Forum gehackt

Sicherheit den Webservers, Servers und rund um das phpBB
Gesperrt
Holger
User
User
Beiträge: 2253
Registriert: Mi 17.Mär, 2004 18:09

Forum gehackt

Beitrag von Holger » So 25.Mai, 2008 19:24

Moin,

wir kämpfen gerade gegen einen Hacker, der jetzt schon einige Male eines unserer Foren gelöscht hat.
Ich hänge jetzt ein Skript an, das ich im "work"-Ordner von mysqldumper gefunden habe.
Achtung: Ich weiss nicht, was dieses Skript tut.
Wäre intressant zu hören, was ihr dazu sagt.

Der Dumper war mit htaccess geschützt.
Der Hacker hat die DB gelöscht und alle Ordner mit Schreibrechte (avatars/upload, cache, attachment mod files usw) auf dem Server geleert.

Der Schaden ist gross.

Was macht das angehängte Skript?

Gruss
Holger

Edit: wir haben den Mod Music Box installiert.
Dort (im Ordner music_box) haben wir die Datei index.html.1 gefunden. Was soll die?

[ Attachment gelöscht am So 25.Mai, 2008 20:48 von oxpus ]

[ Attachment gelöscht am So 25.Mai, 2008 20:48 von oxpus ]
Zuletzt geändert von Holger am So 25.Mai, 2008 19:30, insgesamt 1-mal geändert.

Benutzeravatar
cback
Moderator
Moderator
Beiträge: 1556
Registriert: Sa 15.Mai, 2004 14:32
Wohnort: Saarland
Kontaktdaten:

Beitrag von cback » So 25.Mai, 2008 19:35

Wie alt ist Dein Dumper? Hatte mal bezüglich dem internen .htaccess Generator ein Bug glaube ich.

Benutzeravatar
oxpus
Administrator
Administrator
Beiträge: 29108
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus » So 25.Mai, 2008 19:49

Ich habe die Dateien nicht eingesehen und da sie schädlichen Code enthalten können auch sogleich vorsorglich gelöscht!
Bitte dieses NIE mehr wiederholen, danke.

Zum .htaccess-Schutz:
Den sollte man besser selber oder mit dem Server-Managementtool erstellen, bei Dir also mit Plesk.
Ich verlasse mich da nie auf die Hilfen in den einzelnen Scripten selber!
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per ICQ, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per ICQ, Email or PM. Each unasked message will be ignored!

Holger
User
User
Beiträge: 2253
Registriert: Mi 17.Mär, 2004 18:09

Beitrag von Holger » So 25.Mai, 2008 20:51

Ich habe die js.php mit Textpad geöffnet, natürlich nicht ausgeführt.
Auch die html-Datei enthält "normales" HTML.
Ich bin der Meinung, die Dateien können gefahrlos in einem Editor geöffnet werden.
Schade, die js.php hätte wahrscheinlich Aufschluss darüber gegeben, was passiert ist.

Der Dumper ist der 1.23 Prerelease.

Es geht auch nicht um einen Root-Server, sondern um ein Webhoster (surftown).

Benutzeravatar
oxpus
Administrator
Administrator
Beiträge: 29108
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus » So 25.Mai, 2008 21:04

1. Die Dateien kann man mit einem Editor gefahrlos öffnen, richtig, aber ich verbreite hier keine schädlichen Dateien!

2. Was sagt und das Wort "prerelease"? Richtig: NIE in produktiven Umgebungen einsetzen!

3. Was macht es für einen Unterschied, ob es um einen Rootserver oder einen Webspace geht? Die Serveradminoberfläche sollte so oder so einen Verzeichnisschutz erstellen können. Das ist eine der elemenataren Funktionen solch einer Software ;)
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per ICQ, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per ICQ, Email or PM. Each unasked message will be ignored!

Holger
User
User
Beiträge: 2253
Registriert: Mi 17.Mär, 2004 18:09

Beitrag von Holger » Fr 06.Jun, 2008 16:45

Es passiert immer wieder.
Nun haben wir den Dumper nicht auf dem Server.
Wie kann ich einen bestimmten referer blocken? Also Besucher die von einem bestimmten Referer zu uns geschikt werden.

Benutzeravatar
oxpus
Administrator
Administrator
Beiträge: 29108
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus » Fr 06.Jun, 2008 18:05

Mit einer .htaccess.
Also z. B.

Code: Alles auswählen

RewriteEngine On
# prevent perl user agent (most often used by santy)
RewriteCond %{HTTP_USER_AGENT} ^lwp.* [NC]
RewriteRule ^.*$ http://127.0.0.1/ [R,L]
Und anstelle "lwp." kannst Du den unerwünschten Referer eintragen.
Vorausgesetzt, im Apache ist das Modul "mod_rewrite" aktiv eingebunden. Das siehst Du schon, wenn Du die phpinfo() aufrufst. Dort werden die Apache Module gelistet.
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per ICQ, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per ICQ, Email or PM. Each unasked message will be ignored!

Holger
User
User
Beiträge: 2253
Registriert: Mi 17.Mär, 2004 18:09

Beitrag von Holger » Fr 06.Jun, 2008 18:39

Was macht die Zeile mit 127.0.0.1?

Also kann ich
RewriteCond %{HTTP_USER_AGENT} ^lwp.* [NC]
z.B. ersetzen durch
RewriteCond %{HTTP_USER_AGENT} ^www.google.de* [NC]

????

Benutzeravatar
oxpus
Administrator
Administrator
Beiträge: 29108
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus » Fr 06.Jun, 2008 22:24

127.0.0.1 ist "localhost", also der Verweis auf den eigenen Rechner.
Somit käme dieser Referer nicht auf Dein Board.
Wenn Du hier google angibst, wird jeder Google-Bot geblockt...
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per ICQ, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per ICQ, Email or PM. Each unasked message will be ignored!

Holger
User
User
Beiträge: 2253
Registriert: Mi 17.Mär, 2004 18:09

Beitrag von Holger » Mo 09.Jun, 2008 08:45

Hm, es wird IMMER WIEDER eine einzige Datei abgefragt.
Ein auszug von MASSEN aus der Loggdatei:
---.-----.cz - - [07/Jun/2008:03:48:59 +0200] "GET /images/artists/rng/pic13.jpg HTTP/1.1" 403 318 "http://www.-----.com/?media=0" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; from www.-----.cz; .NET CLR 1.1.4322)"
"---.-----.cz" ändert sich immer.
Es wird immer wieder pic13.jpg angefordert.
Diese Datei gibt es nicht mehr, der ganze Ordner wurde gelöscht.
Egal was wir tun ... das Forum wird immer wieder gahackt.
Wir haben die htaccess angepasst, die Passwords werden jeden Tag geändert usw.
Wir hatten mal ein Backdoor-Script gefunden.
Aber das habe ich entfernt, und kein neues gefunden.

Was KANN ich tun?

Benutzeravatar
oxpus
Administrator
Administrator
Beiträge: 29108
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus » Mo 09.Jun, 2008 09:03

Egal was wir tun ... das Forum wird immer wieder gahackt.
Wie ist das denn jetzt zu verstehen?
Dann muss doch eine Sicherheitslücke in einem der Scripte vorhanden sein.
Oder hast Du openssl noch nicht aktualisiert?
Ist PHP auch aktuell, also Version 5.2.6?

Kommen die Scripte im Dein Forum herum aus Quellen, die regelmässig aktualisieren und Sicherheitslücken schliessen?
Wenn die Datei laut Log-File aufgerufen wird, dabei allerdings nicht gefunden wird, kommt, wie auch im Log-File zu entnehmen, ein 403er HTML-Fehler zurück = Objekt nicht gefunden.
Das ist dann auch nicht nur bei Dir, sondern auf 99,99999% aller aus dem Internet erreichbaren Server in den Logfiles zu finden, also solche erfolglosen Zugriffe auf irgendwelche Dateien, die "vermutet" werden.
Solange das erfolglos bleibt und immer weiter 403er Fehlercodes mit angeführt werden, ist das auch okay und kein Grund zur Panik.

Wenn das Board jedoch wirklich permanent gehackt sein würde, hättest Du schon lange keinen Zugriff auf Deinen Server mehr, dem ist aber nicht so.
Also definiere bitte genau, was angeblich "gehackt" wurde und würdige alle auf Deinem Server installierten Scripte sehr kritisch, ob die nicht ggf. Sicherheitslücken aufweisen könnten und/oder darauf verzichtet werden kann.

Denn eins muss Dir klar sein: Je mehr Scripte auf einem Server laufen, desto mehr potenzielle Sicherheitslücken können auftreten, die den Hackern Tür und Tor öffnen können.
Dazu ist es auch Deine Pflicht, wenn Du schon einen Root-Server hast, diesen auch in allen Punkten ständig aktuell zu halten, um nicht Gefahr zu laufen, daß jemand bestehende Lücken ausnutzt. Und mit allen Punkten meine ich neben dem Betriebssystem auch alle anderen Dienste wie Email, FTP, Webserver, Datenbank, Admin-Tools wie Plesk, etc.!!!

Die in Debian vorhandene SSL-Schlüsselschwäche, die auch bei Dir eine Rolle spielt, ist dabei extrem ernst zu nehmen und muss dringend abgestellt werden. Solltest Du dabei nicht weiter kommen, also umgehend an S4U wenden, damit die Dir helfen. Und das bereits "VORGESTERN"!!!
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per ICQ, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per ICQ, Email or PM. Each unasked message will be ignored!

Holger
User
User
Beiträge: 2253
Registriert: Mi 17.Mär, 2004 18:09

Beitrag von Holger » Mo 09.Jun, 2008 09:10

STOP!
Es ist nicht eines MEINER Foren, es geht um euro-rap.com
Das liegt bei Surftown, ein ganz normales Webhotel.

Benutzeravatar
oxpus
Administrator
Administrator
Beiträge: 29108
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus » Mo 09.Jun, 2008 10:11

Ach das.
Ja, war ja auch mal was.
Hm, Surftown... Vielleicht mal mit dem Hoster sprechen oder sich im Inet kundig machen, was ggf. über die und deren Sicherheit bekannt ist.
Wenn bei einer einfachen Suche schon herbe Beiträge hervorkommen, sollte man über einen Providerwechsel nachdenken. Und das schnellstens!
Schliesslich ist der Hoster mit verantwortlich dafür, daß die Systeme sicher sind.

BTW:
Hatten die nicht auch einen Root- oder eher einen Managed-Server, bzw. "nur" Webspace?
Bei letzteren beiden ist der Hoster alleine in der Pflicht, die Systeme sicher und aktuell zu halten, bei einem Root-Server nicht.
Dazu finde ich auf der Homepage von Surftown eine One-Click-Toolbox mit Mambo, phpNuke, phpBB und ähnlichem und da stellt sich mir schon die Frage, wie aktuell die Pakete gehalten werden ;)
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per ICQ, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per ICQ, Email or PM. Each unasked message will be ignored!

Holger
User
User
Beiträge: 2253
Registriert: Mi 17.Mär, 2004 18:09

Beitrag von Holger » Mo 09.Jun, 2008 10:14

euro-rap liegt auf einem normalen Webspace.
Das Problem: wir wissen nicht, wer für diese Hacks verantwortlich ist ... wir oder ST.
Sind die Hacker durch eine alte PHP-Version reingekommen oder durch das stark modifizierte Forum.

Benutzeravatar
oxpus
Administrator
Administrator
Beiträge: 29108
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus » Mo 09.Jun, 2008 11:00

Wenn PHP veraltet ist, liegt die Schuld schon mal mindestens zu 50 % beim Hoster. Ausser er nimmt Updates an den Servern nur auf Anfrage der Kunden vor und aktualisiert nicht automatisch.
Das Forum ist aber selber installiert?
Dann muss man es auch selber warten.
Alles andere ist dann aber Sache des Providers, also Mysql. PHP, Webserver, Email, FTP, etc...
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per ICQ, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per ICQ, Email or PM. Each unasked message will be ignored!

Holger
User
User
Beiträge: 2253
Registriert: Mi 17.Mär, 2004 18:09

Beitrag von Holger » Mo 09.Jun, 2008 11:30

Ja, das ist uns klar ...
Im Moment können wir nicht mal mehr auf FTP zugreiffen, weil die 5 Connections immer ausgelastet sind.
Wenn wir ein anderes Passwort einstellen geht es eine Minute gut, danach bekommen wir immer Abbruch, weil die 5 Connections wieder voll sind.


Surftown beutzt
php version: 4.4.7
mysql version: 4.1.15
Zuletzt geändert von Holger am Mo 09.Jun, 2008 11:45, insgesamt 1-mal geändert.

Benutzeravatar
oxpus
Administrator
Administrator
Beiträge: 29108
Registriert: Mo 27.Jan, 2003 22:13
Wohnort: Bad Wildungen
Kontaktdaten:

Beitrag von oxpus » Mo 09.Jun, 2008 13:33

PHP ist veraltet, selbst das 4.4.8 ist technisch nicht mehr auf dem neuesten Stand, PHP 5 ist mittlerweile Pflicht.
Wenn die Sessions per FTP zu sind, dann muss der Hoster hier dringend mal klären, wer die anderen Sessions verwendet, denn das ist alles andere als normal.
Und wenn der keine (klärende) Auskunft gibt: Umziehen und das umgehend!
Karsten Ude
-={ Das Mädchen für alles }=-
Kein Support per ICQ, Email oder PN! Unaufgeforderte Nachrichten werden ignoriert!
No support per ICQ, Email or PM. Each unasked message will be ignored!

Gesperrt