Proftpd gehackt?

[MD98000]

Hallo zuerst einmal zu meiner Serverconfiguration.
Ich verwende zwei Server, einmal debian squezze, der ältere noch lenny, da nicht mehr lange benötigt.
Beide Server sind betroffen, die eingesetze Software ist gleich:
-Apache
-Mysql
-Proftpd
-Froxlor

Nun wurden in verschiedenen Froxlorkunden einige Dateien modifiziert, das äußert sich dann so, dass besagte Websites gerne Viren verbreiten und an einigen Stellen die Meldung ,,you have to pay for this crypt" auftaucht.
Google sagt dazu ja bereits einiges, grade in den letzen zwei wochen geht das wohl sehr vielen Leuten und sogar einigen Hostern so.

Die Änderungen selber müssen scheinbar über FTP erfolgt sein (einige der betroffenen Seiten sind reine HTML-Seiten ohne Möglichkeit zur direkten Bearbeitung).

Jetzt meine Frage an euch sind da irgendwelche akuten Sicherheitslücken bekannt? Proftpd ist die neuste Version.
Kann es sein das irgendwo die Möglichkeit besteht die FTP-Daten bzw die Kundendaten aus froxlor auszulesen (Der hauptftp account eines kunden hat die gleichen daten wie der Kunde selber). Kann ich jetzt gerade noch irgendwas tun, außer alle Zugangsdaten zu ändern und eben den manipulierten quellcode einzeln rauszulöschen?

Wenn ich jetzt irgendwelche Informationen vergessen habe, liefer ich diese gerne nach.

Vielen Dank schoneinmal im Vorraus.

Mit freundlichen Grüßen
Nils

 

[Deleted member 11691]

Welche Version von proFTPd, openSSH-Server, Apache2, PHP und Froxlor verwendest Du? Bitte kein "das aktuellste" posten sondern die Versionsnummern.

 

[MD98000]

proFTPd: 1.3.3.a
open-ssh: 5.5p1
Apache2: 2.2.16
PHP: php 5.3.15-1 (dotdeb)
Froxlor: 0.9.27 ( 0.9.27-1)
Mysql: 5.5.24-1 (dotdeb)

 

[virtual2]

Wie sieht die php.ini aus?

Wie ist PHP eingebunden? FastCGI, suPHP, mod_php, etc.?

Welche PHP Extensions kommen zum Einsatz?

Ich persönlich vermute eher eine laxe Konfiguration oder anderweitige Mängel, ProFTP ist trotzdem nicht auszuschließen.

Möglicherweise ein Wordpress Problemchen?

http://wordpress.org/support/topic/getting-need-to-pay-for-crypto-message-on-top-of-every-page

 

[MD98000]

Ja ProFTPd war jetzt nur aus meiner Sicht erstmal das naheliegenste weil die Veränderungen klar über FTP oder was ja auch nicht auszuschließen währe SSH entstehen, denn bei dem einen Kundenaccount liegt nur eine reine HTML-Seite drinne, da kann man nichts über eine Hintertür bearbeiten und eine Webftpoberfläche gibt es auf dem Server auch nicht. (Abgesehen davon wollt ich jetzt auch nicht in jedem Bereich zu jeder Möglichkeit einen Thread eröffnen)

Was ich nicht ausschließen will ist natürlich das über eine fehlerhafte Konfiguration irgendwie deie Möglichkeit besteht, an die Zugangsdaten zubekommen, 100prozentige Sicherheit gibt es ja eh nicht, und ich muss auch zugeben ein Profi bin ich auch nicht, ich lese mir zwar viel dazu durch, probiere alle Gefahrenstellen abzusichern und hab mich bei Konfiguration immer an gute Tutorials, bzw die froxlor vorgaben gehalten.

Was meiner Meinung halt nur auffällig ist, das ja in letzer Zeit dieses Problem bei sehr vielen Leuten auftritt, bei wordpress soll es ja wohl über irgendwelche scriptlücken gehen, aber wenn man eben mal google befragt, ist auch relativ viel anderes betroffen. Deswegen eben auch meine Frage ob irgendwie momentan Sicherheitslücken bekannt sind, oder eben irgendetwas was man im Zusammenspiel zwischen verschiedenen Komponenten beachten sollte, was vorher nicht bekannt war.

Dennoch hier zunächst einmal die Antworten auf die Fragen:
Also PHP ist mittels FastCGI eingebunden, ich habe bei froxlor mehrer PHP-Konfigurationen, gebe jetzt aber mal eine an, welche von dem betroffenen Kunden benutzt wird.(siehe Dateianhang)

Der Zweite Anhang ist eine Liste der geladenen PHP-Extensions.

 

[its]

Da ich erst einmal davon ausgehe, dass die einzelnen Dienste nicht betroffen sind, schaue ich mir die Logfiles an.

Was sagen die access.log und ftp.log der einzelnen Kunden die Betroffen sind?

FTP Logs: (nur Beispiele)

suchen nach STOR, APPEND Einträgen & ggf. die IPs überprüfen.

access.log: (nur Beispiele)

hier sucht man nach auffälligen POST aufrufen z.B. auf die administrator/index.php (Joomla, confirm reset) oder RFI bei Wordpress thumb.php=http://shell (uralter TimThumb Hack) aber oft noch gern missbraucht.

Sollte ich hier kein Glück haben, muss ich mich halt ein Schritt höher tasten und untersuchen, ob Froxlor oder die einzelnen Dienste betroffen sind.

 

[MD98000]

Also in den Webserver Logs gibt es keine besonderen Einträge, normale Zugriffe halt.

Allerdings in den Logs von Proftpd umso mehr.
Seit dem datum, an dem die erste manipulation aufgetreten ist, gibt es regelmäßige anmeldungen von allen FTP Usern welche auch Datein ließt, löscht erstellt und bearbeitet. Ausgehen tuen diese Verbindungen von den verschiedensten Vservern, großteils Server4you, Strato und hosteurope.
Bleibt nach wie vor natürlich die Frage, wo haben die die Zugangsdaten her.

Daher schaute ich mir zunächst die SSH-Logs an, und siehe da ab 3 Tage vorher wird scheinbar mittels zufalls namen und passwörtern ein Login versucht.

Zwei Tage nach der ersten Manipulation gelingt ein SSH Login mit den Froxlor Kunden und noch ein wenig später gibt es verschiedene Mysql Anfragen an unteranderem die Kundentabelle von froxlor, allerdings ausgehend von postfix.

Die letzeren Logs werd ich mir später zuhause nochtmal genauer anschauen, um vorallem sicherzustellen das die postfix logins nicht auch davon kommen können, das zb ein User seid dem eine mailadresse nutzt etc.

Den FTP-Server hab ich jetzt vorsorglich erst einmal abgeschaltet, sowie die verseuchten Seiten vom Netz genommen möchte ungern Viren verbreiten.

Liefer euch nacher dann die entsprechenden Log-Auszüge nach

 

[virtual2]

Server unverzüglich runterfahren und ins Rescue booten, das sieht mir nach einer menschlich gemachten Sicherheitslücke aus die jetzt aktiv ausgenutzt wird und wodurch möglicherweise Schadcode ins System reingebracht wurde.

 

[Joe User]

Da hat vermutlich jemand mit dem im Februar gefixten Plesk-Bug die Passworte abgefischt und nutzt sie jetzt.
Mit anderen Worten: Du hast damals die Empfehlungen von Parallels nicht befolgt und auch Deine Kunden nicht darüber informiert...

 

[eisenherz]

Vielleicht sind auch die Kunden angegriffen worden. Ich hatte letztens Kunden wo ein Trojaner die FTP-Passwörter ausgelesen hat und dann die HTML-Dateien verändert worden sind.

 

[its]

Vielleicht sind auch die Kunden angegriffen worden. Ich hatte letztens Kunden wo ein Trojaner die FTP-Passwörter ausgelesen hat und dann die HTML-Dateien verändert worden sind.

Genau so soll es auch sein </ironie>

Wenn man das System im Griff hat, ist das schwächste Glied in der Kette der Kunde und sein "sicheres" Windows System mit Filezilla.

Mal spass bei Seite, sehe ich leider auch häufiger und vor allem finde ich IMAP Accounts von Kunden die zum spammen missbraucht werden.

 

[MD98000]

Prinzipiell auch möglich, aber mal ehrlich auf zwei servern zeitgleich bei ca 30 kunden? kanns mir eher nicht vorstellen vorallem da ich mich eben mit einem bekannten unterhalten habe der auf seinen servern auch das gleiche problem hat.

Werde mir aber wohl oder übel dann doch professionelle Hilfe suchen.
Für Sicherheit sollte man doch bereit sein mal etwas zu bezahlen (nächstes mal allerdings lieber vorher)

@Joe User
darauf bin ich in meinen recherchen oft genug gestoßen aber wie oben im ausgangspost auch schon aufgeführt gehört plesk nicht zu meiner eingesetzen software

 

[Joe User]

Na dann setze ich mal spontan einen virtuellen Kasten Bier auf den Plesk-Bug.

Feedback erwünscht!


EDIT: Grr, Dein Edit kam während meiner Antwort, Wette zurückgezogen.

 

[MD98000]

Hehe ich wünschte so währe es, dann wüsste ich wenigtens den genauen Grund
Naja wie schon oben geschrieben an Sicherheit will ich dann doch nicht sparen bevor ich am ende alles nur noch schlimmer mache, die lecks an meiner gas leitung suche ich ja auch nicht mit dem Feuerzeug.
Da soll sich dann doch jemand mit mehr Ahnung drum kümmern

 

[d4f]

Vor einigen Monaten gab es bei uns (=PHP-Friends) einen Einbruch den wir auf Froxlor zurueckfuehren konnten. Die genaue Ursache konnten wir nie klaeren, aber aufgrund einiger offensichtlicher Faktoren ist dessen Cronjob zusammen mit unzureichender Eingabefilterung vermutlich der Faktor welcher im worst-case je nach Setup und Konfiguration vollen Zugriff auf andere Kunden oder gar den Server erlauben koennte.

Ich wuerde Panels also nicht pauschal als sicher abtun, sie koennen oft direkt oder indirekt (=schlechte Konfigurationsvorgaben) Schuld sein.
Zumal Froxlor und dessen Vorgaenger Syscp schon mehrmals in der Vergangenheit sicherheitsrelevante Bugs aufwiesen welche nur zoegerlich gefixt wurden und das ganze auf dem katastrophal schlechtem PHP-Code von Syscp basiert.

Prinzipiell auch möglich, aber mal ehrlich auf zwei servern zeitgleich bei ca 30 kunden

Ich bin bei mehreren geografisch getrennten Webhoster als Sysadmin taetig, und beobachte immer wieder "rollende" Wellen von dem gleichen Trojaner-Typ welcher auf Kundenrechner die Daten ausliest und sein Unheil treibt.
Meist treffen die Trojaner zuerst Webhoster mit Kunden im oestlicheren Teil der EU.

Je nach Anzahl an Kunden ist es moeglich, zumal wenn die Trojaner tage/wochenlang Daten sammeln bevor diese verwendet werden um einen groesseren Durchschlag zu haben. Wenn es 10% der Kundenbasis nicht ueberschreitet koennte es ein wuestender Trojaner sein. Sehr oft kennen die Kunden sich ja auch untereinander (Mund-Mund Propaganda) und verteilen so ungewollt die Trojaner untereinander.
Ich hab aktuell allerdings bei allen Webhoster Ruhe vor solchen Angriffen.