LotharGehlhaar - Teichbauforum

Hallo Paul,


davon können wir ausgehen.



Der gravierendste Unterschied: mailnotify.sh ist kein Mailserver, sondern ein Skript, das sich mit Deinen Zugangsdaten beim Mailserver von web.de anmeldet. Es ist, bildlich gesprochen, kaum mehr, als ein minimalstes Konsolen-Thunderbird.


Pfiffikus,
der mal prüfen muss, ob sich das Skript für unsere Zwecke nutzen lässt

Ja Prima bei mir kommt danach vulnerable, bei euch auch?



danach Reboot und immer noch vulnerable weil:


Desweiteren ist mir nach der Installation von fail2ban, sendEmail usw. haben wir was mit exim4 installiert?
Bekomme nun nach Reboot:


IPv6 socket creation failed: Address family not supported by protocol

Paul,
der mit dem PIs Täglich solche Updates ausführt.

Martin hat Recht. Das Ding hat Brisanz. Auf dem anderen Webserver, den ich betreibe, hat soeben einer diesen Befehl abgesetzt:



Das sieht doch schon verdammt ähnlich zu diesem Testbeispiel aus. Gehen wir davon aus, dass Lothars Server im Laufe der Nacht auch noch abgeklopft wird. Mal sehen.....


Pfiffikus,
dessen Server den Angriff abgewehrt hat

Diese Sicherheitslücke erlaubt es ohne Login auf der Shell z. B. Durch setzen eines Parameters in CGI Scripts z. B. Nicht nur Code auszuführen sondern auch Code aus dem Netz nachzuladen. Ich denke ich muss dafür niemandem erklären was das für Auswirkungen hat. Getestet habe ich heute z.B. Das Nachladen eines Bruteforce Scripts das mir nach recht kurzer Zeit Rootzugriff gewährt hat. Alles lief nur über den Webserver mit CGI. Auch gewisse teile von php können betroffen sein, bei dir z. B. Wenn Relais schalten wirst du ja auch nur die Bash aufgerufen. Gleiches Angriffs Potential hier.

Hallo Paul.


Meine Vermutung: Wir verwenden nicht Debian, sondern Raspbian. Diese Distributionen sind verwandt. Ich rechne damit, dass die Verantwortlichen in den kommenden Tagen oder Stunden ein Update in die Raspbian-Distribution einbauen werden. Dann werden wir ohne große Umstände davon profitieren.

Aber dass die Distributionen einen jeweils unterschiedlichen Schlüssel haben, das halte ich für nachvollziehbar.




Nun macht Euch mal nicht verrückt! Jetzt wurde eine Lücke in Linux-Systemen entdeckt, die wahrscheinlich bald gestopft wird. Na und?
Bei einem anderen Betriebssysten, das immer noch sehr weit verbreitet ist, ist so etwas Alltag und da kommt man ohne ordentliches Virenprogramm und Firewall kaum aus!!!





Pfiffikus,
der Dir bei zu viel Angst nahe legen würde, während der Nacht das Netzwerkkabel vom Raspi zu ziehen

Na Jungs,
ist doch nicht so schlimm
Solange wie mir keiner hier die Teuren Relais wegholt oder die Sensoren kurzschließt voll egal.
Wenn er aber die Wassertemp. des Teiches jetzt sieht ca. 24C° dann will er wohl baden kommen.
Das wer nit so schön

Hallo Martin,


die Frage ist, ob ein Angreifer überhaupt in der Lage ist, Deinen Raspi zu kontaktieren. Diese Frage wird an Deinem Router/Deiner Fritzbox oder was auch immer entschieden. Kommt er da nicht durch, ist für den Angreifer hier schon Schluss.

Ähm nein! Solche Boxen nutzen intern auch gerne ein Linux als Betriebssystem, da wäre auch eine bash drin!!! Gehen wir mal davon aus, dass solche Geräte mit ständigem und direktem Netzzugang die attraktiveren Ziele für Unholde sind, die jetzt ihr Unwesen treiben könnten.
Raspis, die schnell mal ausgetauscht oder geplättet werden, sind da weniger attraktive Ziele, an die man ungleich schwerer heran kommt und die nicht so dauerhaft betrieben werden.


Nun, gehen wir mal davon aus, dass der böse Bube bis zum Raspi durch kommt. Er kann dann mit den Schaltern spielen, weil ich das Usermanagement noch nicht integriert habe. Er kann Pumpen ein- und ausschalten und so weiter.

Ja, die Relais werden mit Hilfe der bash geschaltet. Solange Du aber nichts am PHP-Code verändert hast, kann man nur diesen definierten Schaltbefehl an die bash senden. Solange Du nur den von mir bereitgestellten Code verwendest, wird man nicht heimlich Variablen setzen können usw., also funktioniert der heute veröffentlichte Hack nicht mit meiner Software.

Nicht umsonst habe ich streng darauf geachtet, dass unser System immer nur so weit geöffnet wird, wie nötig. Der sudo-Befehl wird nur für die USB-Steckdose, die Pegelsensoren und für den DHT11 aufgemacht. Viele dieser Komplikationen könnte man mit einer einzigen Zeile in der Apachekonfiguration beseitigen. Der Server erhält root-Rechte und darf alles, Probleme-das war gestern! Mache ich aber nicht. Und deshalb kann ich mich jetzt in aller Seelenruhe zu Bett begeben.


Den Preis für diese restriktive Rechtevergabe bezahlst Du ja bereits.


Pfiffikus,
der die Anlaufschwierigkeiten Deiner Relaiskarte nach einem Reboot genau auf diese Zurückhaltung bei der Rechtevergabe zurück führt

Anzeige:

_________________
Wenn du einen Monat lang ein werbefreies Forum willst, klicke hier und überweise mir 100 Taler!
Wenn du mich im Koi-Schnack etwas fragen möchtest, klicke hier!

Guten Morgen!

Habe soeben erneut ein Update auf dem ersten Raspi gemacht.


Wie erwartet wurde eine neue Version der bash eingespielt. Das mache ich nun noch bei den anderen Raspis.


Pfiffikus,
der eben wegen dieser Zuverlässigkeit der Distribution sehr ruhig schlafen konnte

Gabe es den bei Jemanden ein Problem? Ich denke auch, unsere Raspi sind nicht wirklich interessant für Eindringlinge.

@ Fischkopf: Die ersten Mails von Logwatch waren bei mir im Spamordner, und ich musste diese kennzeichnen, dass ich den Absender kenne, ab da kommt die Mail nun immer in mein Postfach.

_________________
Gruß Robert

www.koifutterhandel.de

Danke Robert,
aber weder in Spamordner noch in Junk-E-Mail ist was angekommen vom Pi.

Auch bei mir hat es geklappt mit der neue Version der bash.