Säkerhet i Linux när man kör spelservers

Permalänk
Medlem

Säkerhet i Linux när man kör spelservers

Jag kör lite servrar på min ClearOS burk, och nu har någon "vänligsjäl" hackat lösenordet på ena servern och bytt namn på den,men min undran är om det går att komma åt mer saker än servern när dom håller på.
port 22 är stängt och det är inte samma rcon som lösenord på burken
mvh Henke

Permalänk
Medlem

det beror på om servern du pratar om (antar du menar mjukvara, har några kända root exploits). men eftersom du inte skriver något om detta kan nog ingen svara...

Permalänk
Hedersmedlem

Antagligen har de bara kommit åt själva spelservern, antingen genom att brute forcea fram lösenordet eller genom att utnyttja något säkerhetshål i spelserverprogramvaran. Om servern t ex inte körs som root så bör det inte medföra speciellt mycket problem (och även om den körs som root så får de vara ganska uppfinningsrika för att göra något, antagligen är det inte speciellt skickliga personer om de får för sig att hacka en liten spelserver bland miljoner andra).

Permalänk
Medlem

Kommer man in på burken så har man både local och remote explots att leka med för att eskalera access. Sen är det även så att man inte behöver vara root för att göra användbara saker med en server även en vanlig användare kan dra igång diverse processer... huvudmålet är sällan att ta sönder saker enligt min uppfattning utan att utnyttja burken till något.

Att köra den typen av applikationer i en chroot eller jail känns ganska givet, det isolerar systemet från applikationerna till viss del.

Permalänk
Medlem

Aldrig provat ClearOS, ser ju ut att vara ett rent av peka och klicka HTML jux? Inte konstig att säkerheten glöms bort, var servern ens uppdaterad?

Kolla loggarna, har de inte haft root så har du loggarna kvar. Men som sagt, även spelservers mjukvara har säkerhetsproblem. Kör aldrig dem som root, helst in jailat i en chroot som redan nämnts.

t.ex. Urban Terror 4.1 har väll haft ett känt säkerthetshål i över ett år nu, som började med att de lyckades vinna röstningar, därefter få rcon via samma sorts lucka, senaste var att folk lyckats exekvera kod via spelservern. Som sagt, det eskallerar rätt snabbt om de får hålla på i lugn och ro. Kommer de in engång är det inte svårt alls att tunnla runt din brandvägg.

Permalänk
Medlem

Hmm nu får jag ju ont i magen,är ju "alergisk" mot sånt här och har nästan ett maniskt behov att formatera om igen:/

Servern ligger i home mappen som root tillråga på allt:(.

Men hur mkt kunnigt/intresserat folk tror ni klarar av att gå vidare i en burk med endast ett rcon från spelservern hos mr noname henke? En cod2 server är det förövrigt.

Och vill dom in i burken så kan dom väl lika gärna använda andra sätt/portar ? Jag har kikat lite i några loggor men jag vet ju inte vilka jag ska glo i? mvh Henke

Permalänk
Medlem
Citat:

Ursprungligen inskrivet av Henrik29
Hmm nu får jag ju ont i magen,är ju "alergisk" mot sånt här och har nästan ett maniskt behov att formatera om igen:/

Servern ligger i home mappen som root tillråga på allt:(.

Men hur mkt kunnigt/intresserat folk tror ni klarar av att gå vidare i en burk med endast ett rcon från spelservern hos mr noname henke? En cod2 server är det förövrigt.

Och vill dom in i burken så kan dom väl lika gärna använda andra sätt/portar ? Jag har kikat lite i några loggor men jag vet ju inte vilka jag ska glo i? mvh Henke

Kolla auth-loggen. Sen kan du titta i bash-historyn om det finns några kommandon där som du inte känner igen Kolla också så de inte skapat någon nytt konto med massa behörigheter.

Permalänk
Medlem

Jilted82 jag har inte någon sådan log, i var/log har jag en jäkla massa andra loggor. typ secure och secure1 och dom är ju inte roliga att läsa utan det är massa

system snort[7832]: [1:2003:8] MS-SQL Worm propagation attempt [Classification: Misc Attack] [Priority: 2]: {UDP} sen ip

system snort[7838]: [1:483:5] ICMP PING CyberKit 2.2 Windows [Classification: Misc activity] [Priority: 3]: {ICMP} sen ip

5 03:14:41 system snort[7835]: [1:3000001:5] SSH potential brute force attack [Classification: An attempted login using a suspicious username was detected] [Priority: 2]: {TCP} sen ip

Ungefär så håller det på hur mkt som helst,fy fasen man får ju magsår när man ser alla försök eller vad det är.

Blir fan att stänga ner internet helt snart

Permalänk
Medlem

De där grejerna i loggen är inget att bry sig om så länge du inte har luckorna, det är ju bara internets bakgrundbrus

Har någon vart inne SKA man blåsa allt, det är min princip.

Ett tips är rkhunter, dock bör man köra det regelbundet och förstås från början i en ren miljö. Vad rkhunter kan göra för dig nu är att eventuellt hitta någon backdoor och följa förändringar i systemet. Men som sagt, har man blivit ägd ska man installera om.