn sie dermassen zeigt dass du NICHTS vom Thema Security geschweige denn was man dir zeigen wollte verstanden hast