Erneute DRINGENDE Warnung vor TS3

Zitat von [netcup] Alex;22416

Man könnte auch die Rechte im Teamspeak 3 entsprechend so einstellen das einfach niemand mehr Dateien hochladen darf

Da hat er recht unser Alex

Wir sind inzwischen auch auf TS3 und haben keinerlei Probleme damit, die Auslastung ist sehr gering.

Die Rechte wurden so verteilt das Nur SA und OP was machen können, zudem wurde DL und UL abgeschaltet.
Dann kommt noch hinzu das wir den TS3 Server ein Passwort gegeben haben und zudem die Sicherheitsstufe auf, ich sag mal Wochen hochgesetzt haben.

Jeder der zu uns kommt weis das, und muss sich halt erst einmal damit Begnügen seine Rechte hochzusetzen

Also wer sich mit TS3 auskennt und die Rechte so vergibt das es passt, kann nichts mehr schief gehen;)

Die Idee mit der Authentität durch rechenaufwändige Ident-Generierung ist cool. Ich glaube, ich missbrauche demnächst mal den Cluster in der Uni für sowas. So eine Sicherheitsstufe von 2 Jahren normaler Rechenzeit sollte drin sein xD.

Ne, aber ihr habt schon Recht. Als ich mir TS3 mal angeguckt habe, war ich nur verwirrt von den vielen Parametern, die man bei den Rechten setzen kann. Und sehr skeptisch, da die Default-Config so ganz Linux-Software-Untypisch auf Jeder-darf-alles gesetzt ist.

Wenn man TS3 als das verwendet, was es ursprünglich mal war (nämlich ein VoIP-Tool), sollten viele Sicherheitslöcher bereits gestopft sein. Dennoch setze ich mir keinen TS3 auf aus Angst, man kann mit irgendwelchen Exploits die Beta-Software zu ungewöhnlichem Verhalten zwingen.

Zitat von [netcup] Felix;21365

Fakt ist das innerhalb einer Stunde 30 Systeme Angriffe gefahren haben. Hiervon wurden 9 zusammen mit den betroffenen Kunden getestet. Auf jedem der 9 Systeme war die Datei udp.pl die mit den Rechten von Teamspeak lief schuld an dem Angriff.

Da der Hersteller seine Software selber noch als BETA bezeichnet, liegt der Verdacht nahe, dass ein Fehler seitens Teamspeak besteht.

Die Datei udp.pl kenne ich nicht. Teamspeak selbst hat nichts mit Perl am hut, denn keine Datei die man mit Teamspeak installiert oder die Teamspeak anlegt, basiert auf Perl.

Ich schmeiß mal in den Raum, dass diverse 3rd-Party-Applications sowas auch verursachen könnten..

theoretisch kann es doch gefährlich sein.

man kann ja diese "Daten" normal hochladen ... scripts etc.pp. und wenn man dann noch einen weg findet ein solches script auszuführen é voila.
Es gibt ja auch den TS -Telnet gateway ... vielleicht wurde der SSA account gehacked und dann durch ihn im telnet scripts ausgeführt

keine Ahnung wo der "Fehler" sein könnte.
ich weiß nichtmal ob es alleinig mit dem upload ausschalten geregelt ist ...

diese 3rd Party- Apps spielen wiederum insofern eine Rolle, dass jene wohl eher bekannte Sicherheitslücken nicht so schnell beseitigen und bei diesen auch vermehrt solche auftreten.

All in All
täglich die logs überprüfen. und sich vergewissern ob der eigene Root/server gekapert wurde.

MfG

Das ganze war ein Bug der vor Beta 25 vorhanden war. Dadurch konnte man Serveradmin Befehle ausführen ohne die entsprechenden Rechte. Das Ausschalten der Upload Funktion hat hier also wenig mit zu tun, man hätte sie einfach wieder aktivieren können (je nachdem wie sie deaktiviert worden ist).

Mit der Beta 25 wurde der Fehler behoben. Siehe hier http://www.teamspeak.com/?page=newsarchive&ident=20100617

lol - also hätte dieses "mühsame" Rechteumwälzen (upload für gruppen verbieten) nix gebracht

Dann bliebe die wohl "sicherste" Variante und einfach den port dicht machen.
Wobei, kann der nicht auch vom Server admin verändert werden? (Der up/downloadport) 3306 oder welcher das auch immer sein möge

Viel Wind um "nichts"

und wiedereinmal, wer seinen Server immer "up-to-date" hält und keine groben sicherheitsschnitzer produziert fährt auf der einigermaßen sicheren Seite.

Wenn du es so sagst. dass es über SA's ging wird irgendeiner mit SA Rechten diese Server,aus langeweile denk ich mal, übernommen haben.

gn8@all ich bin raus

MfG

Zitat

und wiedereinmal, wer seinen Server immer "up-to-date" hält und keine groben sicherheitsschnitzer produziert fährt auf der einigermaßen sicheren Seite.

Naja, dein Fazit ist ein wenig merkwürdig.
Sollte es nicht heißen wie folgt heißen?
"Und wieder einmal: Wer seinen Server vor Betasoftware verschont, ist auf relativ sicherer Seite. Wer dies nicht tut, kann fast machen, was er will. Sicherheitslücken bleiben Sicherheitslücken. Da kann man konfigurieren, so viel man will."
Und nein: Den Port dicht zu machen, wäre hier nicht die Lösung gewesen. Viel weniger beunruhigt mich, wie die Datei auf den Server gelagt ist, als dass sie dort ausgeführt wurde. Wenn ein Angrifer auf der Shell Befehle ausführen kann: Was hindert ihn an einem netten wget? Ich denke nicht, dass das UDP-Script über die Uploadfunktion eingeschleust wurde. Wozu die unnötige Arbeit?

Zitat von Artimis;22724

Wenn ein Angrifer auf der Shell Befehle ausführen kann: Was hindert ihn an einem netten wget? Ich denke nicht, dass das UDP-Script über die Uploadfunktion eingeschleust wurde. Wozu die unnötige Arbeit?

Ganz so schlimm war die Sicherheitslücke auch nicht. Man konnte keinen Zugriff auf die Shell vom Server bekommen, es konnte nur soviel gemacht werden wie auch der normale Serveradmin in Teamspeak machen konnte. Es wurde sehr wohl die Uploadfunktion genutzt (aber höchstwahrscheinlich nicht über den Client sondern direkt auf den Port). Das starten des Scripts ist die größere Herausforderung gewesen.

Nicht umsonst sollte man ts nicht als root ausführen!
Wenn der Server richtig konfiguriert ist, so dass der TS User keinerlei Rechte außerhalb des TS Verzeichnises hat kann garnix außerhalb von TS passieren.

Allerdings, ich empfehle mal die Themen zu Teamspeak hier im Forum komplett zu lesen

Zitat von Sisternicky;23421

Nicht umsonst sollte man ts nicht als root ausführen!
Wenn der Server richtig konfiguriert ist, so dass der TS User keinerlei Rechte außerhalb des TS Verzeichnises hat kann garnix außerhalb von TS passieren.

Btw. Ts verz. kann auchschon genug passieren .... da hilft auch ned wirklich nen jail

MfG

Richtig. Ob der TCP-Flooder nun von root oder ts3 ausgeführt wird, juckt mich nicht wirklich, wenn ich die dicke Rechnung für meine Fahrlässigkeit bekomme.

Btw: Wer eine App wie TS3 als root ausführt, gehört aus dem Netz verbannt. Soetwas machen wirklich nur Leute, die Null Peilung haben. Von daher können die massiven Sicherheislecks von TS3 nichts mit den root-Rechten zu tun haben.

Hallo zusammen!

Kurze Zusammenfassung:
Bei allen VServern, von denen ein Flooding ausging wurde es von der
Datei "udp.pl" verursacht, welche sich im TeamSpeak3-Ordner befand,
richtig?

Wieso könnte man als Ansatz nicht einfach ein kleines Shell-Script laufen lassen, dass alle X Sekunden
sämtliche *.pl Dateien aus dem TS3-Ordner löschen soll
und gleichzeitig alle laufenden Perl-Scripts des TS3-Benutzers killt?

Das Shell-Script könnte z.B. so aussehen:

while [ 1 ]
do
 ps aux | grep ts3 | grep perl | awk '{print $2}' | xargs kill -9 >/dev/null 2>&1; cd /home/ts3/ts3-server/ && rm *.pl >/dev/null 2>&1; sleep 60
done

Irgendwelche Meinungen, Anmerkungen, Kommentare?

Weil Netcup

• nicht auf deinen Server zugreifen und Dateien löschen darf
• nicht das Symptom sondern die Ursache bekämpfen möchte

Und was machst du, wenn es morgen ein Python- statt Perl-Programm ist?

Zitat von FeuerSturm;24919

Irgendwelche Meinungen, Anmerkungen, Kommentare?

Weil man damit nicht die Ursache behebt? :eek:

MfG Christian

1. Wer sagt denn dass netcup das machen soll?
Jeder der gerne einen TS3-Server (so wie z.B. ich) betreiben möchte, kann das selbst bei sich einrichten.

2. Um die Ursache zu bekämpfen, muss man sie zunächst kennen.
Es gibt ja hier mehrere Theorien, wie das Script eingeschleust wird.
(über den TS3-Benutzer mit geknacktem PW, Fileupload-Bug usw. usw.)
Solange könnte man sich mit dem Symptom beschäftigen.

Wenn Du zum Arzt gehst, weil Du aus allen Löchern blutest, lässt der
Dich ja auch nicht verbluten bis er weiß warum Du blutest, oder?

Fakt ist, es ist ein Perl-Programm, wenn es morgen ein Python-Programm
ist, gibt es einen anderen Ansatz um das Symptom zu bekämpfen,
solange bis man die Ursache kennt und ein Heilmittel hat.

Ich möchte ja niemandem etwas aufzwingen, war nur ein kleiner
Lösungsansatz für alle die auf TS3 nicht verzichten möchten.

Zitat von FeuerSturm;24923

Fakt ist, es ist ein Perl-Programm, wenn es morgen ein Python-Programm
ist, gibt es einen anderen Ansatz um das Symptom zu bekämpfen,
solange bis man die Ursache kennt und ein Heilmittel hat.

Das klingt schon fast wie eine Aussage von Microsoft

MfG Christian

Zitat

Das klingt schon fast wie eine Aussage von Microsoft

Für mich klingt es wie die Definition von grober Fahrlässigkeit und extremer Kurzsichtigkeit aus dem Duden.

Da bricht jemand in den Server ein und kann BELIEBIGE Scripts AUSFÜHREN und du möchtest nach Perl-Scripten scannen? Sorry, aber unfassbar.

Das ist ja, als ob man beim Leck in Boot immer fleißig das Wasser aus der Kajüte eimert (die anderen Räume interessieren nicht), statt das Loch zu flicken oder anzulegen (jaaa, ich immer mit meinen Analogien).

Mir kommt da eine Aussage in den Sinn, welche ich letztens gelesen habe:

Zitat

Bei Windows Bugs zu fixen ist wie einen Pfahl in die Wüste zu stellen und anzunehmen da kommt jetzt keiner mehr durch

Das Bild kommt erstaunlich gut hin.

[Ironie]
Aber Hand aufs Herz: Wenn ich durch grottige Software in ein System einbreche, werde ich garantiert an einem billigen .pl-Dateien-lösch-Script scheitern
[/Ironie]