Ergebnis 1 bis 15 von 15
  1. #1
    Mitglied Avatar von Spooner
    Registriert seit
    Jan 2004
    Ort
    im Keller
    Beiträge
    1.549
    Danksagungen
    426

    Standard Angriff auf Server von meinem Webspace !

    Hallo,

    heute erhielt ich eine e-Mail von meinem Webspaceprovider mit folgender Narchicht.

    Sehr geehrter Herr xxxx,

    wir registrierten vor kurzem einen Crackversuch auf unseren Servern, der
    von Ihrer Präsenz ausging. Der Angreifer versuchte, sich durch
    Sicherheitslücken in den von Ihnen verwendeten Scripten Zugriff zum
    Server zu verschaffen. Es ist davon auszugehen, dass der Angreifer
    Zugriff auf Ihre Daten erhalten konnte.

    Bitte prüfen Sie die Inhalte Ihrer Präsenz und ändern Sie Ihre
    Passwörter. Wir empfehlen Ihnen, schnellstmöglich Ihre Scripte zu
    überarbeiten, um solche Probleme so weit wie möglich auszuschliessen.

    Es handelt sich um das Script "index.php", welches anscheinend das
    Hochladen beliebiger Scripte erlaubt:

    84.164.xxx.xxx - - [12/Apr/2007:02:29:55 +0200] "POST
    /index.php?site=files&action=save HTTP/1.1" 200 30001
    mein.domain-name.de
    "http://mein.domain-name.de/index.php?site=files&action=newfi
    le" "Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.8.1.3)
    Gecko/20070309 Firefox/2.0.0.3" "-"
    84.164.xxx.xxx - - [12/Apr/2007:02:34:08 +0200] "POST
    /downloads/db_found.php?act=ls&d=%2Fhomepages%2F7%2Fd96489033%2Fhtdocs%2
    F.data&sort=0a HTTP/1.1" 200 21540 mein.domain-name.de
    "http://mein.domain-name.de/downloads/db_found.php?act=ls&d=%
    2Fhomepages%2F7%2Fd96489033%2Fhtdocs%2F.data&sort=0a" "Mozilla/5.0
    (Windows; U; Windows NT 5.1; de; rv:1.8.1.3) Gecko/20070309
    Firefox/2.0.0.3" "-"

    Die beteiligten Dateien haben wir vorerst gesperrt.

    Wir empfehlen Ihnen sich regelmäßig über Updates aller installierten
    Software zu informieren, z.B. über entsprechende Announce-Mailinglisten
    oder Foren des Herstellers. Insbesondere gilt dies auch für die
    Komponenten von Drittherstellern der verwendeten Applikationen. Diese
    sind mittlerweile ein gängiges Angriffsziel. Es werden mit Updates
    teilweise auch Lücken geschlossen, die nicht in den Release-Notes der
    Software verzeichnet sind. Verwenden Sie lediglich Programme aus
    vertrauenswürdigen Quellen.

    Falls Sie selbstgeschriebene Scripte einsetzen, dann dürfte folgender
    Artikel ebenfalls von Interesse für Sie sein:
    http://hilfe-center.1und1.de/server/...ecurity/4.html

    --
    Mit freundlichen Grüßen,

    Ingvar Gilbert
    1&1 WebHosting
    Leider wurde ich bis heute noch nie mit solch Situation konfrontiert, weshalb sich mir die Frage stellt, was ich nun zu tun habe. Ansich scheint sich nichts weiter getan zu haben auf meinem Webspace, wobei ich nicht weiß ob nun neue datein hinzu gekommen sind. Wer hat auch schon die anzahl der Daten im Kopf die auf dem Webspace liegen.

    Derzeit ist auf der Domain, von dem der Angriff ausging, Webspell installiert.
    Kann ich einfach die gesperrten Dateien wieder freischalten ? Was soll ich tun ?

    Danke

  2. #2
    Mitglied
    Registriert seit
    Mar 2007
    Beiträge
    2.256
    Danksagungen
    16

    Standard Re: Angriff auf Server von meinem Webspace !

    glaub du hast die nachricht nicht so ganz verstanden:
    in dem skript das auf deinem webspace läuft ist ne sicherheitslücke, durch die jemand möglicherweise zugriff auf den inhalt der datenbank die du verwendest hatte. Gut möglich, dass er also alle dort eingetragenen passwörter hat. Zwar verschlüsselt, aber wofür gibts z.b. milw0rm...
    vor allen dingen hat der angreifer allerdings versucht kontrolle über den server zu erlangen, also guck, dass du das script updatest, sonst kommt in ein paar tagen vlt wieder sone mail von deinem hoster.

  3. #3
    arkelanfall
    Gast

    Standard Re: Angriff auf Server von meinem Webspace !

    Zitat Zitat von Spooner
    Kann ich einfach die gesperrten Dateien wieder freischalten ? Was soll ich tun ?
    Du hast die Mail aber schon gelesen, oder? Das steht doch ganz klar drin, was du tun sollst.
    1. Ändere alle Kennwörter, die du da irgendwo verwendest (ftp, mysql,...)

    2. Stell sicher, dass nichts an deinen Daten veändert wurde (-->Letztes definitiv sauberes Update einspielen (Da die geposteten Meldungen vom 12. sind, würd ich mal so irgendwas zwischen 1.4. und 10.4. wählen)

    3. Die Sicherheitslücke beheben

    DANN, und ERST DANN sollst du die gesperrten Dateien wieder freischalten.

  4. #4
    ex-Moderator Avatar von vmk
    Registriert seit
    Jun 2000
    Ort
    /home/vmk
    Beiträge
    15.321
    Danksagungen
    967

    Standard Re: Angriff auf Server von meinem Webspace !

    Zitat Zitat von Spooner
    wir registrierten vor kurzem einen Crackversuch auf unseren Servern, der
    von Ihrer Präsenz ausging.
    Das heisst, jemand hat deinen Server teilweise oder komplett übernommen. Sprich von deinem Server aus wurden andere Server angegriffen.


    Es handelt sich um das Script "index.php", welches anscheinend das
    Hochladen beliebiger Scripte erlaubt:
    Darf man erfahren woher das Srkipt stammt?

  5. #5
    Mitglied

    (Threadstarter)

    Avatar von Spooner
    Registriert seit
    Jan 2004
    Ort
    im Keller
    Beiträge
    1.549
    Danksagungen
    426

    Standard Re: Angriff auf Server von meinem Webspace !

    Zitat Zitat von vmk
    Das heisst, jemand hat deinen Server teilweise oder komplett übernommen. Sprich von deinem Server aus wurden andere Server angegriffen.

    Darf man erfahren woher das Srkipt stammt?
    Ja darfst du. Es handelt sich hierbei nur um die Index.php von einem Template das von gfxxl.de vor ca 1 Jahr geladen wurde. Ich könnte auch die ganze index.php hochlanden fals euch das weiterhilft.


    Zitat Zitat von arkelanfall
    1. Ändere alle Kennwörter, die du da irgendwo verwendest (ftp, mysql,...)

    2. Stell sicher, dass nichts an deinen Daten veändert wurde (-->Letztes definitiv sauberes Update einspielen (Da die geposteten Meldungen vom 12. sind, würd ich mal so irgendwas zwischen 1.4. und 10.4. wählen)

    3. Die Sicherheitslücke beheben
    1. geändert

    2. letzte daten Änderung bzw Modifikation laut daten auf dem server war 09.12.2006. Die Index.php von der angeblich zugriff erlangt wurde, weisst letzte Änderung am 07.09.2006 auf. Und updates zum nen Simplen Template gibts nicht

    3. Welche Sicherheitslücke beheben die einen nicht bekannt ist. Und wie schon geschrieben ist es ein Simples Template.

    EDIT: Ich sehe gerade das im Admin Ordner vom Template 5 datein am 12.04.2007 geändert oder hinzugefügt wurden. Ob die schon immer da waren und ob die wichtig sind weiss ich jetzt nicht. Sie tragen die namen

    c99sh_backconn.133.pl (diese ist ohne inhalt)
    c99sh_backconn.496.c (diese ist ohne inhalt)
    netcat.1 (inhalt ist nicht zu erkennen)
    netcat (inhalt ist nicht zu erkennen)
    info.php (für mich ne normale php)
    Geändert von Spooner (14. 04. 2007 um 23:06 Uhr)

  6. #6
    Mitglied Avatar von Bestrafer
    Registriert seit
    Dec 2004
    Beiträge
    1.290
    Danksagungen
    1

    Standard Re: Angriff auf Server von meinem Webspace !

    Dein Provider hat dir doch netterweise direkt einen Auszug aus dem Request-Log mitgeschickt wie da mit dem index.php Script Dateien hochgeladen werden koennen.

    Falls du daraus nicht schlau wirst und das Problem beheben kannst musst du dir ein anderes Script suchen was keine derartigen Sicherheitsluecken aufweist.

  7. #7
    Mitglied Avatar von DanielCheef
    Registriert seit
    Apr 2000
    Beiträge
    980
    Danksagungen
    1

    Standard Re: Angriff auf Server von meinem Webspace !

    Zitat Zitat von Spooner
    c99sh_backconn.133.pl (diese ist ohne inhalt)
    c99sh_backconn.496.c (diese ist ohne inhalt)
    netcat.1 (inhalt ist nicht zu erkennen)
    netcat (inhalt ist nicht zu erkennen)
    Anhand dieser Dateien würde ich sagen ist mehr betroffen wie nur dein Webspace, sofern das dein Root-Server war.
    Dass diese ohne Inhalt sind wenn du diese per Browser aufrufst ist klar weil sie wahrscheinlich durch den Admin unschädlich/nicht ausführbar gemacht wurden, schau dir die Dateien mal mit einem FTP-Programm durch dann steht mit Sicherheit was drin.

    Ich denke der Angreifer könnte wesentlich weiter in deinen Server eingestiegen sein wie nur auf den Space.
    Die Scripte ermöglichen je nach PHP-Version eventuell einen Bypass des PHP Safe-Modes und damit Zugriff auf Bereiche des Servers auf welche normale PHP-Scripte nicht dürfen, auslesen der passwd Datei, beliebiges hoch und runterladen von beliebigen Dateien auf deinem Server, manipulationen des Kernels, Port-Öffnungen usw.

    Ein löschen der Dateien wird daher nicht viel bringen sofern der Angreifer schon ins System eingedrungen ist.

    EDIT: Ich sehe gerde es handelt sich wohl um normales Webhosting, daher sollte der Server dagegen abgesichert sein, also musst nur das machen was die anderen schon sagten: altes Backup einspielen, Sicherheitslücken beseitigen und alles unbekannte entfernen.

    Ein paar Fragen weil sie gerade gut zum Thema passen:
    Wie genau erkennt der Admin/Provider so einen Einbruchsversuch schon im vorraus? Was ist dazu nötig? Gibts dazu Programme?
    Tripwire in Verbindung mit Rootkitscannern hilft ja sicherlich schon, aber wie lässt sich das verbessern? Gerade als Webspaceanbieter kann man ja nicht jede Datei der Kunden auf Sicherheitslücken prüfen.
    Geändert von DanielCheef (15. 04. 2007 um 01:43 Uhr)

  8. #8
    Mitglied
    Registriert seit
    Mar 2007
    Beiträge
    2.256
    Danksagungen
    16

    Standard Re: Angriff auf Server von meinem Webspace !

    @DanielCheef

    was heisst im vorraus erkennen, das würd ja nicht viel bringen... besser wärs einfach sowas komplett zu unterbinden.
    safe mode is ja schön und gut, aber man kann in der php.ini regeln, welche befehle nicht ausgeführt werden dürfen. dann versagt auch jede php shell.

  9. #9
    Mitglied Avatar von DanielCheef
    Registriert seit
    Apr 2000
    Beiträge
    980
    Danksagungen
    1

    Standard Re: Angriff auf Server von meinem Webspace !

    Regeln kann man in der php.ini viel, auch das der Safe-Mode aktiv sein soll, deswegen wird das trotzdem mit solchen Tools ausgehebelt, also wird das sperren von Befehlen den gleichen bzw. keinen Schutz bieten. Wenn du sowas unterbinden willst hilft wohl nur PHP ganz abschalten oder jedes PHP-Script 100% absichern, aber wer kann/macht dass schon.

    Wie sich ein Server etwas besser absichern lässt weiß ich (z.b. Tripwire/RootkitCheck und jailing von Diensten), deswegen würde ich trotzdem gerne wissen wie ein Admin einen Einbruchsversuch erkennen kann ohne dass er im Sekundentakt die Logs auf Auffälligkeiten überprüft. Bringen würde das schon etwas: Man kann wie in diesem Fall herausfinden wo die Schwachstellen sind und sofort eingreifen falls etwas schief laufen sollte.

  10. #10
    arkelanfall
    Gast

    Standard Re: Angriff auf Server von meinem Webspace !

    Zitat Zitat von DanielCheef
    Wie sich ein Server etwas besser absichern lässt weiß ich (z.b. Tripwire/RootkitCheck und jailing von Diensten),
    Tripwire bringt dir in dem hier diskutierten Fall aber rein gar nichts. Tripwire sagt dir nur, dass sich eine Datei verändert hat, nicht warum.
    Außerdem geht es den Systemadmin erstmal überhaupt nichts an, wenn sich bei einem der Nutzer etwas im htdocs-Verzeichnis ändert.

    Wenn sich Tripwire meldet, dann hat das Sicherheitskonzept versagt.

    deswegen würde ich trotzdem gerne wissen wie ein Admin einen Einbruchsversuch erkennen kann ohne dass er im Sekundentakt die Logs auf Auffälligkeiten überprüft.
    1) Snort. Wobei es durchaus einige Tage bis Wochen dauern kann, bis die Snortregeln an den gewünschten Einsatzzweck angepasst sind.

    2) Logwatch, das einmal / Tag eine schöne Zusammenfassung der Auffälligkeiten generiert. Wie bei Snort muss es natürlich auf die eigenen Bedürfnisse optimiert werden.
    Eventuell auch wirklich kritische Fehlermeldungen sofort weiterleiten (E-Mail, Jabber, SMS,...)

    3) Sicherheitserweiterungen wie AppArmor bei Suse helfen je nach Einsatzszenario auch deutlich weiter.

  11. #11
    ex-Moderator Avatar von vmk
    Registriert seit
    Jun 2000
    Ort
    /home/vmk
    Beiträge
    15.321
    Danksagungen
    967

    Standard Re: Angriff auf Server von meinem Webspace !

    Zitat Zitat von DanielCheef
    Wie sich ein Server etwas besser absichern lässt weiß ich (z.b. Tripwire/RootkitCheck und jailing von Diensten)
    Das ist wie bei ABS oder ein Virenscnaner: Wenn es aktiv wird, dann wurden schon Fehler begangen. Solche Systeme verhindern nur Schlimmeres.

    deswegen würde ich trotzdem gerne wissen wie ein Admin einen Einbruchsversuch erkennen kann
    Es gibt da schon diverse Möglichkeiten. Mich wundert es in diesem Fall sehr, dass 1&1 sich gegen so was nicht abgesichert hat. Aus den Logs kann man sehen, dass das ein normaler 08/15 Angriff war. Das hätte man verhindern können. Ich denke 1&1 wird auch keine großen Konsequenzen für Spooner ziehen.

  12. #12
    Mitglied

    (Threadstarter)

    Avatar von Spooner
    Registriert seit
    Jan 2004
    Ort
    im Keller
    Beiträge
    1.549
    Danksagungen
    426

    Standard Re: Angriff auf Server von meinem Webspace !

    Hi,

    zu den Datein

    c99sh_backconn.133.pl (diese ist ohne inhalt)
    c99sh_backconn.496.c (diese ist ohne inhalt)
    netcat.1 (inhalt ist nicht zu erkennen)
    netcat (inhalt ist nicht zu erkennen)

    diese wurden via ftp gezogen und aufm Desktop angeschaut. Wie oben schon geschrieben sind beide c99sh_* datein leer. Die anderen beiden sind für mich nicht zu erkennen um welchen Inhalt es sich handelt.

    Mir ist ebend noch aufgefallen das ich am selben Tag, wo der Angriff stattfand, ich diesen Webspace bei 1und1 gekündigt habe. Das soll jetzt nicht aussehen als hätte ich keinen Überblick. Ich will nur damit sagen das ich für Freunde einige Webpackete bei 1und1 damals bestellt habe und Ihnen so genannte Clan-Templates darauf installiert habe. Da ich nun ebend nach geschaut und gesehen habe das auch diese Domain/Webspace gekündigt wurde, ist wohl doch nicht mehr wirklich wichtig. Den Space werde ich wohl in kürze platt machen.

    Ich möchte mich trotzdem bei allen bedanken, wenn es noch was wichtiges zu schreiben gibt dann immer ran...

    Danke

  13. #13
    Mitglied Avatar von lil_scrappy
    Registriert seit
    Mar 2006
    Beiträge
    29
    Danksagungen
    0

    Standard Re: Angriff auf Server von meinem Webspace !

    ist doch alles geklärt oder :-D

  14. #14
    Mitglied Avatar von mip
    Registriert seit
    Apr 2002
    Ort
    127.0.0.1
    Beiträge
    3.848
    Danksagungen
    80

    Standard Re: Angriff auf Server von meinem Webspace !

    Vielleicht interessiert es ja noch, was hier gemacht wurde:

    Es wurde ein Webspell-Exploit genutzt, um ein kleines PHP-Programm (C99-Shell) hochzuladen. Dieses PHP-Programm bietet u.a. die Funktion zum Online-Editieren und Hoch-/Runterladen von Dateien, Ausführen von Shell-Commandos, Öffnen lokaler Netzwerkverbindungen z.B. zum Zugriff aus MySQL, etc.
    Die Dateien c99_backconn* stammen aus dem Versuch, Programmcode (Perl oder C) zum Öffnen einer Netzwerkverbindung nachzuladen. Die netcat* Dateien gehören zu dem gleichnamigen Programm, mit dem ebenfalls so ein Netzwerktunnel aufgebaut werden sollte.

    Kurzum: Der Webspace wurde gehackt und alle dort befindlichen Daten/Dateien sind potentiell kompromittiert.
    Lösung: Schliessen der Sicherheitslücke, Neu-Einspielen aller Daten aus einem unkompromittierten Backup, Änderung von Zugangsdaten (MySQL, FTP, Mail, ...), stetig wachsam nach neuen Sicherheitslücken in verwendeter Software schauen.

  15. #15
    Mitglied

    (Threadstarter)

    Avatar von Spooner
    Registriert seit
    Jan 2004
    Ort
    im Keller
    Beiträge
    1.549
    Danksagungen
    426

    Standard Re: Angriff auf Server von meinem Webspace !

    @ Mip

    Danke für deinen Beitrag der ja nun Klarheit schafft. Für weitere Seiten die ich mit Webspell betreibe werde ich schauen ob es dazu ein Update gibt. Für den betreffenden Space habe ich die Löschfunktion gewählt.

  16.  
     
     

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •