pabatribick
Grünschnabel
Guten Abend,
ich benötige mal ein paar experten und zwar hatte ich vor einigen Tagen einen Angriff auf meinem Webserver, und mein Hostingprovider entdeckte den Unbekannten zugriff und fuhr den Server sofort hinunter.
Anschließend kam eine Mail vom Provider mit folgendem Inhalt:
dabei meinte mein Provider dass einige Dienste auffällig sind:
Was ich darauß lesen kann, ist, dass der Benutzer "www-data" also sprich Apache etwas ausführt, wobei dann mein Hoster noch darunter geschrieben hat, dass sie davon ausgehen, dass eine Sicherheitslücke in PHP ausgenutzt worden sei anhand dieses Access-Logfiles:
und ab da wars dann aus mit meinem Wissen
wobei ich denke, dass der Angreifer über PHP diesen Code an den Server per $_POST gesendet hat.
Zusätzlich wurde in der Crontab ein Eintrag des Angreifers getätigt, der immer wieder den Schadprozess gestartet hat.
Zum Schluss soll ich mir noch mehr genauere Informationen des Exploits unter folgendem Link holen: http://www.exploit-db.com/exploits/29290/
Meine Frage an euch, was meint ihr, was da schief gelaufen ist oder besser gesagt, was unsicher war?
Bitte um Hilfe
ich benötige mal ein paar experten und zwar hatte ich vor einigen Tagen einen Angriff auf meinem Webserver, und mein Hostingprovider entdeckte den Unbekannten zugriff und fuhr den Server sofort hinunter.
Anschließend kam eine Mail vom Provider mit folgendem Inhalt:
"...Wir mussten bei unseren Prüfungen feststellen, dass Ihr Server anscheinend von unberechtigten Dritten übernommen wurde. Die Angreifer hatten Zugriff auf das System, die uns vorliegenden Informationen fügen wir dieser Mail bei..."
dabei meinte mein Provider dass einige Dienste auffällig sind:
Code:
www-data 21999 27.8 0.0 22816 3596 ? S Nov01 2385:57 /usr/sbin/sshd
www-data 22010 45.6 0.0 22816 3556 ? R Nov01 3916:12 /usr/sbin/sshd
www-data 22029 40.9 0.0 22816 3556 ? R Nov01 3506:32 /usr/sbin/sshd
www-data 22047 23.9 0.0 22816 3552 ? R Nov01 2055:01 /usr/sbin/sshd
www-data 26535 28.4 0.0 22816 3532 ? S Nov05 1055:39 /usr/sbin/sshd
www-data 26543 0.8 0.0 22816 3672 ? S Nov05 29:41 /usr/sbin/sshd
www-data 27682 0.7 0.0 22816 3552 ? S Nov05 27:44 /usr/sbin/sshd
www-data 32586 0.7 0.0 22816 3552 ? S Nov05 26:25 /usr/sbin/sshd
www-data 32592 13.2 0.0 22816 3612 ? S Nov05 486:14 /usr/sbin/sshd
www-data 32665 0.7 0.0 22816 3552 ? S Nov05 27:12 /usr/sbin/sshd
www-data 32674 21.9 0.0 22816 3592 ? R Nov05 801:05 /usr/sbin/sshd
www-data 11505 5.4 0.0 22816 3600 ? S Nov05 167:34 /usr/sbin/sshd
www-data 11522 4.3 0.0 22816 3552 ? S Nov05 133:20 /usr/sbin/sshd
www-data 11537 23.5 0.0 22816 3600 ? R Nov05 720:33 /usr/sbin/sshd
www-data 11556 3.9 0.0 22816 3552 ? S Nov05 122:08 /usr/sbin/sshd
www-data 11577 4.3 0.0 22816 3552 ? S Nov05 133:44 /usr/sbin/sshd
www-data 1346 0.0 0.0 22816 2848 ? S Nov05 0:00 /usr/sbin/sshd
www-data 1353 0.9 0.0 22816 3552 ? S Nov05 20:54 /usr/sbin/sshd
www-data 1382 0.0 0.0 22816 2840 ? S Nov05 0:00 /usr/sbin/sshd
www-data 1385 0.8 0.0 22816 3552 ? S Nov05 18:51 /usr/sbin/sshd
www-data 1387 0.0 0.0 22816 2840 ? S Nov05 0:00 /usr/sbin/sshd
www-data 1390 0.7 0.0 22816 3552 ? S Nov05 16:49 /usr/sbin/sshd
www-data 1392 0.0 0.0 22816 2840 ? S Nov05 0:00 /usr/sbin/sshd
www-data 1395 0.8 0.0 22816 3556 ? S Nov05 18:51 /usr/sbin/sshd
www-data 1413 0.0 0.0 22816 2840 ? S Nov05 0:00 /usr/sbin/sshd
www-data 1416 13.9 0.0 22816 3604 ? R Nov05 323:32 /usr/sbin/sshd
www-data 1421 0.0 0.0 22816 2840 ? S Nov05 0:00 /usr/sbin/sshd
www-data 1424 0.7 0.0 22816 3556 ? S Nov05 18:06 /usr/sbin/sshd
Was ich darauß lesen kann, ist, dass der Benutzer "www-data" also sprich Apache etwas ausführt, wobei dann mein Hoster noch darunter geschrieben hat, dass sie davon ausgehen, dass eine Sicherheitslücke in PHP ausgenutzt worden sei anhand dieses Access-Logfiles:
Code:
/var/log/apache2/access.log:37.187.x.y - - [03/Nov/2013:14:35:49 +0100] "POST //%63%67%69%2D%62%69%6E/%70%68%70?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76%3D%30+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%6E HTTP/1.1" 200 354 "-" "-"
und ab da wars dann aus mit meinem Wissen

Zusätzlich wurde in der Crontab ein Eintrag des Angreifers getätigt, der immer wieder den Schadprozess gestartet hat.
Zum Schluss soll ich mir noch mehr genauere Informationen des Exploits unter folgendem Link holen: http://www.exploit-db.com/exploits/29290/
Meine Frage an euch, was meint ihr, was da schief gelaufen ist oder besser gesagt, was unsicher war?
Bitte um Hilfe

Zuletzt bearbeitet: