Server wurde gehackt

D

dslthomas

Member
Ich habe nen riesiges Problem. Ich habe einen Dedizierten Webserver. Vor einigen Tagen waren alle URLs die auf diesem Server liegen auf eine andere URL geleitet die von der wiederum ein Virus zum Download angeboten wurde. Nach einigem "basteln" dachte ich dass ich das ganze in den Griff bekommen hätte, denn letztliech lief wieder alles wie gewohnt. Nun habe gestern abend das gleiche Problem gehabt. Hier nun mal einige Fragen dazu:

1.) gibt es eine Möglichkeit sich mit einem Befehl via SSH alle am z.b 03.10.2007 geänderten Dateien auflisten zu lassen?

2.) ich habe rootkithunter installiert der mich auch täglich über den Status informiert. - gibt es noch andere Tools die den Server eventuell etwas ausführlicher und nicht nur auf rootkits untersucht?

3.) der Server läuft mit Confixx Prof. und Suse 10 inkl. aller Updates. - wo könnte eine solche URL-Umleitung hinterlegt sein? Ich habe nichts gefunden. Ich habe in der vhost.conf von Confixx nachgeschaut und in der httpd.conf. php.ini etc auch kein entsprechender Eintrag. Das komische - nach einem Serverneustart ist alles wieder wie aus Zauberhand weg!? Natürlich werde ich den Server neu installieren - allerdings würde ich schon gern wissen wie und auf welchem Weg dieser Angriff kam.

4.) ist es ratsam auf php5 upzudaten? Werden dann zum Beispiel Joomla weiterhin laufen oder sind dann umfangreiche Änderungen notwendig?

Danke
 
Zu 4: Ja meiner Meinung nach schon. In PHP5 wurden viele Sicherheitslücken gestopft!
Zum Thema Joomla. Ich habe mich nur kurze Zeit damit beschäftigt aber so weit ich weiss ist es von Sicherheitslücken nur so bestückt! Würde daher mal in betracht ziehen ein anderes CMS zu verwenden. Kannst mir ja mal ne PM schicken für was für Zwecke du das CMS brauchst, dann kann ich dir ja welche empfehlen.

mfg
 
MOD: Full-Quote entfernt!
Danke für Deine Antwort. Leider ist es nicht möglich das CMS zu wechseln. Ich habe einen Server auf dem einige Leute (6) jeweils mit Joomla arbeiten. Das sind alles bekannte die den Server mitfinanzieren sodass es auf eine Kostendeckung hinaus läuft. Alles zu überzeugen auf Joomla zu verzichten ist leider nicht möglich. Letztlich gibt es kein Sicheres CMS.

Zum PHP5 Update: gibt es dafür ne Anleitung für Suse 10? Werden "handelsübliche" Scripte darunter dann auch weiterhin laufen?
 
Last edited by a moderator:
ad 1)
Code: 
touch -t 200710030000 /tmp/referenzzeit
find / -cnewer /tmp/referenzzeit
... aber wenn ich auf einem System-Dateien austauschen würde, würde ich dafür sorgen, dass die ctime mit den restlichen Dateien des Systems zusammen passt...

Viele Grüße,
LinuxAdmin
 
dslthomas said:
1.) gibt es eine Möglichkeit sich mit einem Befehl via SSH alle am z.b 03.10.2007 geänderten Dateien auflisten zu lassen?
Click to expand...

Gegen PHP-Lücken in Skripten wie Joomla, phpNuke und anderen wirst Du sicherlich nichts finden.

Über Server-Sicherheit werden ganze Bücher geschrieben und eine Universal-Lösung gibt es IMHO nicht.

Du solltest Dich auf jeden Fall gegen Injections (zum Beispiel Mail-Injection) absichern.

Außerdem den Root-Zugriff von Außen abschalten und dazu mit Iptables oder einem anderen Paketfilter (unter Plesk mit "Firewall" bezeichnet) den Zugriff von SSH und FTP begrenzen.

Ich habe zum Beispiel meinen Zugriff auf die IP-Adressen von
- Netcologne
- Arcor
begrenzt.

Leute aus anderen Netzen kommen auf meinen Dedizierten Server nicht drauf. Dazu kann man noch zusätzlich alle Clients mit Public- und Private-Key austatten und sonst den SSH-Zugriff gänzlich verbieten.

Seit dieser Maßnahme sind Brute-Force-Angriffe auf meinen FTP-Server gänzlich aus den Logfiles verschwunden.

Das ist (wie gesagt) nur ein Bruchteil der Maßnahmen, um seinen Server zu schützen.

Gruß
Claus
 
Die von ClausVB vorgestellten Maßnahmen sind auf jeden Fall ein sehr guter Anfang!

Beim Einsatz von OpenSource Content Management Systemen ist auch der Einsatz von mod_security eine unerlässliche Sache.
 
Hast du nen Strato Server?
Haben andere Benutzer die Möglichkeit Scripte auszuführen? (z.B php code)
 
Hallo,

problem ist doch immer wieder das Addons nicht definierte Variabeln haben

PHP: 
include( "$mosConfig/components/show/about.html" );

ist diese nicht definiert bekomme ich Access auf das System, genauso schlimm ist aber das 50 % Ihr Confixx auch nicht gefixt haben.

Mod_Security angepasst auf deine Software auf deinem Server wäre bestimmt von Vorteil. SQL und FileRemote



Kannst mir gerne via PN mal deine Server Adresse geben :) , dann kann man ja mal drauf unverbindlich drauf kucken.

mfg
the_condor
 
Last edited by a moderator:
You must log in or register to reply here.
Back
Top