Wurde gehackt :-(

[nolimitek]

Bei mir wurde in den ordner /home/ftp eine datei namens bebe.php hochgeladen
ka wie

Die Datei bebe.php hab ich mal hier angehängt als zip

folgendes konnte ich aus der access.log entnehmen:

87.11.235.118 - - [05/Jul/2007:03:29:40 +0200] "GET /~ftp/bebe.php?&s=r& HTTP/1.1" 200 5484 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; .NET CLR 3.0.04506)" "-"
87.11.235.118 - - [05/Jul/2007:03:29:41 +0200] "GET /favicon.ico HTTP/1.1" 404 287 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; .NET CLR 3.0.04506)" "-"
87.11.235.118 - - [05/Jul/2007:03:29:43 +0200] "GET /~ftp/bebe.php?&s=r&cmd=con HTTP/1.1" 200 5746 "http://84.16.230.204/~ftp/bebe.php?&s=r&" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; .NET CLR 3.0.04506)" "-"
87.11.235.118 - - [05/Jul/2007:03:29:46 +0200] "POST /~ftp/bebe.php?&s=r& HTTP/1.1" 200 6017 "http://84.16.230.204/~ftp/bebe.php?&s=r&cmd=con" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; .NET CLR 3.0.04506)" "-"
87.11.235.118 - - [05/Jul/2007:03:30:04 +0200] "POST /~ftp/bebe.php?&s=r& HTTP/1.1" 200 6128 "http://84.16.230.204/~ftp/bebe.php?&s=r&" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; .NET CLR 3.0.04506)" "-"
87.11.235.118 - - [05/Jul/2007:03:30:12 +0200] "POST /~ftp/bebe.php?&s=r& HTTP/1.1" 200 6278 "http://84.16.230.204/~ftp/bebe.php?&s=r&" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; .NET CLR 3.0.04506)" "-"

Was tun. Den guten rooti neu aufsetzen (heul) oder was meint ihr ?

inhalt der datei bebe.php ist folgender

 

[Darkdream]

Das PHP File ist eine PHP Shell, da du absolut nicht weißt, was der Angreifer mit deinem Server gemacht hat, solltest du deine Daten sichern und deinen Server neu aufsetzen. Selbstverständlich musst du herausfinden, wo die Lücke war und diese schließen, sonst hat gleich wieder der nächste Zugriff auf deinen Server.

 

[SyZyGy]

* PHP Shell by PetriHacK *
* This script will allow you to browse webservers etc... *
* Just copy the file to your directory and open it in your Internet Browser. *
* *
* The webserver should support PHP... *
* *
* You can modify the script if you want, but please send me a copy to: *
* PetriHacK@yahoo.com *
*****************************************************************************************

jo er "könnte" damit alles machen
Kam so wies aussieht über ein nicht sicheres CMS oder Forum rein... ich würd sagen neu aufsetzen weil du nicht ausschließen kannst was der noch so alles installiert hat bei dir!

mfg

 

[Darkdream]

Sry 4 OT, aber: Täusche ich mich, oder hab ich nicht einen Post zuvor genau das Gleiche geschrieben?

 

[SyZyGy]

fasst das gleiche, was bringts wenn er ihn neu aufsetzt und das gleiche cms mit der gleichen lücke nochmal installiert? erstma fehler suchen? ansonsten wars das gleiche tut mir ja leid...

grüße

 

[mic]

Hallo

Kam so wies aussieht über ein nicht sicheres CMS oder Forum rein

Wenn du deine Glaskugel grad nicht brauchst, könnest du sie mir dann ausleihen?

Gruß

mic

 

[Fisherman]

Meine Glaskugel tippt auf seinen Proftpd, und das er in seinen TMP ordner mehr sachen findet ..


und das er sich auf seinen FTP mit
Login: ftp
pw:!
einloggen kann

 

[marneus]

Nope, kann man net

 

[SyZyGy]

get und post und so sagt meine glaskugel

 

[wunix]

bebe.php und proftpd

Hallo,

es sieht mir so aus, als ob ein “offener” Proftpd einsetzt wird.
Frage: Hast Du auf Deinem Server SYSCP installiert ?!

Wen ja, dann ist in Deiner proftpd.conf ganz sicher ein Eintrag in der Art:

SQLAuthTypes Crypt Plaintext

Sollte das so sein, dann nimm ganz schnell den String “Plaintext” aus der Zeile und restarte den Proftpd neu.

Alle User die nicht in der SQL-DB angelegt sind und auch NICHT in der /etc/ftpusers eingetragen sind (so zb. www-data und ftp) sind “offen”.

D.h. man kann sich mit ftp und PW: ! anmelden (analog für www-data und PW: *). Das “!” steht in Deiner /etc/shadow und wird aufgrund des “Plaintext” eben als solches vom Proftpd akzeptiert. Ausserdem ist der Apache nicht dicht, er erlaubt den Zugriff auf die public_html Verzeichnisse der lokalen Userdirs. Apache-Module Mod_userdir muss entladen werden.

Grüsse,

Andreas

 

[Sturmnacht]

Der hat das über FTP hochgeladen, ich kenn die hackmethode..

Hauptziel sind anonyme FTP server von IIS, die ASP oder PHP untersützen.

Nix für ungut, das is aber hauptsächlich für windows

 

[blupp1]

Find ich auch so kacke, bei Windows, also IIS ist anonymus FTP Standardmäßig aktiviert.

 

[DarkAngel]

bei Windows, also IIS ist anonymus FTP Standardmäßig aktiviert.

Und ein guter Windows Admin sollte das wissen und es ändern. Oder halt die Rechte für die Ordner richtig setzen damit schreiben nicht geht.

 

[blupp1]

Ein guter Winserver Admin, benutz Filezilla Server

 

[V40]

Hallo,

1. Wurde das Thema mit dem FTP schon geklärt, das war/ist nicht das Problem!
(Kann man, wenn man kann, oben nach lesen)

2. Ist der Thread nun einen Monat nicht mehr bearbeitet worden, also kann man wohl davon ausgehen das der Hilfesuchende keine Hilfe mehr sucht.

Noch Fragen?

Nein?

Fein.

 

[roger_]

Hallo!

Habe anscheinend das gleiche Problem.
(home/ftp/public_html/bebe.php) wurde beim Download als Backdoor.Trjan erkannt.
Betreibe einen dedizierten Server (Debian Linux mit SysCP) mit einem phpbb2-Forum.

Jemand eventuell eine Idee was zu machen ist?

Grüße,
Roger

P.S.:

Kann, bzw. soll ich den Code von der bebe.php hier posten?

<?php 

/* 
***************************************************************************************** 
* PHPSHELL.PHP Editado Junio th 2005 * 
***************************************************************************************** 
* * 
* PHP Shell by PetriHacK * 
* This script will allow you to browse webservers etc... * 
* Just copy the file to your directory and open it in your Internet Browser. * 
* * 
* The webserver should support PHP... * 
* * 
* You can modify the script if you want, but please send me a copy to: * 
* [email]PetriHacK@yahoo.com[/email] * 
***************************************************************************************** 

!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 
!! PLEASE NOTE: You should use this script at own risk, it should do damage to the !! 
!! Sites or even the server... You are responsible for your own deeds. !! 
!! The admin of your webserver should always know you are using this !! 
!! script. !! 
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 
*/ 


/*Setting some envirionment variables...*/ 

/* I added this to ensure the script will run correctly... 
Please enter the Script's filename in this variable. */ 
$SFileName=$PHP_SELF;

usw.

 

[Briese]

Jemand eventuell eine Idee was zu machen ist?

Jo, Server neu aufsetzen !

 

[roger_]

Jo, Server neu aufsetzen !

Hi!
Die Frage die sich dabei für mich stellt:

Wie kam der rein, bzw. selbst wenn man den Server neu aufsetzt, ist der Hacker morgen nicht schon wieder da?

Grüße,
Roger

 

[Firewire2002]

Betreibe einen dedizierten Server (Debian Linux mit SysCP) mit einem phpbb2-Forum.

Damit dürfte wohl klar sein, worüber er reingekommen ist.
phpBB2 ist bekannt dafür, dass da öfter mal größere Löcher auftauchen. Da solltest schon schnell hinterher sein mit Bugs fixen, bzw. Patchs einspielen.

Genaueres sagen dir aber deine Logs, sofern (noch) vorhanden.

 

[roger_]

Damit dürfte wohl klar sein, worüber er reingekommen ist

Hi!
Halte ich für denkbar unwahrscheinlich, da:

1. Neuste Version von phpBB2
2. Befindet sich die Datei auf dem Server selbst, die normalerweise nur per SSH-Shell zu erreichen ist.
(oder über WinSCP)

Grüße,
Roger