Seite geknackt

[schleckerbeck]

Hi,

hab folgendes Problem: Hab vor kurzem entdeckt, dass jemand meine Seite geknackt hatte. Hab einen eigenen Server auf dem SuSE 9.2 läuft. Ich frag mich wie die reingekommen sind. Über SSH ist es fast nicht möglich, da sich der nach 3 inkorrekten Eingaben für eine Stunde sperrt. Und das Passwort ist auch nicht ohne. (btw: root login is auch deaktiviert).
Dann hab ich in mein FTP Programm geschaut, und hab entdeckt, dass nur die index.html überschrieben wurde. Jedoch nicht mit meinem FTP User, sondern die Datei hat als Benutzer wwwrun und als Gruppe www. Also ist der schon mal nicht über FTP reingekommen. Aber wie dann? Hab bei mir auch nochmal nen Portscanner drüberlaufen lassen, is eigentlich nur das offen, was auch offen sein muss.

Kennt jemand evtl. noch irgend ne Möglichkeit wo mein Sicherheitsloch sein könnte? Evtl. gibts ja (mal wieder) irgendwas neues, wovon ich noch nix weiß.

thx!

 

[Sinac]

wwwrun hört sich nach Apache an, eventuell Angriff über ein Exploit auf deinen Apache? Sagen deine Logs was dazu?

 

[schleckerbeck]

Also in der messages steht nix drin. Hab zwar jetzt was gefunden, dass ewig oft versucht wurde per ssh auf meinen Server zu kommen, hat aber anscheinend ned funktioniert. Oder welche logs meinst du genau?

 

[Sinac]

Naja, das ist ja schonmal ein Hinweiß für einen Angriff. Wenn jemand wirklich übern Httpd reingekommen ist könnte das eventuell im Syslog oder /var/log/messages auffallen, höchstwahrscheinlich wurde der Dienst danach ja wieder neu gestartet. Ist dein Apache denn auf dem neuesten Stand?

 

[Alexander12]

Hi.

Wenn nicht, es gibt genügend Links für Apache.


MfG Alexander12

 

[schleckerbeck]

Hab Apache in der Version 2, und per OnlineUpdate eigentlich immer auf dem neuesten Stand. Muss mal schaun ob ich evtl. was am Apache falsch konfiguriert hab, dass dadurch ein Sicherheitsloch entstanden ist.

Mir würden aber sonst keine Möglichkeiten einfallen. Oder hat Apache irgend ein Sicherheitsloch, von dem ich noch nix weiß?

 

[Sven Mintel]

Wann wurde die index.html denn überschrieben?(Änderungsdatum)
Die Logdaten dieses Zeitraumes dürften u.U. mehr Hinweise bieten.

 

[Matthias Reitinger]

Vielleicht wurde ja auch eine Sicherheitslücke in einem PHP-Skript o.ä. ausgenutzt. Wäre nicht das erste mal, dass durch unsaubere Programmierung so eine Lücke entsteht

 

[Dennis Wronka]

Welche Apache- und PHP-Version hast Du?
Ich wuerde vorschlagen, dass Du mal mit Nessus und dem Rootkit Hunter Dein System ueberpruefst.
Wenn die einer der beiden Sicherheitsluecken findet dann solltest Du Dich drum kuemmern, egal in welcher Software, und selbst wenn es in emacs ist.

Weiterhin solltest Du fuer die Zukunft darueber nachdenken ob Du vielleicht einen Integritaetscheck wie Aide nutzen willst um eventuelle Aenderungen an wichtigen Dateien feststellen zu koennen.
Auch Snort koenntest Du Dir eventuell mal anschauen.