Nun auch ich ....

[Outlaw]

Hallo Leute,

scheinbar (oder auf jeden Fall) hats mich auch erwischt, jemand hat in meiner Typo3 index.php rumgespielt und einen iframe mit einem Link auf ne russische Seite eingebaut.

Habe Logs weigehend durchsucht aber nichts auffälliges gefunden.

Was mir allerdings aufgefallen ist:

Es gibt ein /home/vhosts/chroot/ welches mir vorher noch nie aufgefallen ist ....

Ich habe mal rootkit hunter installiert und das hier gefunden:

Code: Select all

* Application version scan
   - GnuPG 1.2.4                                              [ Vulnerable ]
   - Bind DNS 9.2.3                                           [ OK ]
   - OpenSSL 0.9.7d                                           [ Vulnerable ]
   - PHP 4.3.4                                                [ Vulnerable ]
   - Procmail MTA 3.22                                        [ OK ]
   - ProFTPd 1.2.10                                           [ OK ]
   - OpenSSH 4.1p1                                            [ OK ]

Sonst weiter nix, alles andere war ok.

Ach ja, mein Update von SuSE funzt auch nimmer, ich vermute, das könnte damit zusammenhängen.

Ausser diesem einen IFrame wurde scheinbar nichts verändert, ich konnte zumindest im Home Verzeichnis bei den VHosts nichts weiter finden, auch der Link wurde nur 1x per iframe eingebunden.

Wo kann ich noh suchen, bevor ich den Server platt mache (will ja net nochmal die gleiche Lücke einbauen) ??

System: SuSE 9.1 auf nem Root PS von 1&1 / Root Login deaktiviert / Typo3 4.0.3 / Updates von SuSE regelmäßig gefahren, bis es eben seit Kurzem nimmer geht.

Gruß Outi

[Outlaw]

Hmmmm, ich sehe gerade "ACHTUNG! • Angriff auf das RootForum • ACHTUNG!".

Das hat ne verdammte Ähnlichkeit und auch die FAQ Software habe ich drauf ....

Ok, alles deutet auf die FAQ Software, auch das Datum passt. Nun hat das Admin Team hier von einer Shell bereichtet.

Wie finde ich die und wie entferne ich die ??

Komme ich auch ohne "Plattmachen" nochmal davon ??

Gruß Outi

[Joe User]

Die Lücke in pmf wird per sql-injection ausgenutzt, im Log zu finden per:

Code: Select all

grep -i uin access_log

"Unsere" Shell findet sich per:

Code: Select all

grep -i r57shell access_log

Ich kann, nach Sicherung der Daten/Logs zur eingehenden Analyse, nur zur Reinitialisierung raten...

[blnsnoopy26]

Benutze auch das Phpmyfaq... hatte auch noch ne ältere Version drauf, aber bin zum glück bisher nicht betroffen gewesen.

Hab heute auch auf 1.6.8 Upgedatet :)
Ein reinit bei mir käme jetzt sehr uncool

[Outlaw]

@Joe

Danke aber das hat nix angezeigt ....

Scheint verm. doch nicht über phpMyFAQ reingekommen zu sein ....

Naja, da aber was im Argen liegt, wirds wohl demnächst ne Reinit geben ....

Warte aber noch auf Deine Rückmeldung bez. der Logs.

Gruß Outi

[Outlaw]

Benutze auch das Phpmyfaq... hatte auch noch ne ältere Version drauf, aber bin zum glück bisher nicht betroffen gewesen.

Hab heute auch auf 1.6.8 Upgedatet :)
Ein reinit bei mir käme jetzt sehr uncool

Sicher ??

Ich habe in den VHosts nur einen (1) einzigen Link in nem iframe gefunden auf nen russischen Shop, in allen anderen VHosts bisher nix Auffälliges ....

Gruß Outi

[blnsnoopy26]

Benutze auch das Phpmyfaq... hatte auch noch ne ältere Version drauf, aber bin zum glück bisher nicht betroffen gewesen.

Hab heute auch auf 1.6.8 Upgedatet :)
Ein reinit bei mir käme jetzt sehr uncool

Sicher ??

Ich habe in den VHosts nur einen (1) einzigen Link in nem iframe gefunden auf nen russischen Shop, in allen anderen VHosts bisher nix Auffälliges ....

Gruß Outi

Jo ich hoste ja keine Kunden sondern nur 2-3 Privat Domains und da ist es überschaubar. Hab die Access logs und anderen logs durchsucht und konnte nix finden und die vhots sind auch noch so wie sie sein sollten.


Wohl nochmal schwein gehabt.
rkhunter habe ich auch mal durchlaufen lassen und is auch alles ok.
Adminsoftware setze ich nur syscp ein, aber auch nur für mein mailserver alles andere mache ich über die konsole.

[grandcat]

Es wäre aber trotzdem sicherlich ratsam, den Server neu aufzusetzen. Schließlich kann der Angreifer mittlerweile die Logfiles schon manipuliert haben. In Zukunft wäre auch der Einsatz von Tripwire ( http://sourceforge.net/projects/tripwire/ ) interessant, um festzustellen, ob irgendwelche Programme oder Systemdateien manipuliert worden sind

[Outlaw]

So, mein Server is platt, nu gehts ans Konfigurieren ....

Wäre schön, wenn man von SuSE 9.3 auf SuSE 10.1 gleich mit updaten könnte ....

Gruß
Outi

[khark]

Typo3 ist z.Z. auch von einer Sicherheitslücke betroffen, die es ermöglich lokal Dateien abzulegen.
Siehe: http://news.typo3.org/news/article/typo ... -in-typo3/

[lord_pinhead]

@Grandcat
Tripwire oder Samhain (mein Fav :) ) sind einerseits nützliche Tools, aber gegen Rootkits, die die Systemaufrufe umlenken, nutzen sie einfach nichts, genauso rkhunter und chkrootkit. Ausser er hat einen Hardened Kernel, dann dürfte es schwer sein ein Rootkit einzubauen ohne das es auffällt ;) Mit einem Backupserver sollte es aber möglich sein den Server für ein paar Minuten offline zu nehmen und abzugleichen, leider fehlen in den meisten Rescue Konsolen solche Programme, da muss man es leider händisch versuchen :(

@Outlaw
Hast du keine Logfile wo vielleicht die Adresse zu finden wäre vom Angreifer? Vielleicht wird ja ein Abuse ernst genommen.

[buddaaa]

[quote="Outlaw"]
Ich habe mal rootkit hunter installiert und das hier gefunden:

Code: Select all

* Application version scan
   - GnuPG 1.2.4                                              [ Vulnerable ]
   - Bind DNS 9.2.3                                           [ OK ]
   - OpenSSL 0.9.7d                                           [ Vulnerable ]
   - PHP 4.3.4                                                [ Vulnerable ]
   - Procmail MTA 3.22                                        [ OK ]
   - ProFTPd 1.2.10                                           [ OK ]
   - OpenSSH 4.1p1                                            [ OK ]

nur der vollstaendigkeit halber: das sind bei suse meist falsche positive weil rkhunter nur nach der versionsnummer schaut. suse patcht aber die fehler ohne die version zu aendern (was grundsaetzlich sehr lobenswert ist).

[Outlaw]

@Grandcat
@Outlaw
Hast du keine Logfile wo vielleicht die Adresse zu finden wäre vom Angreifer? Vielleicht wird ja ein Abuse ernst genommen.

Nein, die Logs geben leider nix her ....

Habe nach allem Möglichen gesucht, jedoch nix.

Naja, der Server ist inzwichen neu installiert.

Gruß
Outi

[Outlaw]

Typo3 ist z.Z. auch von einer Sicherheitslücke betroffen, die es ermöglich lokal Dateien abzulegen.
Siehe: http://news.typo3.org/news/article/typo ... -in-typo3/

Ich gehe stark davon aus, daß es an Typo3 lag, denn der eingebaute Link befand sich im Typo3 Bereich.

Gruß
Outi

[Outlaw]

Ich habe mal rootkit hunter installiert und das hier gefunden:

Code: Select all

* Application version scan
   - GnuPG 1.2.4                                              [ Vulnerable ]
   - Bind DNS 9.2.3                                           [ OK ]
   - OpenSSL 0.9.7d                                           [ Vulnerable ]
   - PHP 4.3.4                                                [ Vulnerable ]
   - Procmail MTA 3.22                                        [ OK ]
   - ProFTPd 1.2.10                                           [ OK ]
   - OpenSSH 4.1p1                                            [ OK ]

nur der vollstaendigkeit halber: das sind bei suse meist falsche positive weil rkhunter nur nach der versionsnummer schaut. suse patcht aber die fehler ohne die version zu aendern (was grundsaetzlich sehr lobenswert ist).

Ok, das habe ich auch schon vermutet und gehört.

Aber leider war wirkliche "jemand auf der Platte" ....
(Verm. aus Russland, denn dort ging der fremde Link hin.)

Gruß
Outi

[buddaaa]

Aber leider war wirkliche "jemand auf der Platte" ....
(Verm. aus Russland, denn dort ging der fremde Link hin.)

das heisst ja nicht viel. das kann genauso ein eskimo gewesen sein, der die kiste in russland geknackt hat und von dort dann Deine. boese buben sind ja selten aus ihrem eigenen netz aus boese.