mal wieder ein hack

[wgot]

Hallo,

zumindest hat ich den aktuellen 1und1-Kernel am laufen.

welchen meinst Du damit? (ich kann da nix wirklich aktuelles finden.)

Gruß, Wolfgang

[r00ty]

Code: Select all

kernel-2.4.26-040421.tar.gz

vom Updateserver

[chris76]

Ein Kernel vom 21.04.2004 nennst du aktuell? Du liest aber schon ein paar News im Internet?

[Joe User]

Die 2.4er werden von 1&1 schon seit Monaten nicht mehr gepflegt. Entweder Du steigst auf 2.6 um, oder kompilierst selbst...

[r00ty]

jaja, ich hab jetzt nen neuen Server zu eurer Beruhigung....

hab mich auch schon gewundert dass ständig irgendwelche kernel-exploits rauskamen und sich auf dem 1und1 updateserver nichts geändert hat
vielleicht hätte ich 1 + 1 mal zusammenzählen sollen

[h0nig]

irgendwie haben die's auf mich abgeshen - heute waren sie über awstats.pl drinnen
mir langts jetzt wirklich....

Du solltest dich nicht über die Spielkinder aufregen, sondern über deine eigene Nachlässigkeit. Sowohl der AWstats Bug als auch diverse Kernel-Bugs waren ja nicht erst seit heute bekannt. Nicht immer die Schuld bei anderen suchen...

genau , einfach nachlässigkeit der faulen admins , der exploit ist schon seit dem 25.1 soweit ich weis bekannt...

[chris76]

genau , einfach nachlässigkeit der faulen admins , der exploit ist schon seit dem 25.1 soweit ich weis bekannt...

Diejenigen wo awstats einsetzen sollte vielleicht auch mal das hier lesen.
http://www.securityfocus.com/archive/1/390368

[andreask2]

Ich verwende solche Script grundsätzlich nur auf Virtual Hosts die per HTTP-Auth und SSL komplett vor unbefugtem Zugriff geschützt sind.

[r00ty]

Ich verwende solche Script grundsätzlich nur auf Virtual Hosts die per HTTP-Auth und SSL komplett vor unbefugtem Zugriff geschützt sind.

hmm stimmt die SSL Sache hatte ich ganz vergessen ;-)

[wassup]

genau , einfach nachlässigkeit der faulen admins , der exploit ist schon seit dem 25.1 soweit ich weis bekannt...

Diejenigen wo awstats einsetzen sollte vielleicht auch mal das hier lesen.
http://www.securityfocus.com/archive/1/390368

einfach die datei rawlog.pm aus dem plugins verzeichnis löschen
das feature fehlt dann zwar, aber der bug is gefixt

[philippxp]

frage dazu:

wenn ich das jetzt richtig gelesen hab dann war das mit awstats auch ein hack angriff an mich hier mal ein teil meines logs:

Code: Select all

61.16.173.20 - - [27/Mar/2005:17:15:23 +0200] "GET //cgi-bin/awstats/awstats.pl?configdir=|%20id%20| HTTP/1.1" 404 305 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)" "-"
61.16.173.20 - - [27/Mar/2005:17:15:24 +0200] "GET //cgi-bin/awstats.pl?configdir=|%20id%20| HTTP/1.1" 404 297 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)" "-"
61.16.173.20 - - [27/Mar/2005:17:15:24 +0200] "GET //cgi/awstats.pl?configdir=|%20id%20| HTTP/1.1" 404 293 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)" "-"
61.16.173.20 - - [27/Mar/2005:17:15:25 +0200] "GET / HTTP/1.1" 200 1044 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)" "-"

habe aber awstats nicht installiert aber man wollte da auf mein root drauf, oder?
bin neuer root admin und muss erst das ganze log lesen lernen ;) und mir die richten websiten raussuchen

[dodolin]

habe aber awstats nicht installiert aber man wollte da auf mein root drauf, oder?

Vermutlich, ja.

bin neuer root admin und muss erst das ganze log lesen lernen Wink und mir die richten websiten raussuchen

Dann lerne am besten gleich mal den ersten Schritt, dass man das ganze einfach 1:1 bei Google eingibt:
http://www.google.de/search?q=%2Fcgi-bi ... id%2520%7C

[/quote]

[philippxp]

habe aber awstats nicht installiert aber man wollte da auf mein root drauf, oder?

Vermutlich, ja.

bin neuer root admin und muss erst das ganze log lesen lernen Wink und mir die richten websiten raussuchen

Dann lerne am besten gleich mal den ersten Schritt, dass man das ganze einfach 1:1 bei Google eingibt:
http://www.google.de/search?q=%2Fcgi-bi ... id%2520%7C

[/quote]

tja schon ;) aber wenn es hier schon steht

[killerhorse]

Hallo,

Hab eine nicht 100%ig zu diesem Thread passende Frage:
Da es ja offensichtlich eine Gefährliche Sache ist ein Forum o.ä. das bekannte Sicherheitslücken hat laufen zu lassen, stelle ich mr die Frage, wie macht man das dann am besten wenn man mehrere "Kunden" mit einer Domain aucf dem Server hat die ihre eigene Homepage haben und sich da auch nicht unbedingt dreinreden lassen wann sie was updaten müssen usw.
Wie macht das eigentlich ein Webhostingprovider der ja warscheinlich wirklich nicht die Möglichkeit hat immer alle Accounts zu kontrollieren.

Weiters würden sich glaub ich die Meisten Kunden schon fragen was sich der Admin denn einbildet, wenn dieser versucht ihnen vorzuschreiben welche PHP-Scripts sie verwenden dürfen und welche nicht...

wie kann man das Ganze dann halbwegs absichern. (Abgesehen von den allgemein bekannten Dingen wie Safemode, open basedir, ...)

MfG

Christian


EDIT: OK, hab einen eigenen Thread zu dieser Frage geöffnet: http://www.rootforum.org/forum/viewtopic.php?t=33924

[Anonymous]

Du kannst z.b. hardenedphp verwenden.

Alternativ kannst du in die AGBs schreiben, daß derjenige User, der für den einbruch verantwortlich ist, eine Bearbeitungsgebühr/Aufwandsentschädigung von X euro zu zahlen hat :>

(schützt zwar nicht vor nicht aktuell gehaltenen scripten aber wenn das einmal passiert ist merken die User sich das meistens.)

[captaincrunch]

Wie wär's denn mit einem eigenen Thread für diese Frage? Wie du schon selbst sagst, passt es hier nicht 100%ig rein, und wird vielleicht auch diejenigen, die sich nicht für dieses spezielle Thema unterhalten von Interesse sein.