hab mal eine Frage an euch. Nutze Server von S4you, auf meinem V-Server habe ich meine ganzen Web liegen und habe das Problem seit Tagen das ich auf einem Web eCommerce Shop einsetzte irgendwie gelingt es dort einem immer wieder ein Script drauf zu schieben ( PHP Shell ©2004 ) womit er mir den ganzen Server auslesen kann, und mir daten auf den Server schiebt dir mir den Server anscheind auslesen und vorallem meine Cpu hochschrauben..was kann ich tun dagegen?? Ich finde zwar immer die Stelle per loggdatei wo er es probert aber finde nicht die stelle wo er es raufschiebt..wo finde ich den teil wo er zugang bekommt um die Datei raufzuladen oder wie kann ich dies verhindern? danke fuer feedback
Scriptschutz was kann ich tun?
- Thread starter bse-sucht
- Start date
Zunächst den Server neu aufsetzen!!
Wenn er einmal auf deinen Server gekommen ist, so wird er wahrscheinlich auch eine Hintertüt ringebaut haben. Ohne komplette Neuinstallation würde ich an dem Server nichts mehr machen.
Nachdem das aktuelle OS aufgespielt wurde, müssen ein paar Sicherheitsmaßnahmen gemacht werden. Gut zum Anfang ist erstmal ein Update (Suse: yast, Debian apt-get)
Danach entweder ein neues Shopsystem suchen, das aktuelle System updaten oder mit verschiedenen Gegenmaßnahmen arbeiten. Sehr gut für sowas ist z.B. die Benutzung des Apache mod mod_security (http://www.modsecurity.org/) oder zu Verhindern, dass Dateien in deiner /tmp - Partition ausgeführt werden können (Beispiel hier: http://www.rootforum.de/forum/viewtopic.php?p=245472)
Hoffe damit ein wenig geholfen zu haben
Wenn er einmal auf deinen Server gekommen ist, so wird er wahrscheinlich auch eine Hintertüt ringebaut haben. Ohne komplette Neuinstallation würde ich an dem Server nichts mehr machen.
Nachdem das aktuelle OS aufgespielt wurde, müssen ein paar Sicherheitsmaßnahmen gemacht werden. Gut zum Anfang ist erstmal ein Update (Suse: yast, Debian apt-get)
Danach entweder ein neues Shopsystem suchen, das aktuelle System updaten oder mit verschiedenen Gegenmaßnahmen arbeiten. Sehr gut für sowas ist z.B. die Benutzung des Apache mod mod_security (http://www.modsecurity.org/) oder zu Verhindern, dass Dateien in deiner /tmp - Partition ausgeführt werden können (Beispiel hier: http://www.rootforum.de/forum/viewtopic.php?p=245472)
Hoffe damit ein wenig geholfen zu haben
tty0
Registered User
Wie schon gesagt: System kompromittiert. Komplette Neuinstallation. Dennoch soltlest du die Logs sichern und diese durchwühlen, dann entdeckst du genau durch welche Hintertür er reingekommen ist und auch evtl. was er alles gemacht hat. Denke ja nicht dass er noch andere Sicherheitslücken ausgenutzt hat und so hat er halt *nur* Apache Rechte außer du verwendeste SuExec etc und deine Skripte gehören root, dann hast du wirklich ein Problem 
Gruß,
Thilo
Gruß,
Thilo
Apache mittels suexec
Hallo
die goldene Regel ist ist grundsätzlich keinerlei Skriptsrpachen (perl,ruby,php,phyton etc.) unter der Nutzer-ID und Gruppen-ID des Webservers ausführen zu lassen.Dafür ist z.B. das suexec Tool gut zu gebrauchen.Eine Ausführliche Anleitung findet man unter :http://httpd.apache.org/docs/suexec.html.Dies setzt allerding ein elementares Verständniss von Nutzerrechten und Gruppenrechten in einem Linux/Unix System vorraus .Damit lassen sich im Endeffekt die Rechte die ein Skript für die Ausführung benötigt auf 0640 (User=read,write,group=read und other = nichts) herunterbrechen.
Eine gute Einführung in die Thematik findet ihr unter :
http://archiv.tu-chemnitz.de/pub/2004/0089/data/SecureWebserver.pdf
Hallo
die goldene Regel ist ist grundsätzlich keinerlei Skriptsrpachen (perl,ruby,php,phyton etc.) unter der Nutzer-ID und Gruppen-ID des Webservers ausführen zu lassen.Dafür ist z.B. das suexec Tool gut zu gebrauchen.Eine Ausführliche Anleitung findet man unter :http://httpd.apache.org/docs/suexec.html.Dies setzt allerding ein elementares Verständniss von Nutzerrechten und Gruppenrechten in einem Linux/Unix System vorraus .Damit lassen sich im Endeffekt die Rechte die ein Skript für die Ausführung benötigt auf 0640 (User=read,write,group=read und other = nichts) herunterbrechen.
Eine gute Einführung in die Thematik findet ihr unter :
http://archiv.tu-chemnitz.de/pub/2004/0089/data/SecureWebserver.pdf
effect-energy
Registered User
***mal ne Frage dazu stellt***
<offtopic>
Wie behandelt Plesk dieses Thema?
</offtopic>
<offtopic>
tty0 said:...außer du verwendeste SuExec etc und deine Skripte gehören root, dann hast du wirklich ein Problem
Wie behandelt Plesk dieses Thema?
</offtopic>