NX – Das bessere VNC/RDP

NoMachine LogoDie meisten haben sicher schon davon gehört: Programme (Oder besser Protokolle) wie VNC oder RDP (Windows Remote Desktop) erlauben die einfache Fernbedienung eines Computers über das Netzwerk oder sogar Internet. VNC hat jedoch einige entscheidende Nachteile: Besonders gravierend finde ich, dass es unverschlüsselt ist. Das heißt jemand könnte die Verbindung überwachen und Passwörter oder gar die gesamten übertragenen Daten „ersniffen“. Weiterhin ist die Kompression nicht sonderlich effizient was bei langsameren (Upload-) Verbindungen kaum ein echtes Arbeiten an dem Remote Desktop erlaubt.

Wenn der zu steuernde Computer mit Linux läuft sollte man sich mal das alternative NX Protokoll ansehen. Dieses wird durch das SSH Protokoll getunnelt, was auch heißt, dass man davon ausgehen kann wenn man eine SSH Verbindung zustande bekommt auch eine NX Fernsteuerung möglich ist. Durch das Tunneling ist die Verbindung auch in gleicher Weise verschlüsselt wie SSH also ziemlich sicher. Dazu kommt noch, dass NX eine sehr gute Kompression bietet und selbst bei langsameren Verbindungen sehr gut läuft und auch die Wiedergabe von Ton über die Soundkarte des steuernden Rechners sowie die Nutzung dessen Druckers erlaubt. Den Client, also das Tool mit dem man sich zudem entfernten Rechner verbindet gibt es übrigens auch für Windows und Mac.

Weiterlesen

Server/PHP4You cracked

Update: PHP4You.de wird derzeit an das neue CMS angepasst, der Angreifer wurde entfernt. Weiteres in der entsprechenden Mitteilung.

Heute bekam ich eine Mail, dass wohl jemand durch eine Sicherheitslücke als Apache-User ausführbare Dateien einschleusen konnte. Diese enthielten exploits um an root Rechte zu gelangen und schienen Dinge zu tun wie z.B. das cracken von MD5/SHA hashs über Bruteforce/Rainbow Tables. Wir haben diese Dateien entfernt und vorübergehend PHP4You offline genommen, da diese Seite wohl die Sicherheitslücke enthielt. Nun sind wir am durchsuchen der Logs um an wichtige Informationen zu dem Vorfall zu gelangen.

Wir hoffen, dass wir bald das gesamte Schadensausmaß nennen können. Derzeit ist uns kein Datenverlust bekannt.

EDIT1: Eventuell könnte auch das Voltaire-Forum schuld sein welches auf PHPbb aufsetzt. Es verwendet die neuste PHPbb Version jedoch werden für diese Boardsoftware ziemlich schnell Sicherheitslücken bekannt.

EDIT2: Nach einiger Suche in den logs gab es erste Funde in /var/log/messages. Dort sind Angriffe mithilfe von Hashtables auf unseren openSSH und FTP Server erkannbar. Hier eine kleine Zusammenstellung von Einträgen.
Ich vermute viele der Angriffe waren nicht menschlich oder von „ScriptKiddies“ ausgeführt, da kein „Experte“ versuchen würde das Passwort des Benutzers „Administrator“ bei einem UNIX Server zu bekommen…

EDIT3: Ich glaube ich habe die Stelle der Lücke gefunden. Es ist wirklich PHP4You.de… Wir vor kurzem im Forum bemerkt wurde ist der Torrent Tracker nicht sichtbar. Nun hab ich gesehen das der Grund dafür ein einfaches style=“display: none“ für den iFrame war. Natürlich hat niemand von uns absichtlich diese CSS-Anweisung da rein geschrieben und ich denke da hat einfach jemand eine SQL Injection gefunden mit der er den Seitentext bearbeiten kann. Anhand der Tracker Seite hat er das getestet. Da wir damals (dummerweise) aus Faulheit damit wir manche Scripte nicht sofort zu Plugins für unser neues CMS umschreiben mussten, mit eval() eine function gemacht, die das PHP-Code ausführen in den CMS Seiten erlaubt. Da der Angreifer nun eine Möglichkeit gefunden hat diese zu bearbeiten konnte er natürlich auch beliebigen PHP Code ausführen was er nutze um seine Dateien auf unseren Server zu bringen und mit exec() & co auszuführen. Wir werden die Lücken so schnell wie möglich beheben und bis dahin wird die Seite erst einmal offline bleiben. Ich fahre jetzt auch erstmal nach Italien Ski fahren und Snowboarden so hab ich keine Zeitdaran weiter zu arbeiten. Danach werd ich diese hoffentlich finden.

EDIT4: So, das Voltaire-Forum ist mit einer neuen Foren-Software wieder erreichbar. Bis PHP4You.de wieder vorhanden ist dauert noch ein wenig. Wir müssen alles an ein neues CMS anpassen was einige Zeit in Anspruch nehmen wird. Jedoch muss ich jetzt erstmal für die Schule das aufholen, was ich in der Woche verpasst hab und dazu kommen natürlich noch die aktuellen Hausaufgaben :-/

PuTTY (in Bearbeitung)

—Sorry, der Beitrag ist in Bearbeitung!—

PuTTy ist ein freies SSH- und Telnet-Client-Programm für Linux, Mac OS, Unix und Microsoft Windows. Man kann mit diesem eine Verbindung über das Internet, natürlich auch LAN, herstellen und Befehle direkt in die Konsole schreiben. Auffällig: es ist möglich, den Parameter -X an eine ausführbare Datei anzuhängen dadurch ist es möglich diese im gegenwärtigen System grafisch benutzen!
Eine File mit allen möglichen Commands findest du im Anhang!
PuTTY

Du siehst den Screen unmittelbar nach dem öffnen von PuTTY, in Feld 1 (siehe Image) gibst du die IP, oder Domain an. Los gehts mit Feld nr. 2, also „Open“!
Nun sollte die Konsole erscheinen, du wirst nach User und Passwort gefragt…
Nach eingeben dieser ist man mit dem Rechner verbunden!