# ist distcc ein Sicherheitsproblem ?

## Triab

Hallo allerseit,

gerade eben wollte ich mal wieder ooffice übersetzen als ich feststellen musste das meine 4G /var partition voll ist. Nach einigem stöbern viel mir auf, daß es unter /var/tmp

zwei mir unbekannte Verzeichnisse gibt, mit knapp 2G Inhalt, der da eindeutig nicht hingehört. Auf Details zum Inhalt verzichte ich mal (nur so viel: ne Menge rar-datein  fein saeuberlich in Verzeichnisse cd1 - cd3 aufgeteilt), Fakt ist aber, daß da jemand meine Platte und die gute Uni-Netzanbindung versucht hat auszunutzen.

ein ls im /var/tmp ergibt:

drwxrwxrwt   6 root    root   4096 Oct  8 13:11 .

drwxr-xr-x  17 root    root   4096 Jul 13 18:49 ..

drwxr-xr-x   3 distcc  daemon 4096 Oct  3 15:07 ...

drwxr-xr-x   3 distcc  daemon 4096 Oct  3 15:09 .tmp

drwxr-xr-x   4 root    root   4096 Oct  1 18:38 portage

du -skh .* gibt

8.0M    ...

1.7G    .tmp

Die beiden Verzeichniss ( das mit dn 3Punkten und .tmp) kann ich löschen jedoch bleiben da einige Fragen:

Wie kann sowas passieren? 

Ist der distccd schuld? Und wenn ja gibt es eine logging funktion um zumindest mehr Infos zu bekommen?

(in /etc/distcc/hosts ist nur ein anderer Rechner angegeben)

Wie kann man generell sowas verhindern? (ok das geht sicher nur wenn man die Netzkarte ausbaut) aber zumindest würd ich gern diesen Parasiten die Arbeit erschwaeren.

Gibt es eine Möglichkeit fruehzeitig zu erkennen ob das System infiltriert wurde?

 :Question:  Fragen über Fragen.  :Question: 

ich hoffe Ihr koennt mir ein paar Tips geben.

----------

## un|x

wie siehts aus mit ssh passwort kurz lang ?

kann sich root per ssh einloggen ????

was für deamons haste am laufen vieleicht apache mit php oder ssl ?

was für ein oder überhaupt ftp deamon ?

was sagt chkrootkit 

fragen über fragen aber dadurch kann man die fehler quelle oder einstiegs punkt besser finden

----------

## ruth

hi,

hahaaa  :Wink: 

da hat dich wahrscheinlich jemand ger00ted...

einzige abhilfe:

- konfigurationsfehler analysieren

- kiste formatieren und neu aufsetzen

- fehler nicht wieder begehen, sonst sinnlos...

- alles andere ist grob fahrlässig und kann durchaus auch rechtliche konsequenzen nach sich ziehen, falls jemand illegalen dreck auf deiner maschine hosted...

gruss

rootshell

----------

## Gekko

Und auf keinen Fall die Kiste unbeaufsichtigt herumstehen lassen  :Smile: 

Sonst dreht die wer auf und....

----------

## Triab

-das passwd kann man nicht im lexikon nachschlagen  und es enthaellt Sonderzeichen

-root ueber ssh ist verboten

-als dienste fürs Netz laufen nur sshd, ntpd, xinetd(nur für den cvspserver), nfs

-chkrootkit kenn ich nicht, aber das schau ich mir gleich mal an

 *Quote:*   

> fragen über fragen aber dadurch kann man die fehler quelle oder einstiegs punkt besser finden

 

Na genau  :Smile:   deshalb ja der Thread ich wuerd wirklich gern wissen wie das passiert ist und wie ich das zukuenftig verhindern kann.

----------

## un|x

hint 

emerge chkrootkit 

start mit chkrootkit

dann google nfs exploit

benutz lieber lufs over ftp or ssh  :Smile: 

----------

## ruth

hallo?

solange du deine laufenden dienste und die configs nicht präsentiert ist das leider nicht zu sagen...  :Wink: 

um's nochmal zu sagen:

die kiste ist ger00ted...

mach sie platt... (!!!)

neu installieren.

sicher konfigurieren (!!)

gruss

rootshell

----------

## un|x

neu machen muss er sowieos die meisten rootkits bekommste nich mehr weg ...... nur is ja besser erstmal diagnose damit beim nächsten install nich wieder die selben sicherheits löcher da sind  :Smile: 

----------

## Gekko

Als allererstes würd ich mal dezent alle Verbindungen zur Aussenwelt vom Host abklipsen  :Smile: 

----------

## Triab

also chkrookit schreibt alles ist i.O.

mal meine Dienste:

Runlevel: boot

  keymaps                                                                    [ started ]

  clock                                                                      [ started ]

  local                                                                      [ started ]

  localmount                                                                 [ started ]

  consolefont                                                                [ started ]

  modules                                                                    [ started ]

  hostname                                                                   [ started ]

  net.lo                                                                     [ started ]

  serial                                                                     [ started ]

  urandom                                                                    [ started ]

  checkroot                                                                  [ started ]

  rmnologin                                                                  [ started ]

  bootmisc                                                                   [ started ]

  checkfs                                                                    [ started ]

  alsasound                                                                  [ started ]

Runlevel: default

  nfs                                                                        [ started ]

  xdm                                                                        [ started ]

  ntpd                                                                       [ started ]

  sshd                                                                       [ started ]

  cupsd                                                                      [ started ]

  squid                                                                      [ started ]

  vixie-cron                                                                 [ started ]

  metalog                                                                    [ started ]

  net.eth0                                                                   [ started ]

  netmount                                                                   [ started ]

  xinetd                                                                     [ started ]

an den Rechner kommt physisch ausser die Putzfrau keiner ran.

Ein neuaufsetzen ist im Prinzip kein Problem, doch wenn ich nicht weiss wo der Konfigfehler liegt mach ich ihn ja gleich wieder.   :Confused: 

----------

## tm130

KÖNNTEST DU JETZT BITTE DIESE DRECKSCHLEUDER VOM NETZ NEHMEN!?  :Evil or Very Mad: 

----------

## EOF

Man muss sich nicht mal als root einloggen. Wenn ssh laeuft kannst du per "scp" daten rueberschaufeln und in /var/tmp/ sollte auch "jeder" benutzer reinschreiben koennen. Hat dir vielleicht wer beim passwort eingeben ueber die schulter geschaut ... ? Sich von der uni zum heimrechner einloggen ist eh riskant. Ich verwende auch cvs und mache mein "cvs update" von zuhause aus, ohne ssh oder aehnliches laufen zu haben.

----------

## Triab

 *Quote:*   

> KÖNNTEST DU JETZT BITTE DIESE DRECKSCHLEUDER VOM NETZ NEHMEN!?

 

Danke das hilft mir weiter.

Aber keine Angst ich bin ohnehin mit einem anderen Rechner hier.

ich koennt noch ein paar Anregungen gebrauchen um mir der Analyse weiterzumachen

----------

## Triab

 *Quote:*   

> Man muss sich nicht mal als root einloggen. Wenn ssh laeuft kannst du per "scp" daten rueberschaufeln und in /var/tmp/ sollte auch "jeder" benutzer reinschreiben koennen. Hat dir vielleicht wer beim passwort eingeben ueber die schulter geschaut ... ? Sich von der uni zum heimrechner einloggen ist eh riskant. Ich verwende auch cvs und mache mein "cvs update" von zuhause aus, ohne ssh oder aehnliches laufen zu haben.

 

das mit dem scp ist schon richtig, allerdings kann meines Wissens kein nicht-root den Verzeichnissbesitzer auf distcc ändern, oder ?[/code][/quote]

----------

## ruth

*grunz*

 *Quote:*   

> 
> 
> Ein neuaufsetzen ist im Prinzip kein Problem, doch wenn ich nicht weiss wo der Konfigfehler liegt mach ich ihn ja gleich wieder
> 
> 

 

dazu müsste man deine konfiguration erstmal kennen, hehe...  :Wink: 

und niemand hier hat eine glaskugel, also erzähl mal etwas mehr und ausführlicher...

gruss

rootshell

----------

## py-ro

http://distcc.samba.org/security.html

Wer eine Software einsetzt sollte sich der Risiken bewusst sein.

MfG

Py

----------

## tm130

 *Triab wrote:*   

>  *Quote:*   KÖNNTEST DU JETZT BITTE DIESE DRECKSCHLEUDER VOM NETZ NEHMEN!? 
> 
> Danke das hilft mir weiter.
> 
> Aber keine Angst ich bin ohnehin mit einem anderen Rechner hier.
> ...

 

Verzeihung, aber zu einem offenen Server gehoeren Erfahrung und technisches Verständnis. Ich will Dir das nicht pauschal absprechen, aber zumindest haette man eine Firewall aufsetzen können oder eben die offenen dienste in ein chroot packen können. SSH-Login via pubkey-auth hätte auch sinnvoll sein können.

Es tut mir leid, aber solche offenen Kisten sind der Grund für mehr Schaden im Netz und damit auch für die Folgen : strengere Kontrolle des Gesetzgebers und damit Verlust der freien Wahl im Netz.

----------

## Triab

 *Quote:*   

> dazu müsste man deine konfiguration erstmal kennen, hehe...  
> 
> und niemand hier hat eine glaskugel, also erzähl mal etwas mehr und ausführlicher...

 

ja da geb ich die absolut recht  :Smile: 

allerdings gibt es nun ne ganze Menge Zeuch in /etc

ich waehle mal ein paar aus:

/etc/conf.d/nfs

# Number of servers to be started up by default

RPCNFSDCOUNT=8

# Options to pass to rpc.mountd

# ex. RPCMOUNTDOPTS="-p 32767

RPCMOUNTDOPTS=""

# Options to pass to rpc.statd

# ex. RPCSTATDOPTS="-p 32765 -o 32766"

RPCSTATDOPTS=""

# Timeout (in seconds) for exportfs

EXPORTFSTIMEOUT=30

vi /etc/ssh/sshd_config

PermitRootLogin no

PubkeyAuthentication yes

AuthorizedKeysFile      .ssh/authorized_keys

RhostsRSAAuthentication no

UsePAM yes

X11Forwarding yes

Subsystem       sftp    /usr/lib/misc/sftp-server

was waere denn noch so interessant ?

zu 90% sind es allerdings oft die defaulteinstellungen.[/code]

----------

## py-ro

Ich weise einfach mal auf meinen Post hin, und zitiere die Website:

 *Quote:*   

> Anyone who can connect to the distcc server port can run arbitrary commands on that machine as the distccd user.

 

MfG

Py

----------

## Triab

 *Quote:*   

> http://distcc.samba.org/security.html 
> 
> Wer eine Software einsetzt sollte sich der Risiken bewusst sein. 
> 
> MfG 
> ...

 

Vielen Dank das scheint auch schon ein Ansatz zu sein, ich muss zugeben das ich mir nicht die Zeit nehme bei jedem Paket was ich mir installiere nach Risiken und Nebenwirkungen zu fahnden. Es fragt sich nur wie viel Schaden er als Nutzer distcc anrichten konnte. Schreiben in /var/tmp war da ja keine Schwierigkeit.

----------

## ruth

hi,

zum dritten und letzten male:

nimm die kiste vom netz und mach das ding platt !!!

du bist gerooted !!!

gehackt !!!

du bist eine gefahr für das internet !!!

wenn der hacker illegale software / pics !!! auf deiner maschine anbietet bist DU der dafür verantwortliche !!!

gruss

rootshell

----------

## Triab

 *Quote:*   

> hi, 
> 
> zum dritten und letzten male: 
> 
> nimm die kiste vom netz und mach das ding platt !!! 
> ...

 

immer mit der Ruhe er rennt ja schon    :Cool: 

Wenn ich mir den distcc artikel durchlese dann habe ich meine Sicherheitsluecke gefunden und kann beim naechsten mal zumindest das ausschliessen.

Vielen Dank

----------

## ralph

Sagt mal, dreht ihr jetzt alle durch? Er scheint doch schon vom Netz zu sein, also regt euch gefälligst ab, Herrgottnochmal! 

Was er wissen will ist, was schiefgegangen ist, aber dem scheint man ja schon auf die Schliche gekommen zu sein.

----------

## Gekko

 *rootshell wrote:*   

> wenn der hacker illegale software / pics !!! auf deiner maschine anbietet bist DU der dafür verantwortliche !!!

 

Grundsatzdiskussion hacker != cracker....

Trotzdem: Hängts noch dran die Mühle, oder ists schon ab?!  <- Bitte Ignorieren

Edit: Autsch - nicht alle Posts gelesen, bin zu langsam   :Confused:  Last edited by Gekko on Wed Oct 13, 2004 3:21 pm; edited 1 time in total

----------

## Deever

Nun bewahrt doch mal *etwas* Ruhe!

@Triab: was ergibt ein

```
ls -d /proc/* | grep "[0-9]" | wc -l ; ps ax | wc -l
```

?

HTH!

/dev

----------

## Triab

ich war schon grad kurz vor mkfs 

von der cd geboot und in chroot umgebnung gibt

ls -d /proc/* | grep "[0-9]" | wc -l ; ps ax | wc -l

31

31

Aber ich habe den Rechner nochmal normal hochgefahren dann gibt es

55

55

Und nicht gleich wieder rumschreien wenn es zur Fehlersuche/Analye hilft geh ich gern das Risiko ein diesen "verseuchten" Rechner noch 10min leben zu lassen.

Edit: ich bin mit einem anderen Rechner hier im Forum unterwegs   :Rolling Eyes: 

----------

## ruth

hi,

diese werte sind soweit in ordnung.

- wenn von der livecd gebooted absolut nutzlos

- leider auch bei modernen lkm backdoors + binary trojans nutzlos...

gruss

rootshell

----------

## Triab

Nagut,

vielen Dank für Eure, wenn auch teils sehr emontionale, Hilfe.  :Smile: 

Es ist vieleicht eine gute Gelegenheit mal etwas aufzuraeumen und alles neu aufzusetzen.

Von dem distcc lass ich erstmal die Finger, hoffentlich lag das Problem nicht an was anderem. Wenn ja werd ich das dann wohl erst später mitbekommen. 

Ach ja vielleicht zu Vorbeugung.

Gibt es sowas wie ne Datenbank die checksummen  aller installierten binarys anlegt und die man bei Bedarf überprüfen kann? Oder sowas wie ein Systemmonitor der Alarm schlägt wenn sagen wir 500Mb auf einmal übers Netz auf die PLatte geschubst werden?

Viele Grüße,

Triab

----------

## ruth

hi,

ja, ich empfehle dir aide...

```

[root@leela][tmp:exec](~) # emerge search aide

Searching...

[ Results for search key : aide ]

[ Applications found : 1 ]

*  app-forensics/aide

      Latest version available: 0.10

      Latest version installed: [ Not Installed ]

      Size of downloaded files: 228 kB

      Homepage:    http://aide.sourceforge.net/

      Description: AIDE (Advanced Intrusion Detection Environment) is a replacement for Tripwire

      License:     GPL-2

[root@leela][tmp:exec](~) #

```

.. und dann noch die --> doku gelesen und du solltest etwas sicherer sein...

zumindest, wenn du aide richtig konfiguriert hast...  :Wink: 

gruss

rootshell

----------

## Deever

 *rootshell wrote:*   

> - leider auch bei modernen lkm backdoors + binary trojans nutzlos...

 

Schade! Aber wenn dus sagst?  :Wink: 

Gruß,

/dev

----------

## astaecker

Zur Konfiguration steht ein Ansatz im Gentoo  Security Guide.

----------

## moe

 *tm130 wrote:*   

>  *Quote:*   KÖNNTEST DU JETZT BITTE DIESE DRECKSCHLEUDER VOM NETZ NEHMEN!? 
> 
> Verzeihung, aber zu einem offenen Server gehoeren Erfahrung und technisches Verständnis. Ich will Dir das nicht pauschal absprechen, aber zumindest haette man eine Firewall aufsetzen können oder eben die offenen dienste in ein chroot packen können. SSH-Login via pubkey-auth hätte auch sinnvoll sein können.

 

lol, & ohne Worte, staune ja dass da kein Kommentar von rootshell und/oder Deever kam *fg*

----------

## Deever

Hehe...naja! Wer keine "--allow rule" hinkriegt, schaffts vermutlich auch nicht, sauber zu rejecten!  :Wink: 

Gruß,

/dev

----------

## ralph

 *moe wrote:*   

>  *tm130 wrote:*    *Quote:*   KÖNNTEST DU JETZT BITTE DIESE DRECKSCHLEUDER VOM NETZ NEHMEN!? 
> 
> Verzeihung, aber zu einem offenen Server gehoeren Erfahrung und technisches Verständnis. Ich will Dir das nicht pauschal absprechen, aber zumindest haette man eine Firewall aufsetzen können oder eben die offenen dienste in ein chroot packen können. SSH-Login via pubkey-auth hätte auch sinnvoll sein können. 
> 
> lol, & ohne Worte, staune ja dass da kein Kommentar von rootshell und/oder Deever kam *fg*

 

 *http://distcc.samba.org/security.html wrote:*   

> 
> 
> Anyone who can connect to the distcc server port can run arbitrary commands on that machine as the distccd user. If you are not using SSH, you must use the --allow rule and/or firewall rules to limit access to port 3632. 

 

Jup, ohne Worte.

----------

## Becks

 *Triab wrote:*   

> Hallo allerseit,
> 
> gerade eben wollte ich mal wieder ooffice übersetzen als ich feststellen musste das meine 4G /var partition voll ist. Nach einigem stöbern viel mir auf, daß es unter /var/tmp
> 
> zwei mir unbekannte Verzeichnisse gib.

 

Wir hatten exakt das gleiche Problem. Distcc am laufen und unter /var/tmp ein Verzeichnisbaum namens .tmp - mit Warez drin. Irgendwann muß da mal bei einem Upgrade oder beim Rumbasteln an der Kiste die Firewall nicht mehr gegriffen haben (Regeln verbogen oder den Distcc-Port aus Versehn geändert).

Waren zwo Kisten, die dabei hops gingen. Auf der einen lief noch ein 2.4.24er-Kernel (*Seufz*), was dazu führte, daß der Server mit nem Ptrace exploit gerootet wurde. Auf der zweiten Kiste scheiterte der Exploit - da lief ein 2.6.8er-Kernel.

Und bevor hier wieder das Gejammer mit den Dreckschleudern kommt: 

ich kenne die Standardvorgehensweise nach Rechnereinbrüche. Die Kisten sind längst frisch aufgesetzt.

Alex

----------

