A total of 1 possible successful probes were detected

O

Owii

New Member
Hallo,

heute ist folgendes passiert. Mein Server ist normal echt fix nur heute ( trotz wenig traffic ) ging garnichts mehr... grafiken brauchen minuten zum laden, auf mysql connecten gng garnicht mehr ( musste mysql server neu starten ).

Im Täglichen Logwatch stand dann folgendes:

A total of 1 possible successful probes were detected (the following URLs
contain strings that match one or more of a listing of strings that
indicate a possible exploit):

/index2.php?p=/../../../../../../../../etc/passwd HTTP Response 200


kann mir wer erklären was das bedeutet?

Also FTPzugang / ssh zugang hat keiner, es hat sich auf jedenfall keiner eingeloggt bzw. was hochgeladen.

Allerdings liegt mein Trafficvebrauch plötzlich so bei 50mbit!

hab jetzt sicherheitshalber mal den mysql server aus gelassen weil der serv noch langsamer wurde wenn dieser an war
 
Hallo!
Wenn das wirklich funktioniert, hast du ein ersthaftes Problem. Damit wäre er Zugriff über deinen Apache Webserver auf die Passwortdatei möglich. Dann würde mich der extreme Trafficverbrauch ach nicht mehr wundern (Server gehacked).

Sieh doch mal mit dem Befehl last nach, ob wirklich Anmeldungen stattgefunden haben, die du nicht zuordnen kannst.

Als erstes würde ich mal alle Dienste außer ssh abschalten.

mfG
Thorsten
 
Hallo Owii,

was ist denn bei dir dabei raus gekommen?

Ich hab nämlich heute in meinem Logwatch dieselbe Fehlermeldung bekommen, und würde gern wissen ob - und wenn ja, was - ich da in meinem Apache unsicher konfiguriert habe.

Ich hoffe es kennt sich jemand aus... ich hab auf jedenfall vorsichtshalber mal ein vorher erstelltes Backup meines VServers eingespielt.

Gruß Tobias
 
Hi,

mal abgesehen vom Alter des Threads... warum hast Du nicht das gemacht, was Thorsten und charlie bereits geschrieben haben? Ohne irgendwelche rudimentären Infos ist eine Diagnose schlicht unmöglich.


-W
 
Hallo,

ich hab mir mal /var/log/auth.log und "last" angeschaut, da ist nichts ungewöhnliches zu sehen. Ungewöhnlich viel Traffic habe ich auch nicht.

Das hier hat mir Logwatch angezeigt:

/?page=/../../../../../../../../etc/passwd%00 HTTP Response 200

Der Zugang zum Root-Pfad sollte hiermit ja eigentlich abgesichert sein...(?) ich poste mal nen kleinen Auszug meiner apache2-Konfigurationsdatei:

NameVirtualHost *:80
<VirtualHost *:80>
ServerAdmin webmaster@localhost

DocumentRoot /var/www/

<Directory />
Options FollowSymLinks
AllowOverride None
Order Deny,Allow
Deny from all
</Directory>

<Directory /var/www/>
Options -Indexes -FollowSymLinks -ExecCGI -MultiViews
AllowOverride None
Order allow,deny
allow from all
</Directory>

In der PHP.INI habe ich außerdem

allow_url_fopen = Off
allow_url_include = Off

gesetzt...

Jetzt weiß ich nicht genau was das mit dem HTTP Response 200 auf sich hat...

Wäre super wenn jemand noch nen Tipp hätte. Ich hoffe ich hab genug Infos gegeben!

Gruß
 
Hi,

200 ist der Rückgabewert für einen erfolgreichen Zugriff.
Du solltest Dir also ernsthafte Sorgen um die Sicherheit deines Systems machen.
Verrät Dir Logwatch auch, was vor dem /?page=... steht?
Ansonsten solltest Du erstmal alle externen Dienste außer SSH stoppen und prüfen, welche Dateien alle auf diese Variable reagieren können.


-W
 
Vor dem /?page=... steht eine index.php-Datei, die von meiner Webseite.

Meinst du ich sollte die am ehesten nochmal durchschauen? Ich hab das PHP-Include auf der Seite allerdings extra mal nach Anleitung abgesichert, damit nicht x-beliebige Seiten aufgerufen werden können, sondern nur die, die im Webpfad auch existieren..

Ich schätze mal das ich im Apache ja sicher auch noch was umstellen muss, damit solche Dateizugriffe außerhalb des www-Pfades nicht möglich sind. Wobei ich ja eigentlich dachte, das wär schon so ;-)

Ich hab jetzt auf jedenfall mal alles außer SSH gestoppt.
 
Last edited by a moderator:
Hallo Leute!

Ich hab inzwischen noch was raus gefunden...

Also es wurde ja der Aufruf "http://www.mein-server.de/../etc/passwd" verwendet. Mit diesem Aufruf erhalte ich in der access.log des Apache-Servers tatsächlich ein 200 STATUS CODE. Öffnen oder downloaden kann ich die Datei aber nicht, ich erhalte dann die Startseite der Homepage. Es gibt in der entsprechenden Datei (index.php) auch keine Variable "page", auf die der Aufruf passen würde.
Also ich kann mir das nicht so ganz erklären irgendwie..
Wäre toll wenn irgend jemand noch nen Hinweis für mich hätte. Kann auch nochmal gern meine Konfigurationsdateien posten falls nötig.

Danke schonmal!

Gruß Tobias

Edit: Also mir ist aufgefallen das ich - egal was ich für Variablen angeb - immer einen HTTP Response 200 bekomme. Da kann ich /?bla=blablubb eingeben, oder sonstwas. Ist das normal..? Ich komme allerdings dann aber immer auf der Startseite raus, das ist auch so geprüft in der PHP-Datei. Es werden nur Dateien included, die ich in einer entsprechenden Schleife deklariert hab.
 
Last edited by a moderator:
Hallo!
So lange immer die index.php angefordert wird, wird Apache immer schön einen Status Code 200 liefern. Schließlich gibt es diese Datei und wird korrekt ausgeliefert (egal was da für Parameter dranhängen). Ursprünglich hast du aber geschrieben, die Datei würde index2.php heißen.

Frage: Gehört die index2.php zu deiner dir bekannten Applikation?

mfG
Thorsten
 
Hi,

@Thorsten: siehe ab Post 4/5.
Das aktuelle Thema hat sich an einen alten Thread gehangen. Das initiale Posting ist aktuell irrelevant.


-W
 
Hallo!
Ja, dass ist schon klar. Ich möchte nur vermeiden, dass eine allgemeine Panik ausbricht, wenn im Apache Log bei einem Aufruf wie
Code: 
http://serversupportforum.de/index.php?attac=../../../../passwd&exec('rm%20-f%20/')
ein Status Code 200 hinterlassen wird.

mfG
Thorsten
 
Hallo,

wstuermer hats schon geschrieben... die index2.php gehört nicht zu mir, die gehört Owii, ganz am Anfang vom Thread ;-) Meine heißt index.php, und die ist auf jedenfall vor solchen Aufrufen geschützt.
Dann bin ich aber echt erleichtert, und kann diese Sicherheitswarnungen also getrost ignorieren.
Aber irgendwo auch logisch... ich ruf die Seite mit Parameter /index.php?page=BLA auf, die PHP-Seite kennt den Aufruf nicht und gibt die Startseite aus. Und die gibt's, also daher auch der 200 Response. Naja, jetzt weiß ich's...

Ich dank euch auf jedenfall allen, und hoff das hilft anderen weiter die dasselbe "Problem" haben...

Gruß Tobi
 
You must log in or register to reply here.
Back
Top