phpMyAdmin will nicht mehr

[Anonymous]

Hallo zusammen,

Habe seit einigen Tagen ein Problem mit einem unserer Root,
Es fing damit an das auf einmal keine Website mehr erreichbar gewesen ist. Apache Service lief nicht mehr und lies sich auch nicht mehr starten da "angeblich" der Port 80 schon belegt war was er aber nicht war. Nun gut nach einen Server Neustart ging dieses dann wieder, trotzdem fand ich das Phänomen recht seltsam.

Nun wollte ich heute morgen auf die Datenbank mittels phpMyAdmin zugreifen. Dort erwartete mich anstatt der gewohnten Oberfläche ein graues Bild mit Login und dem als Überschrift --> sTrEs Shell 2009 , google wirft mir dies bezüglich leider auch nichts raus

Tja nun ist die Frage was zum Geier hier passiert ist ?

zur info , hier das besagte login interface --> http://s241.silver.fastwebserver.de/phpMyAdmin/

Ach so das ganze läuft auf einem Debian System

Schonmal vielen dank für eure Hilfe =)

Gruß Pluemmel

[Joe User]

Das System ist erfolgreich gecrackt worden -- Updates vergessen?
1.) Kiste sichern,
2.) Kiste vom Netz nehmen,
3.) Sicherung auswerten,
4.) Sicherheitslücke dokumentieren,
5.) Security-Policy anpassen,
6.) Kiste neu aufsetzen,
7.) Security-Policy durchsetzen,
8.) regelmässig Updates fahren,
9.) hoffen, dass 1.) bis 9.) nicht wieder nötig werden.

[papabaer]

EIn paar Links zum weiteren Vorgehen:

http://www.server-wissen.de/security/mein-server-wurde-gehack-was-soll-ich-tun.html
http://www.debian.org/doc/manuals/securing-debian-howto/ch-after-compromise.de.html

[Anonymous]

ich danke euch auf jedenfall für die ganzen kommentare und die hinweise die ich beachten soll,

die frage die sich mir im moment stellt ist wie kann ich es unterbinden , ich weiss das es sich nie ganz unterbinden lässt. aber wie finde ich heraus wo der vogel rein gekommen ist ?

auf dem server laufen:

2 Mohha Gameserver,
Diverse Radio Streams ( Shoutcast )
Shoutcast Transcoder
Und ne ganze reihe websites

Meine befürchtung ist das sie durch eine sicherheitslücke in meiner website reingekommen sind.( php selber geschrieben ) aber somit hätten sie ja nicht den zugang zum server direkt. oder hab ich nun was falsch ?

[Joe User]

Es reicht aus, wenn durch die Sicherheitslücke Files im Filesystem abgelegt, oder bei WebApps zum Beispiel per Include eingebunden werden können. Letzteres ist gerade bei PHP-Scripts ein weit verbreitetes Problem, da viele "PHP-Frickler" darauf verzichten, jeglichen Input zu validieren, insbesondere, wenn es sich um Scripte für den eigenen Gebrauch handelt. Hinzu kommen dann sehr häufig noch Sicherheitslücken ala SQL-Injection, XSS, CSRF und einige mehr.
Gameserver sind ebenfalls gern gesehene Einfallstore, da sie im Regelfall ohne die notwendigen Sicherheitsaspekte entwickelt werden, um die damit verbundenen höheren Kosten, sowohl finanziell als auch technisch (niedrigere Performance, höherer Ressourcenverbrauch, weniger Frames, etc.) zu sparen.
Und Streamingserver lassen sich gut durch manipulierte Streams austricksen, da sie oft völlig veraltete 3rd-Party-Libs (zlib, ffmpeg, etc.) bundlen.
Letztendlich gibt es auf Deiner Kiste unzählige Möglichkeiten und Kombinationen, um allerhand Unfug zu treiben...