Fremde Datei in .htaccess geschütztem Verzeichnis? :(

Rund um die Sicherheit des Systems und die Applikationen
transmitter
Posts: 147
Joined: 2005-01-20 03:07

Fremde Datei in .htaccess geschütztem Verzeichnis? :(

Post by transmitter » 2006-02-24 12:26

Hi,

ich habe eine Frage:
Wie kann ich dann nachvollziehen wie einer in ein .htaccess geschütztes Verzeichnis rein kam?
80.132.30.62 - - [19/Feb/2006:12:19:28 +0100] "GET /PMA/main.php HTTP/1.1" 401 531 "-" "PMAFind"
80.132.30.62 - - [19/Feb/2006:12:19:28 +0100] "GET /mysql/main.php HTTP/1.1" 401 531 "-" "PMAFind"
80.132.30.62 - - [19/Feb/2006:12:19:28 +0100] "GET /admin/main.php HTTP/1.1" 401 531 "-" "PMAFind"
80.132.30.62 - - [19/Feb/2006:12:19:29 +0100] "GET /db/main.php HTTP/1.1" 401 531 "-" "PMAFind"
80.132.30.62 - - [19/Feb/2006:12:19:29 +0100] "GET /dbadmin/main.php HTTP/1.1" 401 531 "-" "PMAFind"
80.132.30.62 - - [19/Feb/2006:12:19:29 +0100] "GET /web/phpMyAdmin/main.php HTTP/1.1" 401 531 "-" "PMAFind"
80.132.30.62 - - [19/Feb/2006:12:19:29 +0100] "GET /admin/pma/main.php HTTP/1.1" 401 531 "-" "PMAFind"
80.132.30.62 - - [19/Feb/2006:12:19:29 +0100] "GET /admin/phpmyadmin/main.php HTTP/1.1" 401 531 "-" "PMAFind"
80.132.30.62 - - [19/Feb/2006:12:19:29 +0100] "GET /admin/mysql/main.php HTTP/1.1" 401 531 "-" "PMAFind"
80.132.30.62 - - [19/Feb/2006:12:19:29 +0100] "GET /mysql-admin/main.php HTTP/1.1" 401 531 "-" "PMAFind"
80.132.30.62 - - [19/Feb/2006:12:19:29 +0100] "GET /phpmyadmin2/main.php HTTP/1.1" 401 531 "-" "PMAFind"
80.132.30.62 - - [19/Feb/2006:12:19:29 +0100] "GET /mysqladmin/main.php HTTP/1.1" 401 531 "-" "PMAFind"
80.132.30.62 - - [19/Feb/2006:12:19:28 +0100] "GET /phpmyadmin/main.php HTTP/1.1" 200 25722 "-" "PMAFind"
80.132.30.62 - - [19/Feb/2006:12:19:29 +0100] "GET /main.php HTTP/1.1" 401 531 "-" "PMAFind"
80.132.30.62 - - [19/Feb/2006:12:19:29 +0100] "GET /mysql-admin/main.php HTTP/1.1" 401 531 "-" "PMAFind"
80.132.30.62 - - [19/Feb/2006:12:19:29 +0100] "GET /phpMyAdmin-2.5.6/main.php HTTP/1.1" 401 531 "-" "PMAFind"
80.132.30.62 - - [19/Feb/2006:12:19:29 +0100] "GET /phpMyAdmin-2.5.4/main.php HTTP/1.1" 401 531 "-" "PMAFind"
80.132.30.62 - - [19/Feb/2006:12:19:29 +0100] "GET /phpMyAdmin-2.5.1/main.php HTTP/1.1" 401 531 "-" "PMAFind"
80.132.30.62 - - [19/Feb/2006:12:19:29 +0100] "GET /phpMyAdmin-2.2.3/main.php HTTP/1.1" 401 531 "-" "PMAFind"
80.132.30.62 - - [19/Feb/2006:12:19:29 +0100] "GET /phpMyAdmin-2.2.6/main.php HTTP/1.1" 401 531 "-" "PMAFind"
80.132.30.62 - - [19/Feb/2006:12:19:29 +0100] "GET /myadmin/main.php HTTP/1.1" 401 531 "-" "PMAFind"
80.132.30.62 - - [19/Feb/2006:12:19:51 +0100] "GET /phpmyadmin//phpinfo.php HTTP/1.1" 200 25643 "-" "PMAFind"
219.134.178.131 - - [19/Feb/2006:12:20:08 +0100] "CONNECT smtp.mail.yahoo.com:25 HTTP/1.0" 401 536 "-" "-"
218.17.230.150 - - [19/Feb/2006:12:22:10 +0100] "CONNECT ms94.url.com.tw:25 HTTP/1.0" 401 532 "-" "-"
219.134.31.95 - - [19/Feb/2006:12:24:45 +0100] "CONNECT cm1.hinet.net:25 HTTP/1.0" 401 530 "-" "-"
PMAFind ist sicherlich irgendein Scanner, aber wie kommt der in ein geschütztes Verzeichnis rein?

Und noch schlimmer: Ich habe noch eine Datei in diesem Verzeichnis gefunden:

Code: Select all

-rw-rw-rw-    1 mysql mysql   375 2006-02-05 17:48 old.php
Das beunruhigt mich jetzt doch ein wenig, da diese nicht von mir ist.
Wie kann denn der Benutzer mysql dort eine Datei erstellen?
Geht das im Zweifelsfall über phpMyAdmin, wenn der "Angreifer" da erfolgreich war?

Saudämlich die Sache, hoffe da ist nicht mehr passiert.
Ich habe mal auf der ganzen Platte nach
find * -user mysql -group mysql > /tmp/find.log
gesucht und außer den Datenbanken selbst gibt es keine Funde.
Kann ich jetzt wieder ruhig schlafen oder wie und wo sollte ich weiter suchen?

VHost ist auch erstmal gelöscht, aber irgendwann bräuchte ich phpmyadmin usw. schonmal wieder :-/

Und noch eine Frage: Wie kommt PMAFind überhaupt auf die Domain bzw. Subdomain? Diese ist nicht zu erraten und auch nirgendwo verlinkt, kann man die irgendwo einsehen?
Evtl. mit Nessus oder so?

PS: Habe die php.ini jetzt auch angepasst mit open_basedir und disable_functions .. nur leider zu spät :(

oxygen
Posts: 2138
Joined: 2002-12-15 00:10
Location: Bergheim

Re: Fremde Datei in .htaccess geschütztem Verzeichnis? :(

Post by oxygen » 2006-02-24 12:48

Du solltest dir mal die Bedeutung der HTTP Status Codes anschauen. (Insbesondere 401)

transmitter
Posts: 147
Joined: 2005-01-20 03:07

Re: Fremde Datei in .htaccess geschütztem Verzeichnis? :(

Post by transmitter » 2006-02-24 13:20

Oh .. ja .. hatte nur noch 404 im Kopf und dachte das wäre sowas ähnliches, aber so bin ich ja schon eher beruhigt.

Dann bleibt aber noch die Frage woher der Angreifer weiß wie die Subdomain lautet (nicht erratbar) und woher die old.php Datei kommt. :(

User avatar
isotopp
Posts: 471
Joined: 2003-08-21 10:21
Location: Berlin

Re: Fremde Datei in .htaccess geschütztem Verzeichnis? :(

Post by isotopp » 2006-02-24 13:22

Transmitter wrote:Oh .. ja .. hatte nur noch 404 im Kopf und dachte das wäre sowas ähnliches, aber so bin ich ja schon eher beruhigt.

Dann bleibt aber noch die Frage woher der Angreifer weiß wie die Subdomain lautet (nicht erratbar) und woher die old.php Datei kommt. :(
Wie ist der Name Deiner Hauptdomain?

transmitter
Posts: 147
Joined: 2005-01-20 03:07

Re: Fremde Datei in .htaccess geschütztem Verzeichnis? :(

Post by transmitter » 2006-02-24 13:24

Würde ich hier aus Sicherheitsgründen lieber nicht verraten ...

Kommt man darüber irgendwie auf die Subdomain wenn ich 2 verschiedene vHosts angelegt habe?

Roger Wilco
Administrator
Administrator
Posts: 5924
Joined: 2004-05-23 12:53

Re: Fremde Datei in .htaccess geschütztem Verzeichnis? :(

Post by Roger Wilco » 2006-02-24 13:31

Transmitter wrote:Würde ich hier aus Sicherheitsgründen lieber nicht verraten ...
http://de.wikipedia.org/wiki/Security_through_obscurity
Transmitter wrote:Kommt man darüber irgendwie auf die Subdomain wenn ich 2 verschiedene vHosts angelegt habe?
Je nachdem, wie deine Konfiguration aussieht: Ja.
Lies dazu z. B. http://httpd.apache.org/docs/2.0/vhosts ... stmatching

User avatar
isotopp
Posts: 471
Joined: 2003-08-21 10:21
Location: Berlin

Re: Fremde Datei in .htaccess geschütztem Verzeichnis? :(

Post by isotopp » 2006-02-24 14:03

Transmitter wrote:Würde ich hier aus Sicherheitsgründen lieber nicht verraten ...
Dann können wir Dir bei der Diagnose nach einem Information Leak leider nicht helfen.
Kommt man darüber irgendwie auf die Subdomain wenn ich 2 verschiedene vHosts angelegt habe?
Der Name Deiner "Subdomains" steht im DNS. Je nach der Konfiguration Deiner Nameserver kann man die Zone komplett auslesen und sieht so alle "Subdomains".

Der Name Deiner Subdomain steht im Referrer. Wenn Du von Deiner Subdomain aus zu anderen Rechnern verlinkst, übermittelst Du den Namen Deiner Subdomain im Referrer. Er endet am Ende in der Logfile-Auswertung dieser Sites, siehe zum Beispiel http://blog.koehntopp.de/zugriffe/ - wenn Du auf mein Blog verlinktest, wäre irgendwann Dein Domainname in irgendeiner meiner Statistiken.

Der Name Deiner Subdomain steht möglicherweise in Deinem Outlook- oder Thunderbird-Adreßbuch. Wenn ein Stück Malware Dein Adreßbuch scanned, wird der Name allgemein bekannt. Dies passiert auch, wenn nicht Du, sondern einer Deiner Freunde diesen Namen in SEINEM Adreßbuch hat und der Vorfall dort geschieht.

Deine "Subdomain" kann der Default-Vhost Deines Apache sein. Wenn das der Fall ist, wird bei jedem Zugriff ohne Hostname Deine Domain aktiviert.