Don't give away your root login on IRC

[saintjoe]

Habt ihr euch nicht alle schonmal gefragt, was passiert, wenn ihr euren root Login an wildfremde Leute weitergebt?
Nun, die kleine Story hier soll als Warnung an all diejenigen gehen, die sowas vorhaben

Namen und sonstige Daten wurden von mir verändert

Alles fing an einem wundervollen Dienstag an, und zwar im IRC in einem hier nicht genannten Channel.

Zitat:

[10:41] * wantroot? (~x!x@x.x) has joined #ominöserchannel
[10:42] <wantroot?> so guten morgne grins
[10:42] <wantroot?> wer ist hier fit mit Wlan grins?
[10:42] <evil1> ich nicht grins
[10:42] <evil1> aber macht nix grins
[10:43] <wantroot?> jo aber danke dir
[10:43] <wantroot?> sonst noch wer grins?
[10:44] <wantroot?> eu8 soviele lach
[10:45] <wantroot?> war [namegeändert] heute schon da? grins
[10:46] <evil1> nein, nicht dass ich wüsste grins
[10:47] <wantroot?> ja oki
[10:47] <wantroot?> ja oki danke dir
[10:47] <wantroot?> kannst du nen Kernel patschen?
[10:47] <evil1> ja, du auch?
[10:48] <wantroot?> nö lach
[10:48] <wantroot?> schon mal probiert aber naja ging net so recht
[10:48] <wantroot?> mag von kernel 2.4.21 AUF 2:4:20
[10:48] <wantroot?> bekommst das hin grins?
[10:48] <wantroot?> ssh ist offfen grins
[10:49] <wantroot?> wenn magst melden

Kurz darauf, in einem anderen Channel:

Zitat:

[10:52] <evil2> evil1: in welchem channel denn?
[10:52] <evil1> #ominöserchannel
[10:52] <evil1> evil2: mit dem kannst du spass haben
[10:52] <evil1> der gibt dir root-access auf seine kiste
[10:52] <evil2> moin
[10:52] <evil1>
[10:52] <evil2> moin
[10:52] <evil3> aaaargh
[10:52] <evil4> hrhr
[10:52] <evil2> arrghhl
[10:52] <evil5> jo lach lol
[10:52] <evil2> evil3: lol
[10:52] <evil4> *lechz*
[10:53] <evil1> sag ja, evil2 *G*
[10:53] <evil3> ICH WILL DIESEN SSH ZUGANG!
[10:53] <evil2> evil1: ei logisch
[10:53] <evil1> *lol*
[10:53] <evil2> evil3: welchen?
[10:53] <evil1> mach ihn fertig *G*
[10:53] <evil4> dann könnt man den Server doch glatt in das evil4kollektiv asimilieren
[10:53] <evil3> na den von diesem linux patch neu/alt freak
[10:54] <evil1> evil2: hol dir das root pw
[10:54] <evil2> evil3: dann frag doch
[10:54] <evil1> und dann änder das passwort *G*
[10:54] <evil2> hihi
[10:54] <evil5> lol lach, evil3 dir würd ich net ma nen ssh zugang auf mein gameboy geben
[10:54] <evil4> hihi
[10:54] <evil3> hoe? wieso?
[10:55] <evil5> zu gefährlich
[10:55] <evil5>
[10:55] <evil3> naaah quatsch
[10:55] <evil5> wo is analtux?
[10:55] <evil1> xxxxxx ist doch im channel
[10:55] <evil3> cat /dev/urandom >> /dev/hda0
[10:55] <evil5> aHH, stimmt
[10:55] <evil5> aber kein op
[10:55] <evil1> hol dir root, evil2 *G*
[10:56] <evil1> hop hop
[10:56] <evil1> und dann die daten hier ins topic
[10:56] <evil2> evil1: hehe, und dann?
[10:56] <evil1> das ist dann wie bei exekutionen
[10:56] <evil2> evil1: welche daten?
[10:56] <evil1> 20 leute haben ein gewehr, aber nur einer schiesst scharf
[10:56] <evil1> nachher hat dann keiner ein schuldgefühl
[10:56] <evil1> das rootpw und so
[10:59] <evil2> der hat root als ssh erlaubt
[10:59] <evil1> moin evil8
[10:59] <evil2> unfassbar
[10:59] <evil7> hi evil8
[10:59] <evil1> evil2: TOPIC! TOPIC!
[10:59] <evil2> DATEN: [von der Redaktion geändert]
[10:59] <evil8> huhu
[10:59] <evil6> immernoch config
[10:59] <evil2> hi evil8
[10:59] <evil6> beim letzen mal hat er das auch gehabt
[11:00] <evil7> lol @ evil2
[11:00] <evil1> so, PW geändert
[11:00] <evil1> 123456
[11:00] <evil8> *lol* gibt der idiot schon wieder alles preis?

Wie ihr schon teilweise seht, ging der Spass direkt am Anfang schon los.
Nach ein paar Minuten herumsuchen auf seiner Platte, bei dem tolle sachen wie

Zitat:

[11:12] <evilx> -r-xr-xr-x 1 root users 8110592 Nov 4 20:59 Heinz.avi
[11:12] <evilx> -r-xr-xr-x 1 root users 23274496 Nov 6 15:22 Joana.avi
[11:12] <evilx> -r-xr-xr-x 1 root users 1763328 Nov 17 17:41 Joana5.avi
[11:12] <evilx> -r-xr-xr-x 1 root users 76558336 Nov 7 18:25 Joanna.avi
[11:12] <evilx> -r-xr-xr-x 1 root users 840192 Nov 17 17:24 Joanna4.avi
[11:12] <evilx> -r-xr-xr-x 2 root users 11590656 Nov 17 17:50 Joannageil.avi
[11:12] <evilx> -r-xr-xr-x 1 root users 6306304 Dec 24 12:27 Saby.avi
[11:12] <evilx> -r-xr-xr-x 1 root users 55722496 Nov 5 14:16 Skeezick.avi

zum vorschein kamen, hatte einer der "evil"-User die glorreiche Idee, einen Webserver zu installieren.

Das Bild lasse ich einfach umkommentiert hier stehen


Es ist natürlich noch mehr passiert, aber ich hab gerade nicht die Zeit, alles das hier zu schreiben, vielleicht melden sich ja ein paar der "evil"-user hier
Das komplette Log gibt es bald, muss es natürlich erst aufbereiten
Gruß

[moonlook]

Oje, was soll man da noch sagen

[XPectIT]

Womit doch wiedermal bewiesen wäre, das Sicherheit nicht nur am Betriebssystem fest gemacht werden kann.

[Bummibaer]

hehe, womit auch bewiesen wäre, dass social engineering doch Sinn macht wenn man böse ist.

Gruß Bummibaer

[teK]

Wie niederträchtig. Ich hatte schon auf einigen Rechnern, die mir nicht gehörten root Zugriff - dann aber so kindisch sein und das ausnutzen? Nein, niederträchtig. Mehr fällt mir dazu nicht ein - findet ihr das denn witzig?

[asg]

Nein, dass ist durchaus nicht witzig.
Es ist nicht witzig root Passwörter an Menschen zu geben die man nicht kennt. Andere hätten eine backdoor angelegt und den Rechner dazu ausgenutzt den nächsten Hack von dessen IP aus zu starten. Wie wunderbar für denjenigen der davon nichts mitbekommt, und das nur weil er sein root password rausgegeben hat.
Andere Szenarien sind frei wählbar.
Root Passwörter gehören nur einem. Auch in der Firma wissen nur 2 Leute das Root Passwort, der Sysadmin und der Tresor. Das wars. Sicherheit ist sonst, mit Verlaub, fürn Arsch wenn jeder auf dem System tun und lassen kann was er will.

Um noch etwas anzumerken, auf dem Rechner des Herren war nicht sonderlich viel drauf, bzw. war das nur ein Test-Rechner.
Interessant wird es wenn da wichtige Daten liegen würden. Wenn so jemand Firmenrechner unter sicht hat...

[saintjoe]

Wer zum wiederholten Male, trotz eindringlicher Warnungen, nicht dazu in der Lage ist, die Risiken einer solchen Aktion abzuwägen, hat es, meine Meinung, nicht besser verdient.
Ein 3. Mal wird es ihm wohl nicht passieren.

[teK]

Damit stellt ihr euch trotzdem ein Armutszeugnis aus, Vergleiche brauche ich hier wohl nicht anzuführen. Gibt es denn keine rücksichtsvollen Menschen oder ist dieser Heilsame Schreck gleichzusetzen mit Rücksicht? Vordergründung ging es ja evil* wohl um den persönlichen Spass. Diese Atitüde ist nicht gerade nett und macht auch die Bemühungen aller sozialen / gutmütigen Menschen zu nichte.
Schade.

[Bummibaer]

... besser ein Schrecken mit Ende als ein Schrecken ohne Ende ....

Jemand der wirklich Böses im Schilde führt wird sicher keine Rücksicht nehmen. Vordergründig ging es eigentlich nur daraum, beizubiegen, dass man Root Zugangsdaten nicht aus der Hand gibt. Sozial sind Bösewichtige in der Praxis leider nicht eingestellt.

Man stelle sich nun die Frage was ist besser ? - Ein Verlust eines grundinstallierten Systems ohne wichtige Daten oder der Verlust des Systems mit sämtlichen wichtigen Daten durch einen Bösewicht ?

Ganz von den Möglichkeiten mal abgesehen, dass man ein solches System auf für weitere Angriffe auf andere nutzen könnte, und der Verdacht dann erstmal auf den Betreiber des Servers fällt, der eigentlich nichts getan hat (außer in seiner gnadenlosen Leichtisinnigkeit Root Zugangsdaten an wildfremde Leute herausgeben)

Wir hoffen auf den Lerneffekt. Man sollte aus Fehlern lernen und in Zukunft den selben Fehler nicht nochmal machen. Manche Menschen brauchen eben erst bittere Erfahrungen, da sie einfachen fundierten und begründeten Aussagen scheinbar keinen Glauben schenken.

Gruß Bummibaer

[*Sheep]

..telnet wäre i.O., wenn niemand das Netzwerk ablauschen würde. Das root pw an Fremde weiterzugeben ist genau so dämlich, wie seinen Hausschlüssel mit der Adresse auf den Markt zu legen.

[asg]

Es wurde vergessen zu erwähnen das ihm ein neuer kernel gebacken wurde, der Versuch unternommen wurde WLAN zu aktivieren, und das er sein System wohl wieder oben hat, und WIEDER sein root PW preigibt.
Nochmals, das kann man als Spass und/oder Heilmethode sehen. VOn mir aus auch als Armutszeugnis, welches dann an beide Parteien geht.
Und auch nochmals, soll er sein root PW rausgeben, soll sich einer am Sys zu schaffen machen und ne backdoor einrichten über die er dann teK hackt. Oder welches er als spam relay nutzt. Ja wahnsinn.
Dieses ganze Gutmenschen gelaber zählt nicht im Netz. Hier kann man jemanden Monate/Jahre kennen, und dann ist dies doch ein Brutus.
Gibst Du in der UBahn jemandem Deine EC Karte inkl. PIN weil Du nicht weisst wie das funktioniert, und er Dir das abgehobene Geld dann nach Hause bringen soll?
Sicher nicht.

[Bummibaer]

möchte beiläufig noch erwähnen, das man ihm auch noch nen Apache WebServer installiert hat, der wunderprächtig funktioniert ...

Gruß Bummibaer

[*Sheep]

..was macht denn der Benutzer ,,bummibae´´ in der Prozessliste.



zu asg: Wer hat den den Tresorschlüssel ?

[Bummibaer]

der User installiert gerade nen Apache 1.3.29 auf der Kiste

Gruß Bummibaer

[asg]

*Sheep
Der liegt frei herum und jeder kann sich bedienen...

Im ernst, der Tresorschlüssel ist im Operating (da der Tresor auch dort steht), und die Mitarbeitet dort mussten einiges dazu unterschreiben.
Das root PW liegt im Tresor, verpackt in einen kleinen Umschlag, welcher mit Tesa zugeklebt ist, dieser wiederum in einem dunklen DINA5 Umschlag, welcher mit Tesa zugeklebt wurde und getackert ist.
Das PW ändert sich all 2 bis 4 Wochen, da macht das verpacken immer wieder Spass...