Hallo zusammen,
ich habe ein kleines Problem. Auf unserem Server laufen ja ausser einem Chat noch ca. 20 Kundenwebseiten. Heute wurde ich darüber informieren, daß auf zwei der Seiten nun steht "hacked by".
Ich hab nun die Logs durchgeschaut und bislang nichts gefunden. Laut logs, wurde auf diesem Useraccount seit einigen Tagen nicht mehr eingeloggt.
Seltsamerweise habe ich in dem Verzeichnis von dem Chat folgedes entdeckt: "test" - da mich dies etwas verwunderte, habe ich mal geschaut was das ist und bin auf folgendes gestossen /var/www/vhosts/chat.de/web_users/test/pt-php UND e-greetings.php.
Wenn man die php mit einem Editor öffnet, bekommt man eine Spinnengrafik und natürlich eine Menge php-Code.
Erwähnt wird in dem Code ständig was von r57shell - ich gehe einfach mal davon aus, daß dies der ursprüngliche Name der Datei ist.
Ich verstehe allerdings nicht, wie diese Datei auf den Server kam.. wieso man überhauot ein Testverzeichnis erstellen konnte... UND der Chat hat von den angriffen nichts mitbekommen, also muss der Angreifer von dieser Datei aus quer über den ganzen Server in die anderen verzeichnisse gesprungen sein. Wie geht sowas und worauf sollte ich nun achten?
Danke für eure Tipps :(
Hacked :(
-
enn
- Posts: 43
- Joined: 2006-02-10 17:38
Re: Hacked :(
1.) Daten sichern
2.) Server neuinstallieren
3.) installierte Applikationen aktuell halten
3.1.) falls darauf keinen Einfluss: Server Konfiguration anpassen, damit die einzelnen Webspaces voneinander getrennt sind.
2.) Server neuinstallieren
3.) installierte Applikationen aktuell halten
3.1.) falls darauf keinen Einfluss: Server Konfiguration anpassen, damit die einzelnen Webspaces voneinander getrennt sind.
-
Joe User
- Project Manager
- Posts: 11183
- Joined: 2003-02-27 01:00
- Location: Hamburg
Re: Hacked :(
Die r57 wird wie alle anderen PHP-Shells (fast) immer durch Sicherheitslücken in WebApplikationen installiert, um darüber allerhand Unfug treiben zu können. Das fängt bei harmlosesn Defacements an und hört bei Kernel-Exploits beziehungsweise Local-Root-Exploits längst nicht auf.
Vorgehensweise, in dieser Reihenfolge:
Vorgehensweise, in dieser Reihenfolge:
- Nutzdaten und Beweise getrennt sichern
- System offline schalten
- Sicherheitskonzept überarbeiten
- System neu aufsetzen
- System vollständig updaten
- System regelmässig vollständig updaten
- WebApplikationen neu aufsetzen
- WebApplikationen vollständig updaten
- WebApplikationen regelmässig vollständig updaten
- Nutzdaten wieder einspielen
- System produktiv schalten
PayPal.Me/JoeUser ● FreeBSD Remote Installation
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Wings for Life ● Wings for Life World Run
„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.