© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
On Tue, Feb 04, 2003 at 12:49:26AM +0100, Nicola Tiling wrote:
> Gestern hat jmd. *massivst* versucht Sicherheitslücken auf einem unser
> FreeBSD-Server ausfindig zu machen.
Sowas kommt bei Rechnern im Netz dauernd vor.
> Das Snort hat das brav mitprotokolliert und mich beunruhigt nichts
> weiter ausser diesem hier.
> Kann das hier jmd. deuten? Auf dem Server läuft sicher kein tftpd -
> einzig einen tftp client gibt es in /usr/bin. Port 69 ist für tftp -
> aber wenn da nix drauf läuft wie kann da ein Angriff einen
> "Erfolgreichen Administrator Privileg Gewinn" hervorrufen.
Kann er nicht.
Der tftpd liegt übrigens in /usr/libexec und wird über den inetd
eingebunden.
Default ist aber sowohl der tftpd deaktiviert, als auch der inetd
und selbst ein aktivierter tftpd ist default erst mal auf /tftpboot
eingeschränkt.
> Aus dem Snort Protokoll:
>
> TFTP GET passwd
> [Classification: Successful Administrator Privilege Gain]
> [Priority: 1]: {UDP} 80.137.84.201:33356 -> 178.134.49.45:69
tftp ist ein simpler Filetransfer Service, der dafür gedacht ist
Maschinen aus dem Netz zu booten.
Er ist deshalb so einfach gehalten, damit der Bootcode einfach zu
implementieren ist, um in ein ROM zu passen.
In dem Fall ist das nichts weiter als ein reinkommendes Packet, das
vorgibt zu einer bereit exisitieren Übertragung zu gehöhren.
Damit mit diesem Packet etwas passieren kann muß sich auf deinem
Rechner schon ein Service dafür zuständig fühlen.
Warum Sort so dieser Folgerung kommt kann ich nicht beantworten.
-- B.Walter COSMO-Project http://www.cosmo-project.de ticso(at)cicely.de Usergroup info(at)cosmo-project.de To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org with "unsubscribe de-bsd-questions" in the body of the messageReceived on Tue 04 Feb 2003 - 01:30:02 CET