S4Y Server fristlos gekündigt ?!

Auch das Verzeichnis /tmp/.p/ sollste Du Dir ansehen.
Naja, und jetzt hast Du auch einen passenden Zeitstempel um in den Logfiles nachzusehen welches Script bei Dir so Lückenhaft ist...

Soviel zum Thema "Neu aufsetzen und Backup einspielen".
Man macht sich viel Arbeit um sich dann die selbe Lücke wieder neu ins System zu holen... ;)

huschi.
 
Das sieht alles nicht doll aus...
Es gibt (gab!) ein /home/ftp, wo vorher keins war. Darin fand sich das da:

PHPShell by PetriHacK - Version 2.6.6dev - August 28th 2003

Habs terminiert, und das Passwort des Users FTP geändert. Genauso wie das root-pw und des meines "normalen" Users...

Irgendwie finde ich in den Logfiles aber nichts :(

Achja: Warum kam der Krempel schon wieder nach /tmp/ ? Hat der Hacker nur da Zugriff drauf? Warum wurde es nicht besser versteckt?

.p sieht übrigens so aus:
Code:
echo790:/wasdas/.p# ls -lash
insgesamt 116K
4,0K drwxr-xr-x 2 mchl mchl 4,0K 2007-12-11 17:47 .
4,0K drwxr-xr-x 7 mchl mchl 4,0K 2007-12-11 21:55 ..
 24K -rw-r--r-- 1 mchl mchl  23K 2007-12-11 17:47 14568
 28K -rwxr-xr-x 1 mchl mchl  25K 2007-12-11 17:47 35651
 28K -rwxr-xr-x 1 mchl mchl  28K 2007-12-11 17:47 65500
 28K -rwxr-xr-x 1 mchl mchl  28K 2005-12-07 02:41 inet
 
Also die Dateien in /tmp das wurde vom Apache angelegt, daher www-data. D.h. es kommt sehr wahrscheinlich von einem fehlerhaften php skript. Da bringt ein neues Passwort reichlich wenig, da die Apache Prozesse ja weiterhin unter dem Benutzer www-data laufen.
In der php.ini ist /tmp häufig als upload_tmp_dir angegben. Daher kann man von fehlerhaften php Skripten in den Ordner schreiben. Für sowas ist tmp ja eigentlich auch gedacht, wenn die Skripte in Ordnung sind.. So werden z.B. auch Sitzungen für kurze Zeit gespeichert.

Du musst also mal deine php Skripte prüfen!!! Am besten den http vorher erst gar nicht mehr starten! Noch besser: Alle Dienste ausser den ssh zumachen!

Scheinbar wurde über so ein Skript verschiedene Dateien hochgebracht. Unter anderem John - the Ripper (siehe John the Ripper - Wikipedia ), womit evtl ein Passwort geknackt wurde.

Also ich würde dem System nicht mehr trauen. Schau, dass du den Fehler lokalisierst, abdichtest und dann nochmal neu aufsetzt. Mittlerweile ist es kaum noch festzustellen was kompromitiert ist!
 
Moin, moin....

sagen wir mal so: die heutigen Cracker sind eben keine Script-Kiddies mehr, sondern mitunter höchstfähige Leute mit einem enormen kriminellen Potential, der die Sicherheitsindustrie ohnehin immer hinterherlaufen wird. Du kannst eigentlich nur versuchen, es den Nachahmungstätern etwas schwerer zu machen, auf dass sie die Lust an Dir verlieren, weil es bei Dir zu lange dauert und irgendwo bestimmt ein paar weniger abgeschirmte Rechner rumdümpeln! Ich galube einfach, wenn einer von denen, die Ahnung haben, auf Deinen Rechner raufwollen, dann werden sie es auch schaffen, irgendwie. Nur lohnt es sich halt nicht für die, tagelang einen einzigen Rechner zu knacken, denn Kohle machen sie nur mit ganzen Bot-Netzen!
Obwohl sie mir z.B. den r57shell-Trojaner (ein in php geschriebens Script) untergejubelt haben, muss ich neidvoll anerkennen, dass das Teil genial ist.

Zurück zur Sache:
sicherheitskritische php-Scripte sollten mit
allow_url_fopen=Off
register_globals=Off
safe_mode=On
nicht mehr ganz so eine dramatische Rolle spielen.
In "selbstangelegte" CHMOD777 tmp Ordner vielleicht noch 'ne .htaccess
<Files *>
Order Allow,Deny
Deny from All
</Files>
Den Rest (vielleicht zur späteren Analyse) auf Heimrechner sichern und auf dem Server löschen.
Alle Passwörter ändern (ist bei/für Confixx 'n bisschen besch..., da nur über die/in der Datenbank, dann in der settings.inc.php und confixx_main.conf) und sich fortan dadurch von SSL und autorespond verabschieden, da die "alten" Passwörter auch noch in den entsprechenden .pl Dateien liegen (oder kennt jemand einen Weg, die da auch ändern zu können?)
Sofern noch Confixx 3.1 läuft, sofort auf 3.3.1 updaten (in 3.1 soll's 'ne Lücke geben!) oder wenigstens den Hotfix für 3.1 ausführen!
Tip am Rande: CHMOD für Ordner /confixx/html/include/template/templates_c kontrollieren (der hatte bei mir 777 und beinhaltete den Trojaner r57shell.php)
hatte den damals gelöscht, nach dem Update war er wieder da (der Ordner, nicht der Trojaner :D ) und hatte prompt wieder CHMOD 777. Keine Ahnung, wozu der gut sein soll, aber S4Y meinte auf Nachfrage, der würde gelegentlich von confixx benötigt, aber 755 reicht auch.
Am besten den tmp- und .error-Ordner gleich mitkontrollieren (in tmp hatte ich eine Kopie des .error-Ordners und im eigentlichen .error-Ordner einen Backdoor.Iroffer Trojaner! Bei mir hat sich halt fast alles innerhalb von Confixx abgespielt! Ausserhalb dessen (mit Ausnahme einer vom r57-Trojaner angelegten Datenbank, die man nur über phpmyadmin sehen konnte) habe ich nichts gefunden. Mich haben sie mehr oder weniger kurzzeitig als IRC- und Bittorrent-Schleuder benutzt. Evtl. noch als Spammailer auf web0 (das Postfach hatte als einziges vollen Schreibzugriff für alle Benutzer (im Normalzustand nur für den Besitzer).

Nach Ausführen sämtlicher o.g. Punkte (ohne Neu-Installation!) sieht's derzeit ruhig im Karton aus! Ich kontrolliere im Moment allerdings mindestens 3x täglich mit SSH Secure File Transfer Client meine Inhalte auf dem Server, ob sich etwas verändert hat (Schreibberechtigungen, neue (suspekte?) Ordner usw.) und im Nachgang mit Putty die Eigentumsrechte. Mühselig... aber würde ich auch mit einem neuaufgesetzten System genauso machen. Nur dass ich mich bislang davor gedrückt habe, alle meine Kunden neu anzulegen, Datenbanken neu einzuspielen usw. usf.

Wie gesagt, bei mir sieht's so aus, als seien sie über Confixx nicht hinausgekommen.... Toi, toi, toi....

Greetz
DB
 
Last edited by a moderator:
In .pl Files von Confixx liegen keine Passwörter. Wenn das MySQL Confixx Passwort geändert wird, sind diverse Konfigurationsdateien zu ändern, aber keinesfalls .pl Dateien.

Btw ist iRoffer kein Trojaner, sondern ein XDCC IRC Bot. ;)
 
Iroffer: das stimmt für's das Orginal, aber nicht für die auf meinem Server befindliche Variante.... Und als Trojaner würde ich per Definition schon mal jedes Programm nennen, was sich ohne mein Zutun und Wissen auf meinem Rechner etabliert und Ressourcen für seine (unerkannte) Tätigkeit beansprucht.
Kaspersky nennt das Hörnchen übrigens: Backdoor.Linux.Iroffer.14b02

Zu Confixx Orginalzitat der Support-Hotline:
Sehr geehrter Herr xxxxxxx,

das Passwort ist ausserdem auch in autoresponder.pl, und sslgen.pl eingetragen, was sich aber nicht direkt auf den Betrieb auswirkt, solange man kein SSL oder einen Autoresponder einrichtet. Auf den Login über die Webseite wirkt sich nur das in settings.inc.php eingetragene Passwort aus.

Bei der Gelegenheit hat er mir allerdings unterschlagen, dass ich keine (Sub-)Domains mehr anlegen kann, wenn ich nicht auch die confixx_main.conf ändere.

Tja, wat soll man da machen :rolleyes:

Greetz
DB
 
Eben mal nachgeschaut, es ist korrekt, in der autoresponder.pl befindet sich das Passwort und wo ist das Problem dieses zu ändern?
Jeder Texteditor liefert dir dieses Script im Klartext. :rolleyes:
 
Stümmt! Da hat mein durch Schlafentzug total übernächtigtes Hirn meinen Mauszeigefinger die falsche Datei anklicken lassen, die nur aus Symbolen bestand :eek: ; mea culpa!

Greetz
DB
 
Ich hab auf meiner Kiste SysCP, da Confixx nur mit alter SQL-Version bei S4Y verfügbar ist (war?) - daher kann zumindest schonmal kein Confixx infiziert werden :)
Zwischenstand bei mir:
Safe-Mode, Register Globals und Open-Basedir ist überall wieder dicht. In der Nacht nach der Reconnectierung sind wieder ein paar wirre Ordner aufgetaucht, die konnte ich aber gleich terminieren. Seitdem nun alles wieder zu ist, hat sich nichts mehr getan, mein /tmp bleibt leer. Auch seltsame Dienste oder übermäßiger Traffic ist bislang nicht zu verzeichnen. Ich werde die Tage noch ein bischen basteln, z.B. einen rsync Server <=> Heimserver aller relevanten Ordner stündlichen anstoßen, und die Änderungen jeweils als Email schicken lassen. Dann habe ich zum einen ein aktuelles Backup, zum anderen sehe ich gleich, wenn sich was komisches ereignet.

Vielen Dank für die ganzen Hinweise und Bemühungen! Auch für den via PN angebotenen Backupspace!
Wenn jemand mal für einen ReInstall schnell was zwischenlagern muß - bescheid geben!

Grüße!
 
Hast Du mal geschaut, wo die "wirren Ordner" herkamen?

Ich habe begonnen, die Logfiles zu durchforsten, aber noch nichts greifbares entdeckt. Problem ist, das ein SysCP-Account von einem Bekannten verwendet wurde, der da ein vBulleting mit 12.000 Hacks und Addons installiert hat. Dazu noch ein Gästebuch, was ich aber erst mal weggenommen habe. Dieser Bekannte ist vor 2 Monaten gestorben, und ich habe Ihm versprochen, sein Forum am Leben zu erhalten. Jetzt muß ich mich da Stück für Stück reinwursteln, aber immerhin läuft jetzt alles trotz aktiverten Sicherheitsfunktionen :)
 
Sehr ehrenwert, deshalb lasse ich die allgemeinen Sicherheitsbelehrungen.

Schau Dir doch mal mod_security an.
 
Das werde ich tun, danke!
Ja, die Situation ist echt doof. Ich kenne meine Foren bis in den letzten Winkel, und habe dort nichts "zweifelhaftes" installiert. Beim vB ist das anders. Einfach offline nehmen kann ich es nicht, das war ein Versprechen am berühmten Bett.
War schon am überlegen, das Forum bei mir daheim vorübergehend zu hosten (1MBit upstream), bis ich die Lücke gefunden habe. Das ändert zwar nichts an der Gefahr, aber immerhin kann S4Y dann nicht die ganze Kiste offline nehmen :rolleyes:
 
Back
Top