Aus Linux-Magazin 02/2015

Aus dem Alltag eines Sysadmin: Metasploitable

Abbildung 1: Mit einem Smiley zu Root werden – Vsftp 2.3.4 macht's möglich.

Wer mit einem Pentesting-Tool wild im eignen Netz rumfuchtelt, bleibt zwar am Leben, hat aber Aussichten auf einen Preis für herausragende Leichtfertigkeit. Für alle anderen hat Charly Kühnast einen Rat: Verwenden Sie Metasploitable, das vielleicht kaputteste Linux aller Zeiten.

Wahrscheinlich haben Sie schon von den Darwin Awards [1] gehört. Den launigen Preis bekommt verliehen, wer die Qualität des Genpools der Menschheit dadurch erhöht, dass er der Welt seine Gene auf herausragend dämliche Weise entzieht. Prinzipbedingt werden fast alle Darwin Awards posthum verliehen – die wenigen Ausnahmen sind unappetitlich und nicht jugendfrei [2].

Meinen Lieblings-Award haben zwei Herren gekriegt, die mit ihrem Geländewagen auf einen zugefrorenen See fuhren, um dem Dynamitfischen zu frönen. Einer zündete eine Sprengladung an und warf sie weit weg. Die Männer staunten, als der mitgereiste Hund das gefährliche Stöckchen munter apportierte.

In ihrer Not zückten sie Schusswaffen, um den Hund zu stoppen. Der brachte sich daraufhin unter dem Geländewagen in Sicherheit. Dort detonierte das Dynamit, das Auto versank, während die Druckwelle die Schlaumeier fortschleuderte. Sie verloren das Bewusstsein und wurden später erfroren aufgefunden. Schade um den Hund – Respekt für den Forensiker, der den Ablauf rekonstruierte.

Prämienwürdiges Pech ist auch im Netz zu finden. Jeder Admin mit Erfahrung kann Geschichten von Amok laufenden Pentesting-Tools erzählen, die unversehens die wichtigsten Produktionsserver in den Orkus geschossen haben – gesteuert vom Azubi, der sehen wollte, was dieses Metasploit kann.

Das eigene Netz zu attackieren wäre wirklich nicht nötig, denn es gibt einen Abenteuerspielplatz zum gefahrlosen Austoben. Er heißt Metasploitable [3], und sein Name ist Programm. Das Linux-Image, zu finden auch auf der DELUG-DVD, lässt sich in VMware oder Virtualbox starten. Ist das geschafft, entfaltet sich ein großartiges Sammelsurium von Sicherheitslücken.

Unzulänglichkeiten satt

Einige Schwachstellen sind nur noch von archäologischem Interesse, etwa die kaputtkonfigurierten R-Dienste Rlogin und Rsh – die Älteren werden sich erinnern. Die Jüngeren kennen eh nur SSH, und selbstverständlich ist auch das auf Metasploitable eine einzige Katastrophe, ganz zu schweigen von den schwachen bis nicht vorhandenen Defaultpasswörtern aller möglichen Dienste.

Eine andere Klasse bilden trojanisierte Dienste, von denen Metasploitable mehrere offeriert. Sie entstehen, wenn irgendwer das Download-Repository einer beliebten Software hackt und das Programm durch eine mit Malware oder einer Hintertür versehenen Version austauscht. Wer sie auf einem Server installiert, bekommt bald ungebetenen Besuch.

Ein Beispiel dafür ist der beliebte FTP-Daemon Vsftpd. Er wurde einmal durch eine Version ersetzt, die auf Port 6200 eine Rootshell öffnete, wenn sich Benutzer mit einem Smiley nach dem Benutzernamen anmeldeten (Abbildung 1).

Wenn der Azubi also mal wieder Pentester spielen will, geben Sie ihm Metasploitable und einen vom LAN abgekoppelten Switch. Er wird von den Möglichkeiten so fasziniert sein, dass keine Zeit mehr fürs Dynamitfischen bleibt.

Abbildung 1: Mit einem Smiley zu Root werden – Vsftp 2.3.4 macht's möglich.

Abbildung 1: Mit einem Smiley zu Root werden – Vsftp 2.3.4 macht’s möglich.

Infos

  1. Darwin Awards: http://darwinawards.com
  2. “The Thing Ring”, eine Kastrationsstory, 2014 nominiert für den Darwin Award: http://darwinawards.com/darwin/darwin2014-05.html
  3. Metasploitable: http://sourceforge.net/projects/metasploitable/

Der Autor

Charly Kühnast administriert Unix-Systeme im Rechenzentrum Niederrhein. Zu seinen Aufgaben gehören Sicherheit und Verfügbarkeit der Firewalls und der DMZ.

DIESEN ARTIKEL ALS PDF KAUFEN
EXPRESS-KAUF ALS PDFUmfang: 1 HeftseitePreis €0,99
(inkl. 19% MwSt.)
LINUX-MAGAZIN KAUFEN
EINZELNE AUSGABE Print-Ausgaben Digitale Ausgaben
ABONNEMENTS Print-Abos Digitales Abo
TABLET & SMARTPHONE APPS Readly Logo
E-Mail Benachrichtigung
Benachrichtige mich zu:
0 Kommentare
Älteste
Neuste Beste Bewertung
Nach oben