Kann das was sein?

Rund um die Sicherheit des Systems und die Applikationen
timmithe2
Posts: 83
Joined: 2003-07-05 16:31

Kann das was sein?

Post by timmithe2 » 2004-01-26 00:53

Hallo,

ein Kunde von mir rief mich gestern Abend an und sagte sein FTP Verzeichnis ist gelöscht worden heute habe ich die SSH Zugangsdaten
zu seinem Server erhalten und diese Logfile
eintrag gefunden:

Code: Select all

 Sat Jan 24 19:05:11 2004 1 172.179.78.186 141 /html/adminbereich/config.inc.php a _ o r web2 ftp 0 * c
Sat Jan 24 19:05:18 2004 1 172.179.78.186 141 /html/adminbereich/config.inc.php a _ o r web2 ftp 0 * c
Sat Jan 24 19:07:53 2004 1 172.179.78.186 0 /html/config.php a _ o r web2 ftp 0 * c
Sat Jan 24 19:08:01 2004 1 172.179.78.186 0 /html/config.php a _ o r web2 ftp 0 * c
Sat Jan 24 19:11:24 2004 3 172.179.78.186 14848 /html/hdfill.Exe b _ i r web2 ftp 0 * c
Sat Jan 24 19:14:42 2004 25 172.179.78.186 445440 /html/hdkp5b.exe b _ i r web2 ftp 0 * c
Sat Jan 24 19:15:04 2004 2 172.179.78.186 14848 /html/hdfill.Exe b _ o r web2 ftp 0 * c
Die Zeit stimmt genau mit der überein wo der error_log das erste mal das fehlen der Dateien bemängelt was kann das sein?

Grüße tim

dodolin
Posts: 3840
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Kann das was sein?

Post by dodolin » 2004-01-26 01:58

was kann das sein?
Unsichere PHP-Konfiguration.
Du kannst froh sein, sollte deine Kiste nicht schon längst als Spam-Schleuder dienen, sondern "nur" der Webspace dieses einen Kunden kompromittiert sein.

timmithe2
Posts: 83
Joined: 2003-07-05 16:31

Re: Kann das was sein?

Post by timmithe2 » 2004-01-26 02:05

Hallo,

das ist nicht meine Kiste!

Ich habe jetzt mal ein chrootkit durchlaufen lassen dabei
ist das raus gekommen:

Code: Select all

Checking `bindshell'... INFECTED (PORTS:  465)
Checking `lkm'... nothing detected
Checking `rexedcs'... not found
Checking `sniffer'... eth0: PF_PACKET(/sbin/dhcpcd)
Jetzt habe ich bei 2 weiteren Kunden diese chrrootkit laufen
lassen und es gab jedesmal diese Meldung die Server stehen
bei 1und1 und ich bin nicht für die Verwaltung verantwortlich.

Gruß Tim

dodolin
Posts: 3840
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Kann das was sein?

Post by dodolin » 2004-01-26 04:00

http://www.rootforum.org/faq/index.php ... 31&lang=de
Dass dhcpd läuft, ist auch nicht wirklich beunruhigend.
und ich bin nicht für die Verwaltung verantwortlich.
Wer dann? Jemand anderes, oder sind das "Managed Server"?

timmithe2
Posts: 83
Joined: 2003-07-05 16:31

Re: Kann das was sein?

Post by timmithe2 » 2004-01-26 04:33

Hallo,

die Besitzer der Server. Ich habe nur etwas in php für die programiert.
Das die keine große Ahnung habe ist nicht mein Problem.
Ich wollte denen nur helfen und hatte mich vorher nicht mit chrootkit vertraut gemacht, deshalb hatte ich ja auch hier gefragt bevor ich etwas unternehme. Also ist kein rootkit drauf sonder die php config ziemlich
unsicher? Der Safe Mode ist allerdings aktiv was kann ich den raten außer
auf ein webpaket umzusteigen*g*

Grüße Tim

alrad
Posts: 90
Joined: 2003-04-27 10:15

Re: Kann das was sein?

Post by alrad » 2004-01-26 07:50

Hallo,

@dodolin: Wo siehst du eine unsichere PHP-Konfiguration. Was ich sehe, ist ein Zugriff über FTP. Mich würde dann interessieren, wie derjenige an die Zugangsdaten gekommen ist, wenn es nicht sogar der Kunde selbst gewesen ist.

Gruß
Albert

timmithe2
Posts: 83
Joined: 2003-07-05 16:31

Re: Kann das was sein?

Post by timmithe2 » 2004-01-26 13:34

ehrlich gesagt habe ich auch ne Vermutung das
da jmd. der Zugangsdaten hatte drauf gekommen ist
ich kann auch nirgends etwas finden bis auf das halt.

Die exe Dateien wundern mich nur etwas? *g*

Grüße Tim

geeky
Posts: 22
Joined: 2003-08-31 18:35

Re: Kann das was sein?

Post by geeky » 2004-01-26 13:40

laut google is die eine .exe nen trojaner und die andere nen HD-Filler - allerdings für windows...

timmithe2
Posts: 83
Joined: 2003-07-05 16:31

Re: Kann das was sein?

Post by timmithe2 » 2004-01-26 13:51

yepp, das hatte ich auch schon gedacht ;-)

Grüße Tim

dodolin
Posts: 3840
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: Kann das was sein?

Post by dodolin » 2004-01-26 14:29

Wo siehst du eine unsichere PHP-Konfiguration. Was ich sehe, ist ein Zugriff über FTP
Da der OP nicht gesagt hat, um was für ein Logfile es sich handelt, nahm ich an, dass es um einen Apache-Log geht. Wenn man das als FTP-Log ansieht, ändern sich die Dinge wieder...