Wurde gehackt :-(

[LinuxAdmin]

1. Neuste Version von phpBB2

Auch die vor-vorletzte Version war mal die neueste Version und auch in der wurde irgendwann Lücken gefunden. Es gibt keine völlig fehlerfreie Software! Und wenn die Cracker besser im Lückenfinden sind als die Programmierer, merkst Du das irgendwann als Serverbetreiber....

2. Befindet sich die Datei auf dem Server selbst, die normalerweise nur per SSH-Shell zu erreichen ist. (oder über WinSCP)

Das ist ja der Witz an einem Exploit, dass man damit auch ohne ssh Code auf Deinen Server transferieren und diesen anschließend ausführen kann (um dann ggfs. Exploits für Sicherheitslücken auszunutzen, die nur durch lokale Benutzer ausgeführt werden können -- teilweise kann man auf gewissen "Märkten" Exploits für Sicherheitslücken kaufen, die bisher der Allgemeinheit, bzw. den Entwicklern unbekannt waren).

Das ist halt die traurige Wahrheit.
LinuxAdmin

 

[roger_]

Tja - und was jetzt?

Vielleicht kam der Hacker ja übers Forum rein, vielleicht aber auch nicht.
Mehrere andere php- Systeme laufen zusätzlich auf dem Server, so z.B. ein phpBB3-Testforum, dann ein Blog-System (WordPress ), zig HTML-Seiten, etc.

Bisher läuft aber noch alles, also wozu überhaupt was machen?

Grüße,
Roger

 

[Briese]

Bisher läuft aber noch alles, also wozu überhaupt was machen?

Sorry, sowas sollte man bestrafen !

Da Du ja Admin des Servers bist, wirst Du dich sicherlich an den "Logfiles" ran machen und schauen wo was passiert ist !

Wenn Du der Meinung bist:

Bisher läuft aber noch alles, also wozu überhaupt was machen?

Warum Postest Du dann hier ?

P.s.
Boa @Thorsten, lass mich zum Mod hier werden und sowas bekommt ne Abmahnung !

 

[roger_]

Warum Postest Du dann hier ?

Weil ich hier einen User gefunden hatte mit dem gleichen Problem, bzw. weil ich was über proftpd.conf im Zusammenhang mit SysCP gelesen hatte, was mich natürlich ansprach.

Aber was soll ich Deiner Meinung nach machen?
(Logs hatte ich erst kürzlich gelöscht)
Zig Systeme laufen auf dem Server. Vielleicht sind es überhaupt nicht die Systeme, sondern eventuell eine falsche Konfiguration des Servers!?
Tja...

Was nützt es wenn man alles neu aufsetzt - (man benötigt dazu viele Tage), wenn ich später eventuell vor dem gleichen Problem stehe?


Grüße,
Roger

 

[Firewire2002]

Wenn du selbst aktuelle Logs löschst, ist dir nicht mehr zu helfen.
Sorry, aber so dämlich kann doch echt kein Admin sein.
Schonmal was von Logrotate gehört?

Du hast dem "Eindringling" das Leben nun verdammt einfach gemacht.
Was willst du nun von uns hören?
Das einfachste Mittel dir zu helfen hast du gelöscht und ein "ls -l -R /" wird sich hier keiner antun.

Und ja, natürlich läuft noch alles. Wäre von dem "Eindringling" auch äusserst unklug deine Dienste lahmzulegen. Viel sinniger ist es seine Dienste unter deinen zu verstecken.
Primitiv ausgedrückt, ja da läuft alles, und wahrscheinlich sogar ein bisschen mehr als nur alles.

Ob das phpBB nun daran schuld war/ist oder nicht, sei erstmal dahin gestellt, das war eine reine Vermutun von mir, welche wohl sehr Nahe liegt.
Kann eben so gut ein anderes CMS/Forensystem oder sonstwas sein.

Edit:
Wenn ein Neuaufsetzen des Servers mehrere Tage dauert, hast du´s wohl noch nicht häufig genug gemacht. Ein Grund mehr das mal wieder zu üben.

 

[Darkdream]

Zunächst musst die die Lücke einmal finden und schließen.

Was nützt es wenn man alles neu aufsetzt - (man benötigt dazu viele Tage), wenn ich später eventuell vor dem gleichen Problem stehe?

GENAU DESWEGEN musst du die Lücke finden, dann kannst du dein System neu aufsetzen. Dann kann der Cracker nicht mehr durch die gleiche Lücke ins System kommen. Wenn du das nicht machen willst, dann ist dir nicht mehr zu helfen! Neu aufsetzen musst du deswegen, weil wer weiß was der Eindringling noch so alles in deinem System versteckt hat. 100%ig sauber wird dein System nur, wenn du neu aufsetzt und die Lücke schließt.

EDIT: Achja, Firewire2002 war wieder einmal ein wenig schneller....

 

[roger_]

Frage: Hast Du auf Deinem Server SYSCP installiert ?!

Wen ja, dann ist in Deiner proftpd.conf ganz sicher ein Eintrag in der Art:

SQLAuthTypes Crypt Plaintext

Sollte das so sein, dann nimm ganz schnell den String “Plaintext” aus der Zeile und restarte den Proftpd neu.

Das scheint die Antwort, des Rätsels Lösung zu sein zu sein!
Danke für die zahlreichen Antworten!


Grüße,
Roger

 

[roger_]

per Putty einloggen, dann:

nano -w /etc/proftpd.conf

folgende Zeile suchen:
SQLAuthTypes Crypt Plaintext

und anpassen:
SQLAuthTypes Crypt

STRG + X
mit Y bestätigen und Enter
Datei ist nun gespeichert.

Danach proftpd neu starten:
/etc/init.d/proftpd restart

Danach ist dann per FTP kein Login mehr möglich mit

Benutzer: ftp
Passwort: !

Wenn das mit dem proftpd soweit behoben wurde:
User-Dir prüfen des Users: "ftp"

/home/ftp

normalerweile liegt darin ein "public_html". Dieses Verzeichnis bewirkt
das die darin enthaltenen Inhalte per Mod_Userdir über HTTP erreicht
werden können:
d.h. http://IP/~ftp

Das Verzeichnis /home/ftp leeren, falls darin Daten
enthalten sind.

 

[roger_]

Logs waren doch noch vorhanden.
(zumindest diese hier)
welche wäre noch von Bedeutung?

Sat Sep 29 12:35:15 2007 1 host38-86-dynamic.19-79-r.retail.telecomitalia.it 38317 /home/ftp/public_html/bebe.php b _ i r ftp ftp 1 * c



Grüße,
Roger

 

[LinuxAdmin]

Gut, jetzt musst Du nur noch rausfinden, was der Eindringling mit dem Script für Schäden angerichtet hat und ob dadurch weitere Komponenten in Deinem System kompromittiert wurden (Stichwort "rootkit"). Je nachdem sind solche Sachen nur schwer zu finden, falls entsprechende Programme auf Deinem Rechner ausgetauscht wurden.

Viele Grüße,
LinuxAdmin

 

[roger_]

@ LinuxAdmin: OK, Danke Dir!
Hier mal die access.log.8:

79.19.86.38 - - [29/Sep/2007:12:35:23 +0200] "GET /~ftp/bebe.php?&s=r& HTTP/1.1" 200 5484 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; .NET CLR 3.0.04506)" "-"
79.19.86.38 - - [29/Sep/2007:12:35:23 +0200] "GET /favicon.ico HTTP/1.1" 404 288 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; .NET CLR 3.0.04506)" "-"
79.19.86.38 - - [29/Sep/2007:12:35:23 +0200] "GET /favicon.ico HTTP/1.1" 404 288 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; .NET CLR 3.0.04506)" "-"
79.19.86.38 - - [29/Sep/2007:12:35:24 +0200] "GET /~ftp/bebe.php?&s=r&cmd=con HTTP/1.1" 200 5746 "http://217.20.***.***/~ftp/bebe.php?&s=r&" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; .NET CLR 3.0.04506)" "-"
79.19.86.38 - - [29/Sep/2007:12:35:26 +0200] "POST /~ftp/bebe.php?&s=r& HTTP/1.1" 200 6019 "http://217.20.***.***/~ftp/bebe.php?&s=r&cmd=con" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; .NET CLR 3.0.04506)" "-"
79.19.86.38 - - [29/Sep/2007:12:35:53 +0200] "POST /~ftp/bebe.php?&s=r& HTTP/1.1" 200 6329 "http://217.20.***.***/~ftp/bebe.php?&s=r&" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; .NET CLR 3.0.04506)" "-"
79.19.86.38 - - [29/Sep/2007:12:36:06 +0200] "POST /~ftp/bebe.php?&s=r& HTTP/1.1" 200 6028 "http://217.20.***.***/~ftp/bebe.php?&s=r&" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; .NET CLR 3.0.04506)" "-"

 

[roger_]

Was meint Ihr - soll ich Anzeige erstatten, bringt das was?
(sieht nicht aus wie ein anonymer Proxy)

WHOIS - 79.19.86.38

MOD: Whois Daten gelöscht. Bitte die AGB von RIPE lesen!

Except for agreed Internet operational purposes, no part of this publication may be reproduced, stored in a retrieval system, or transmitted, in any form or by any means, electronic, mechanical, recording, or otherwise, without prior permission of the RIPE NCC on behalf of the copyright holders.

 

[chris085]

Ich hab mir spaßhalber das phpscript auf meinen testwebserver geuppt und versucht daten zu manipulieren oder passwörter auszulesen.

Ich weiss nicht inwiefern dein apache Rechte besitzt, aber ich konnte nichts wichtiges auslesen.

/tmp dir konnte er schreiben, kann jeder webserver.

Also von diesem Statement, würde ich meine lokalen mysql, root, confixx, plesk .... Kennwörter ändern und wenn du nicht frisch installieren willst abwarten.

!Wichtig logs beobachten!
/tmp dir auf jeden fall löschen.

Natürlich ist das nicht der idealfall da geb ich Firewire2002 recht.
Aber es kann jedem xy Webhoster passieren das Kunden dieses script uppen, von daher......


Zur Ursache, hast dir schonmal gedanken das der php script von einem user oder von dir kommt.
Wer hat noch zugriff ?
Was hast du in letzter Zeit geuppt ?

 

[roger_]

Hi blaich!

Hatte heute ein Telefonat mit meinem Provider /Hoster. Der sagte das gleiche wie Du. Es war eine Sicherheitslücke im SysCP (proftpd.conf) die bereits geschlossen wurde.
siehe dazu: Seite 2

Danke Dir für Deine Mühe!


Grüße,
Roger

 

[roger_]

daemon.log /var/log


Nov 24 14:07:23 217-20-***-*** proftpd[7767]: 217-20-***-***.internetserviceteam.com (host82-211-static.33-85-b.business.telecomitalia.it[85.33.211.82]) - FTP session opened.
Nov 24 14:07:23 217-20-***-*** proftpd[7767]: 217-20-***-***.internetserviceteam.com (host82-211-static.33-85-b.business.telecomitalia.it[85.33.211.82]) - FTP session closed.

Whois: 85.33.211.82

 

[roger_]

Da man sie quasi bis vor "ihre Haustür" zurückverfolgen kann, gehe ich von Jungendlichen /Kindern (Script Kiddies) aus, nicht zuletzt schadet man nur den ärmsten der Armen mit so einem Verhalten, denn genau jenen, die eh schon kaum jemanden haben, oft in Tötungsstationen verweilen.



LG,
Roger

 

[Firewire2002]

Sorry, aber irgendwie versteh ich den Sinn des Satzes nicht.

 

[roger_]

Sorry, aber irgendwie versteh ich den Sinn des Satzes nicht.

Wir sind nichts weiter wie ein Tierschutz- Pflegestellennetzwerk für Galgos, Greyhounds, Podencos, etc. in Not.
Wenn wir ausfallen, kostet das den Tieren in Spanien und an anderen Stellen u. U. das Leben.

LG,
Roger

P.S.: Es gibt bei uns nur Arbeit, Kosten und Ärger zu ernten.

That’s all...

 

[roger_]

Was ich damit nur sagen wollte:

Kein Profi, kein halbwegs "normaler Mensch" würde sich an einer Tierschutz- Windhundplattform vergreifen wollen, wo es ausschließlich nur um Tierschutzbelange geht.
Man wird bei Usern, die was von Serverkonfigurationen /Hacking verstehen, vermutlich nur Gelächter & Missachtung ernten. Deshalb ja auch meine Vermutung bezüglich der Kinder /Jungendliche. (Script Kiddies)


LG,
Roger

 

[Firewire2002]

Damit liegst du leider vollkommen falsch.
Dein Server war kein Opfer eines gezielten Angriffes gegen dich, sondern jediglich ein Opfer von vielen, die dem "Massen-Hacking" verfallen sind.
Ziel ist es dabei nicht dir zu schädigen (Was in rechtlicher hinsicht jedoch trotzdem getan wird), sondern dein Server für Ihre Zwecke zu missbrauchen.
Meistens für Spammails, Warez-Verbreitung oder als Zombi zum hacken weiterer Server.

Dabei ist es vollkommen egal was auf dem Server läuft und es ist dabei auch egal ob das Teil einer Regierung eines Landes gehört oder einem Tierschutzverein.