RootForum Community

Hi!
Mein Server wurde gestern gehackt (rootkit). Allerdings konnte ich den Hacker stellen und er gab mir die Infos, wie er es geschafft hatte in den Server zu kommen.

Allerdings werde ich aus der Info nicht so ganz schlau.

Es geht um diesen Link:

"http://www.kitchenhost.de/index.php?go= ... &cmd=uname -a\"

Ich weis nur, das das, was in der Variable go steht inkludiert wird. Es muss also was damit zu tun haben, das etwas von extern inkludiert wird, was dann ermöglicht den command aufzurufen.

Kann mir jemand eventuel erklären, worin jetzt diese Sicherheitslücke besteht und wie man die GLOBAL entfernen kann, also nicht nur auf dieser einen Seite.

hier müßte imho SafeMode helfen, weil man dann doch nichtmehr extrene Dateien includen kann oder?

Das Skript muss entsprechend umprogrammiert werden.

Auch sehr lustig: http://www.kitchenhost.de/index.php?go= ... rosoft.com

ähm, komisch, das geht selbst mit Safemode an!

Ich könnte das Script ändern, das Problem ist nur, das das auch ein Kunde bei mir so scripten kann und hat dann die Kontrolle über meinen Server (wie der hacker auch).

Es muss doch einen weg geben zu verhindern, das man commands mit dieser includierten Datei ausführen kann.

Ja Socket Support abschalten.

Habe den Socket Support abgeschaltet, aber kein unterschied.

Sicher? Ohne Socket Support funktioniert include(http://...); nicht. Wenn du PHP nicht neukompilieren willst um den Socket Support abzuschalten, kannst du auch allow_url_fopen in Der php.ini abschalten.

Ok, habe jetzt den benutzten Exploit gefunden, hier der code der cmd.txt:
Aber macht damit bitte keinen Mist mit meinem Web-Server, ich hatte da schon genug Probleme und ich finde euch

Ich frage mich nur, wie das rootkit an die root-rechte gekommen ist, da alle commands nur mit dem user www ausgeführt werden können.

PHP als CGI nutzen und mindestens folgendes beachten:
http://de3.php.net/manual/de/security.cgi-bin.php
http://httpd.apache.org/docs/howto/cgi.html
http://httpd.apache.org/docs/misc/security_tips.html
http://httpd.apache.org/docs/suexec.html

FloFri wrote:Ok, habe jetzt den benutzten Exploit gefunden, hier der code der cmd.txt:

Anstiftung zu einer Straftat? Code entsorgt! *PLONK*

Sorry, der code war nur zu analysezwecken, hätte ja sein können, das da jemand draus schlau wird und sagen kann, wie man sich da schützen kann.

So, ich habe jetzt mal das Script ausbessern lassen und einige system-commands wie system(), exec(), ... deaktiviert.

Dazu aber noch 2 Fragen:

1. Welche Commands wird den im allgemeinen empfohlen als Provider zu deaktivieren. Also eben Sachen wie: system(), exec(), popen(), ...

2. Hat jemand eine Vermutung oder eben Wissen, wie es ein Hacker per System() schafft, aus dem User www "auszubrechen" und sich Rechte anzueignen, die dann zum beispiel Befehle wie /bin/login überschreiben können, oder Benutzer und Gruppen anlegen (war bei mir der Fall, es gab einen neuen Benutzer, eine neue Gruppe und mehrere Dateien, wo nur root schreibrechte hat waren ersetzt worden).

Sollte jemand sehr detailierte Infos darüber haben, so möchte ich denjenigen bitten, diese mir per PM zu schicken und nicht zu Posten. Denn, wie Joe schon gesagt hat: Wir wollen keinen zu einer Straftat anstiften.


MfG

Florian Friedrich
Kitchenhost Webhosting

FloFri wrote: 2. Hat jemand eine Vermutung oder eben Wissen, wie es ein Hacker per System() schafft, aus dem User www "auszubrechen" und sich Rechte anzueignen, die dann zum beispiel Befehle wie /bin/login überschreiben können, oder Benutzer und Gruppen anlegen (war bei mir der Fall, es gab einen neuen Benutzer, eine neue Gruppe und mehrere Dateien, wo nur root schreibrechte hat waren ersetzt worden).

z.B: ptrace() oder do_brk(), was auf einem geflegten System nicht möglich gewesen wäre.

Könntest du mir dazu mehr infos geben? Was ist das genau und wie kann ich mich da absichern? (Bin ja hier um mein System richtig pflegen zu können ;) )

do_brk() : http://lwn.net/Articles/60948/

ptrace : http://www.securitytracker.com/alerts/2 ... 06303.html

Danke, ich werde das mal verinerlichen :)

Vernichten ist besser, und zwar allow_url_fopen. Wenn diese Option deaktiviert ist, können keine externen Quellen mehr via include() eingefügt werden.

Naja, dann können ja immer noch kunden per system() oder ähnlichem "einbrechen", daher habe ich erstmal die commands ausgebaut.

Mit aktiviertem Safe Mode dürfen ohnehin nur Systemkommandos ausgeführt werden, die im safe_mode_exec_dir liegen.