Gehackt

[andreas_63]

So. jetzt hat es mich auch erwischt, nach 4 Jahren Ruhe, Mist.
Root Server bei 1und1, Suse 9.3, Plesk 8.1

auf allen Seiten (28 Stück) wurden die Index Dateien manipuliert. Steht jetzt überall

HACKED BY iSKORPiTX

TURKISH HACKER

dünya markasi taklit edilemez

nach einer Weile wird man weitergeleitet auf http://financeaustralia.com.au/tempi/

Alle Seiten sind noch vorhanden, diese aber ohne weiteres wieder ins laufen zu bringen, wird wohl nix bringen.
Frage ist, wie derjenige reingekommen ist.
Root Zugang funzt, Plesk nicht,
wo kann ich denn nachschauen, wie und wo das passiert ist?

Und wie kann ich das ganze verhindern, das der/die wiederkommen?
Habe Typo3 Seiten laufen, alle auf dem neuesten Stand (Updates) und einige Mambo Seiten (da geht mein Verdacht hin).

Bitte um Hilfe

Danke

P.S.
/var/log/ ist komplett gelöscht und im Homeverzeichnis liegt eine index.html miit diesem "
HACKED BY iSKORPiTX

TURKISH HACKER

dünya markasi taklit edilemez" als Inhalt

 

[CyberLine]

Hast du ein älteres WBB oder gar ein PHPNuke laufen ?

 

[andreas_63]

Hast du ein älteres WBB oder gar ein PHPNuke laufen ?

nein habe ich nicht.

P.S. Komme auch über Plesk nicht mehr hinein,
kommt dieses hier:
The requested URL /login.php3 was not found on this server.

 

[elzschiko]

Hallo,


da bist Du ja noch schlimmer dran als ich. Bei wir waren wenigstens die Log-Files noch da. Mein Server wurde vermutlich über ein schwaches Skript gehackt.
Jedenfalls konnte man das nachladen von einem Pearl-file im Apache-Log nachvollziehen.

Ohne die Logs wirst Du wohl nicht um eine Neuinstallation herumkommen und Deine Projekte beim neu einrichten genauestens untersuchen müssen.

Grüsse
Daniel

 

[Mordor]

Einen Tip fürs nächste mal:
Logfiles regelmäßig rotieren lassen, also die wichtigen jeden Tag.
Nach dem Rotieren die Logfiles per E-Mail zuschicken lassen.

Dann hast du zwar nicht die letzten paar Stunden als Logfiles, aber zumindest den Rest. Meist kündigen sich Hacks nicht erst in den letzten paar Stunden an, sondern schon ein paar Tage vorher. Außer du hast wirklich nicht auf die Sicherheit deines Systems geachtet.

Ps Die Zugriffsrechte für die Logfiles sollten natürlich auch richtig gesetzt sein.

 

[Sinepp]

Vielleicht helfen Dir schon die Logfiles vom letzten Backup weiter....

Grüße
Sinepp

 

[Abraxas]

Na gratu .... der Name kam mir irgendwie gerade arg geläufig vor .....
iSKORPiTX hat letztes Jahr die wohl größte Defacement Aktion hingelegt

Um nicht zu sagen das du wohl kaum irgendeine chanche hast irgendwelche Spuren noch zu finden da er wohl durchaus weis was er tut ^^
Leider gehört er wohl auch nicht zu denen die dem Webmaster auch seine Fehler darlegen (außer du findest eine Hackinfo oder ähnliches auf deinem ftp)

Heute scheint bei Ihm Deutschland tag zu sein, ich vermute deine Domain/s findest hier dann auch.
www.zone-h.org - Digital Attacks Archive: today's verified attacks

 

[Mordor]

Die Frage die sich mir hier stellt ist, wenn man schon kaum irgendeine Chance hat, wo liegen dann die Chancen die man hat?
Ist es wirklich so, dass wir hier von einem absoluten Crack sprechen? Oder kann man sich auch vor diesen Brüdern halbs absichern?

 

[Abraxas]

Die Frage die sich mir hier stellt ist, wenn man schon kaum irgendeine Chance hat, wo liegen dann die Chancen die man hat?

Eigentlich nur darin seine Scripte so sicher wie möglich zu halten und bei fertig CMS oder ähnlichen sich täglich über Updates zu Informieren.
Wenn du jetzt noch deinen Server mit anderen (freunden/bekannten etc) teilst dann haste schon nen Problem.
Vor allem steht das für so manchen Seitenbetreiber in keinem Verhältnis mehr vom Aufwand.
Server Betreiber kommen aber definitiv nicht drumrum sich eigentlich täglich auch mit sowas zu beschäftigen.

Wobei man bei so einem Defacement noch glück hat, im Normalfall passiert den eigentlichen Daten nichts und es geht nichts verloren.
Viele Defacer bringen dir sogar noch mehr Vorteil als Nachteile da Sie dir entweder in die Index oder in eine extra Datei schreiben wie Sie überhaupt Zugriff erlangen konnten.
Ist zwar im ersten Moment unangenehm aber am ende irgendwo doch hilfreich.

Aber einen 100% Schutz wird es nie geben.

 

[Mordor]

Klar, 100%iger Schutz würde heißen, den Rechner vom Netz nehmen, und in einem drei Meter tiefen Loch vergraben. Und selbst dann findet sich noch jemand, der das Ding ausgräbt.

Dann sind wir also mal wieder genau an dem Punkt angelangt, den man immer wieder liest:
Sich einfach um das System kümmern, und es nicht sich selbst zu überlassen!!!

 

[andreas_63]

Hallo, tja, die ganze Firma ist am neuinstallieren hier, so ein Mist.
Wenn ich nur wüßte, wie der da reingekommen ist.
Der muss ja irgendwie Root Rechte bekommen haben, weil auch im Home Verzeichnis diese dämliche index.html abgelegt worden ist.
Was ich noch gefunden habe: in /etc war ein Verzeichnis pwdutils.
Sagt euch das was?

Habe jetzt neu installiert, noch längere Passwörter angeleft als eh schon vorhanden waren und den Apachen generell nur noch unter www:wwwrun laufen.
wenn Dateien per FTP nicht gelöscht werden können (kann man ja per Konsole machen), Hauptsache die Kiste ist sicherer.
Aber bei dem, denke der kommt überall rein.
Mal sehen ob ich morgen früh wieder fällig bin.
Wie er reingekommen ist, glaube das das an den alten Mambo Seiten einiger Kunden gelegen hat, da war nix mit update.
Typo3 ist ja ziemlich sicher.

Noch 20 HP's, dann bin ich fertig.

Gruß

Ach ja:
@Abraxas

Heute scheint bei Ihm Deutschland tag zu sein, ich vermute deine Domain/s findest hier dann auch.
www.zone-h.org - Home - Digital Attacks Archive: today's verified attacks

richtig, alle dabei

Dann doch noch eine Frage.
Ist das hier so richtig gesetzt?

/srv/www/vhosts/domain.de/httpdocs:/tmp

Safe mod ist on, allerdings bei Typo3 setzt ich das mit einer vhost Datei auf off, sonst bekomm ich das nicht richtig installiert.
Danke

 

[the_condor]

kaum zu glauben aber Typo 3 hat auch eine Schwachstelle.

MOD: *ZENSIERT* Wir wollen doch sicherlich alle auf der sachlichen Ebene weiterdiskutieren, oder?!

Kaum wurde der Bugtrack rausgebracht schon wurden alle Seiten defaced.

Sowas ist einfach nur dumm!

Frage an dich , welche Software haste den genau drauf.

Bitte alles aufführen nur somit bekommt man ein Lösungsansatzt.

Axo ja , ich würde einmal das System komplett Platt machen und dann neu Aufsetzen.

edit://
php_admin_value open_basedir /home/s/domain.ltd/public_html/:/tmp

ist in meinen Augen Ok

mfg
the_condor

 

[andreas_63]

Danke @the_condor
Habe erst am Samstag alle Typo3 Präsenzen auf 4.0.5 aktualisiert.
ansonsten laufen/liefen 3 Mambo HP's Version 4.5.2.3
Ansonsten nur einfache HTML Seiten, davon eine mit Flash.
2 Typo3 Seiten mit Shop (tt_products) auch alles auf dem aktuellsten Stand.
Naja Plesk 8.1, habe aber wegen dem Backup Problem jetzt wieder 8.0 drauf.
(ja, installiere gerade alles nagelneu)
Das ist alles, der Server selbst Suse 9.3, auch immer aktuell,
PHP 4.4.2
MySql 4.1.10a
Apache 2


php.ini

disable_funcions
system, shell_exec, show_source, diskfreespace, disk_free_space, proc_open, set_time_limit, link, pfsockopen, popen,

allow_url_fopen On
register_globals Off
safe_mode On

Brauchst noch einige Angaben mehr?

Danke

 

[Abraxas]

Die dummen Türcken hacker gehen mir eh voll auf den S.....

Kaum wurde der Bugtrack rausgebracht schon wurden alle Seiten defaced.

oO und die nicht Türken Hacker sind dann die guten die einen die verpassten sicherheitspatches vorzeigen ? oder wieso machst du das bitte an der Nationalität fest ?

Auch wenn ich Persönlich nicht vor Begeisterung juhu schreien würde wenn es mich mal treffen sollte, so ist es jedoch immer besser ein deface als diejenigen die alle Daten Zerstören oder den Server mal schnell hinter deinen Rücken zu einem Fileserver oder sonstigen umbauen.

Aber bitte sowas nicht auf eine Nationalität nur beziehen es gibt auch genügend andere Nationen in der Hackerzene .... und kaum zu glauben es sollen gerüchten zufolge auch Deutsche unter Ihnen weilen ^^

 

[marneus]

Da war Abraxas schneller als ich mit dem Zensieren. Ich bitte die Diskussion zu unterlassen - sonst unterbinde ich sie!

 

[the_condor]

du sorry sollte nicht Ausländerfeindlich wirken , habe selber einige Türken als sehr gute Freunde.

Sollte vielmehr eine Anspielung dadrauf sein, das wenn man mal googelt 80 % Türische Defaced sind.

Und das Nervt halt, also nix für Ungut.

Natürlich gibt es auch Deutsche und andere Nationen die Hacken und Defacen.

Aber jetzt wieder zurück zum Thema


the_condor

 

[andreas_63]

So, habe jetzt die hälfte meiner Seiten wieder online.
Die Frage wäre jetzt, knall ich die Mambo Seiten wieder druff, oder migriere ich die gleich zu Typo3, weil das Dingens aus meiner Sicht doch etwas sicherer ist als Mambo.
Naja, ist halt eine Vermutung.

Gruß

 

[the_condor]

nur mal so

hxxp://milw0rm.com/exploits/2379

registration_detailed.inc.php?mosConfig_absolute_path=shello

gib mal Mambo typo oder sonstige Software Arten ein. Ist jetzt nur ein dummes Beispiel, aber ich hoffe ich konnte Dir etwas helfen.

Oder du schaust selbst mal in deinen Daten ob Du Schwachstellen findest.

mfg
the_condor

 

[andreas_63]

@the_condor

hxxp://milw0rm.com/exploits/2379

#
da find ich über Typo3 zum Glück nix, Mambo dagegen ne Menge.
soll ich dieses hier über den Server probieren?

registration_detailed.inc.php?mosConfig_absolute_path=shello

habe ja schon so einige PHP Funktionen abgeschaltet, aber das reicht wohl noch nicht.
Gruß

 

[andreas_63]

php_admin_value open_basedir /home/s/domain.ltd/public_html/:/tmp

in meiner http.include steht es Standardmäßig so:

php_admin_value open_basedir "/srv/www/vhosts/die-domain.de/httpdocs:/tmp"

Ist es so o.K.?

Danke