Apache error.log + PHP Safe-Mode-Exec-Dir

[metrix]

Hallo,

ich habe ein kleines oder vielleicht auch großes Problem?

System ist ein: Debian Sarge, alle Pakete Apache und PHP4 stammen aus den Deb-Paketen.

Folgenden Eintrag finde ich seit eben Reihenweise in meinem Apache2-Error-Log:

sh: line 1: /var/empty/perl: No such file or directory

Soweit ich das nun interpretieren würde, versucht einer per PHP den Befehl "perl" aufzurufen was nicht funktioniert, da die Datei nicht existiert. Auf PHP schließe ich, da ich in PHP /var/empty/ als safe_mode_exec_dir definiert habe. Diesess Verzeichnis ist auch komplett leer.

Ich versuche nun schon seit geraumer Zeit rauszufinden, wo das "böse" Skript liegt oder der Aufruf her kommt. Dazu habe ich schon per grep alle access.logs vom Apache durchsucht und per find mir alle Dateien vom User des Webservers (www-data) geben lassen.

Da konnte ich leider nichts verdächtiges finden und der Apache-Log möchte mir scheinbar nicht mehr erzählen. Ich wäre ja schon einen erheblichen Schritt weiter, wenn ich den VHOST rausfinden würde. Jemand eine Idee?

Übrigens: Die Einträge kommen so alle 15 Minuten neu dazu. Scheint also derzeit jemand aktuell zu versuchen.

Ansätze zur Vorgehensweise? Vielen Dank!

[Joe User]

Du suchst ein Shell-Script, welches entweder alle 15 Minuten per Cronjob aufgerufen wird, oder durch eine ungepatchte Webapplikation (PHP) auf den Server geschleust wurde...

[metrix]

Du suchst ein Shell-Script, welches entweder alle 15 Minuten per Cronjob aufgerufen wird, oder durch eine ungepatchte Webapplikation (PHP) auf den Server geschleust wurde...

hi, soweit war ich auch schon. ein cronjob ist es nicht. es wird in etwa alle 15 minuten ausgeführt und da steht auch nichts besonderes und verdächtiges drin. auch nicht in den user crons.

zu 2.: das habe ich ja schon geschrieben. die frage ist wie die quelle finden. da mein webserver per php hochgeladene dateien als www-data ablegt habe ich mir per find schon alle dateien vom user www-data suchen lassen. nichts verdächtiges. würde eher auf ne url injection tippen. aber so im logfile per grep nix gefunden. wenn ich mal nur den vhost wüsste ;-)

[metrix]

hat sich erledigt. habe mir mal eine eigene perl in /var/empty abgelegt, die die ausgabe von phpinfo(); abspeichert.

danach hat sich rausgestellt, dass ein kumpel ein buggy phpbb laufen hatte - kennt sich damit jemand aus?

sprich: kann ich von ausgehen, dass wenn der perl-aufruf nicht geklappt hat, dass dann nix passiert ist?

/board/viewtopic.php?p=3107&highlight=%2527%252Esystem(chr(112)%252Echr(101)%252Echr(114)%252Echr(108)%252Echr(32)%252Echr(45)%252Echr(101)%252Echr(32)%252Echr(34)%252Echr(112)%252Echr(114)%252Echr(105)%252Echr(110)%252Echr(116)%252Echr(32)%252Echr(113)%252Echr(40)%252Echr(106)%252Echr(83)%252Echr(86)%252Echr(111)%252Echr(119)%252Echr(77)%252Echr(115)%252Echr(100)%252Echr(41)%252Echr(34))%252E%2527 HTTP/1.0" 200 65575 "-" "Mozilla/4.0"

[Joe User]

Wenn wirklich die in der geposteten Logzeile stehende Sicherheitslücke ausgenutzt wurde, dann wurde das betreffende phpBB seit mindestens 17 Monaten nicht gepatched. Google mal nach "phpBB Santy Worm"...

[metrix]

seitdem das forum deaktiviert ist, ist jedenfalls ruhe ;-)

und dank meiner config konnte er auch keine html/php dateien überschreiben ;-)