Am 10. Februar 2019 22:42:42 MEZ schrieb Markus Witt <markus@fsmpi.rwth-aachen.de>:
Guten Morgen, On 09.02.2019 23:25, Jens Hektor wrote:
Aus "historischen" Gründen waren das bisher HTTP-Server. nicht HTTPS-, SSH- und RDP-Server. Letzte Vorfälle haben gezeigt, dass wir das ausdehnen wollen Welche Vorfälle waren das genau, über welche Schwachstellen sind Angreifer auf Systeme gekommen und was genau hat das mit sinnvoll konfigurierten SSH-Servern[0] zu tun? Gibt es post-mortems, von denen auch andere lernen können?
Wir hatten auf einem Wohnheimsmailserver schon mal so einen Fall. Ewig her, aber zeigt das Problem. Jemand (tm) hatte zum testen den Webmailer roundcube 0.2-beta installiert. Leider nicht als Paket von debian sondern vom Archiv. Etwas mit rumgespielt und dann vergessen. Roundcube hatte dann eine Lücke (CVE-2008-5619) die natürlich bei uns nicht gepatcht wurde. Das wollte irgendeiner dann ausnutzen, aber da unsere Server keinerlei http nach draußen kommunizieren durften (als webmailserver "rein" schon), konnte die payload vom exploit nicht nachgeladen werden. Also war der Angriff vereitelt. Ich glaube, dass unsere Firewall Regel "http nur zu ftp.halifax für updates erlaubt" für viele Server nicht funktioniert. Daher ist ein reingucken und evtl (je nach Inhalt) blocken den Admins einfacher zu kommunizieren. Grüße Holger Jeromin