Seite 1 von 1

Forum gehackt

Verfasst: So 25.Mai, 2008 20:24
von Holger
Moin,

wir kämpfen gerade gegen einen Hacker, der jetzt schon einige Male eines unserer Foren gelöscht hat.
Ich hänge jetzt ein Skript an, das ich im "work"-Ordner von mysqldumper gefunden habe.
Achtung: Ich weiss nicht, was dieses Skript tut.
Wäre intressant zu hören, was ihr dazu sagt.

Der Dumper war mit htaccess geschützt.
Der Hacker hat die DB gelöscht und alle Ordner mit Schreibrechte (avatars/upload, cache, attachment mod files usw) auf dem Server geleert.

Der Schaden ist gross.

Was macht das angehängte Skript?

Gruss
Holger

Edit: wir haben den Mod Music Box installiert.
Dort (im Ordner music_box) haben wir die Datei index.html.1 gefunden. Was soll die?

[ Attachment gelöscht am So 25.Mai, 2008 20:48 von oxpus ]

[ Attachment gelöscht am So 25.Mai, 2008 20:48 von oxpus ]

Verfasst: So 25.Mai, 2008 20:35
von cback
Wie alt ist Dein Dumper? Hatte mal bezüglich dem internen .htaccess Generator ein Bug glaube ich.

Verfasst: So 25.Mai, 2008 20:49
von oxpus
Ich habe die Dateien nicht eingesehen und da sie schädlichen Code enthalten können auch sogleich vorsorglich gelöscht!
Bitte dieses NIE mehr wiederholen, danke.

Zum .htaccess-Schutz:
Den sollte man besser selber oder mit dem Server-Managementtool erstellen, bei Dir also mit Plesk.
Ich verlasse mich da nie auf die Hilfen in den einzelnen Scripten selber!

Verfasst: So 25.Mai, 2008 21:51
von Holger
Ich habe die js.php mit Textpad geöffnet, natürlich nicht ausgeführt.
Auch die html-Datei enthält "normales" HTML.
Ich bin der Meinung, die Dateien können gefahrlos in einem Editor geöffnet werden.
Schade, die js.php hätte wahrscheinlich Aufschluss darüber gegeben, was passiert ist.

Der Dumper ist der 1.23 Prerelease.

Es geht auch nicht um einen Root-Server, sondern um ein Webhoster (surftown).

Verfasst: So 25.Mai, 2008 22:04
von oxpus
1. Die Dateien kann man mit einem Editor gefahrlos öffnen, richtig, aber ich verbreite hier keine schädlichen Dateien!

2. Was sagt und das Wort "prerelease"? Richtig: NIE in produktiven Umgebungen einsetzen!

3. Was macht es für einen Unterschied, ob es um einen Rootserver oder einen Webspace geht? Die Serveradminoberfläche sollte so oder so einen Verzeichnisschutz erstellen können. Das ist eine der elemenataren Funktionen solch einer Software ;)

Verfasst: Fr 06.Jun, 2008 17:45
von Holger
Es passiert immer wieder.
Nun haben wir den Dumper nicht auf dem Server.
Wie kann ich einen bestimmten referer blocken? Also Besucher die von einem bestimmten Referer zu uns geschikt werden.

Verfasst: Fr 06.Jun, 2008 19:05
von oxpus
Mit einer .htaccess.
Also z. B.

Code: Alles auswählen

RewriteEngine On
# prevent perl user agent (most often used by santy)
RewriteCond %{HTTP_USER_AGENT} ^lwp.* [NC]
RewriteRule ^.*$ http://127.0.0.1/ [R,L]
Und anstelle "lwp." kannst Du den unerwünschten Referer eintragen.
Vorausgesetzt, im Apache ist das Modul "mod_rewrite" aktiv eingebunden. Das siehst Du schon, wenn Du die phpinfo() aufrufst. Dort werden die Apache Module gelistet.

Verfasst: Fr 06.Jun, 2008 19:39
von Holger
Was macht die Zeile mit 127.0.0.1?

Also kann ich
RewriteCond %{HTTP_USER_AGENT} ^lwp.* [NC]
z.B. ersetzen durch
RewriteCond %{HTTP_USER_AGENT} ^www.google.de* [NC]

????

Verfasst: Fr 06.Jun, 2008 23:24
von oxpus
127.0.0.1 ist "localhost", also der Verweis auf den eigenen Rechner.
Somit käme dieser Referer nicht auf Dein Board.
Wenn Du hier google angibst, wird jeder Google-Bot geblockt...

Verfasst: Mo 09.Jun, 2008 09:45
von Holger
Hm, es wird IMMER WIEDER eine einzige Datei abgefragt.
Ein auszug von MASSEN aus der Loggdatei:
---.-----.cz - - [07/Jun/2008:03:48:59 +0200] "GET /images/artists/rng/pic13.jpg HTTP/1.1" 403 318 "http://www.-----.com/?media=0" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; from www.-----.cz; .NET CLR 1.1.4322)"
"---.-----.cz" ändert sich immer.
Es wird immer wieder pic13.jpg angefordert.
Diese Datei gibt es nicht mehr, der ganze Ordner wurde gelöscht.
Egal was wir tun ... das Forum wird immer wieder gahackt.
Wir haben die htaccess angepasst, die Passwords werden jeden Tag geändert usw.
Wir hatten mal ein Backdoor-Script gefunden.
Aber das habe ich entfernt, und kein neues gefunden.

Was KANN ich tun?

Verfasst: Mo 09.Jun, 2008 10:03
von oxpus
Egal was wir tun ... das Forum wird immer wieder gahackt.
Wie ist das denn jetzt zu verstehen?
Dann muss doch eine Sicherheitslücke in einem der Scripte vorhanden sein.
Oder hast Du openssl noch nicht aktualisiert?
Ist PHP auch aktuell, also Version 5.2.6?

Kommen die Scripte im Dein Forum herum aus Quellen, die regelmässig aktualisieren und Sicherheitslücken schliessen?
Wenn die Datei laut Log-File aufgerufen wird, dabei allerdings nicht gefunden wird, kommt, wie auch im Log-File zu entnehmen, ein 403er HTML-Fehler zurück = Objekt nicht gefunden.
Das ist dann auch nicht nur bei Dir, sondern auf 99,99999% aller aus dem Internet erreichbaren Server in den Logfiles zu finden, also solche erfolglosen Zugriffe auf irgendwelche Dateien, die "vermutet" werden.
Solange das erfolglos bleibt und immer weiter 403er Fehlercodes mit angeführt werden, ist das auch okay und kein Grund zur Panik.

Wenn das Board jedoch wirklich permanent gehackt sein würde, hättest Du schon lange keinen Zugriff auf Deinen Server mehr, dem ist aber nicht so.
Also definiere bitte genau, was angeblich "gehackt" wurde und würdige alle auf Deinem Server installierten Scripte sehr kritisch, ob die nicht ggf. Sicherheitslücken aufweisen könnten und/oder darauf verzichtet werden kann.

Denn eins muss Dir klar sein: Je mehr Scripte auf einem Server laufen, desto mehr potenzielle Sicherheitslücken können auftreten, die den Hackern Tür und Tor öffnen können.
Dazu ist es auch Deine Pflicht, wenn Du schon einen Root-Server hast, diesen auch in allen Punkten ständig aktuell zu halten, um nicht Gefahr zu laufen, daß jemand bestehende Lücken ausnutzt. Und mit allen Punkten meine ich neben dem Betriebssystem auch alle anderen Dienste wie Email, FTP, Webserver, Datenbank, Admin-Tools wie Plesk, etc.!!!

Die in Debian vorhandene SSL-Schlüsselschwäche, die auch bei Dir eine Rolle spielt, ist dabei extrem ernst zu nehmen und muss dringend abgestellt werden. Solltest Du dabei nicht weiter kommen, also umgehend an S4U wenden, damit die Dir helfen. Und das bereits "VORGESTERN"!!!

Verfasst: Mo 09.Jun, 2008 10:10
von Holger
STOP!
Es ist nicht eines MEINER Foren, es geht um euro-rap.com
Das liegt bei Surftown, ein ganz normales Webhotel.

Verfasst: Mo 09.Jun, 2008 11:11
von oxpus
Ach das.
Ja, war ja auch mal was.
Hm, Surftown... Vielleicht mal mit dem Hoster sprechen oder sich im Inet kundig machen, was ggf. über die und deren Sicherheit bekannt ist.
Wenn bei einer einfachen Suche schon herbe Beiträge hervorkommen, sollte man über einen Providerwechsel nachdenken. Und das schnellstens!
Schliesslich ist der Hoster mit verantwortlich dafür, daß die Systeme sicher sind.

BTW:
Hatten die nicht auch einen Root- oder eher einen Managed-Server, bzw. "nur" Webspace?
Bei letzteren beiden ist der Hoster alleine in der Pflicht, die Systeme sicher und aktuell zu halten, bei einem Root-Server nicht.
Dazu finde ich auf der Homepage von Surftown eine One-Click-Toolbox mit Mambo, phpNuke, phpBB und ähnlichem und da stellt sich mir schon die Frage, wie aktuell die Pakete gehalten werden ;)

Verfasst: Mo 09.Jun, 2008 11:14
von Holger
euro-rap liegt auf einem normalen Webspace.
Das Problem: wir wissen nicht, wer für diese Hacks verantwortlich ist ... wir oder ST.
Sind die Hacker durch eine alte PHP-Version reingekommen oder durch das stark modifizierte Forum.

Verfasst: Mo 09.Jun, 2008 12:00
von oxpus
Wenn PHP veraltet ist, liegt die Schuld schon mal mindestens zu 50 % beim Hoster. Ausser er nimmt Updates an den Servern nur auf Anfrage der Kunden vor und aktualisiert nicht automatisch.
Das Forum ist aber selber installiert?
Dann muss man es auch selber warten.
Alles andere ist dann aber Sache des Providers, also Mysql. PHP, Webserver, Email, FTP, etc...

Verfasst: Mo 09.Jun, 2008 12:30
von Holger
Ja, das ist uns klar ...
Im Moment können wir nicht mal mehr auf FTP zugreiffen, weil die 5 Connections immer ausgelastet sind.
Wenn wir ein anderes Passwort einstellen geht es eine Minute gut, danach bekommen wir immer Abbruch, weil die 5 Connections wieder voll sind.


Surftown beutzt
php version: 4.4.7
mysql version: 4.1.15

Verfasst: Mo 09.Jun, 2008 14:33
von oxpus
PHP ist veraltet, selbst das 4.4.8 ist technisch nicht mehr auf dem neuesten Stand, PHP 5 ist mittlerweile Pflicht.
Wenn die Sessions per FTP zu sind, dann muss der Hoster hier dringend mal klären, wer die anderen Sessions verwendet, denn das ist alles andere als normal.
Und wenn der keine (klärende) Auskunft gibt: Umziehen und das umgehend!