Hackerangriff mit Layer-Ads Werbung?

[Luckyze]

hi

naja, war ja bloss ne frage.

greetz Luckyze

[mgutt]

hiho mgutt,

sichere die Daten, und vorallem die Logfiles!

und dann schnellstens das System neu aufsetzen. Die Gefahr, dass die die Kiste aufgemacht haben ist sehr gross und dann bekommst Du die nimmer dicht.

Sei mir nicht böse, aber wie kommst Du darauf, dass dies nötig wäre. An Hand der Logfiles sieht man eindeutig, was von außen für Zugriffe erfolgt sind und Ports wurden keine verwendet, weil keine offen sind. Weiterhin hat der Hacker "nur" die eine Datei geändert.

Dies kann man alles gut nachvollziehen. Ich bin jeden Schritt nachgegangen, den er gemacht hat.

Nur das mit der Werbung macht micht stutzig. Ist er wirklich so blöd und bindet Werbung ein von sich selbst. Dann wäre es hoffentlich ein leichtes ihn festzusetzen. Den Rest macht dann die Polizei.

Im Endeffekt kann ich ihm danken, denn so weiß ich was ich noch verbessern muss, damit sowas nicht mehr passieren kann.

Aber ein Neuaufsetzen sehe ich hier nicht als Lösung. Weiterhin hat mir mein Techniker versichert, dass keine Dienste installiert, verändert oder geegn den Standard lauffähig gemacht wurden.

Ich hoffe jetzt einfach mal, dass sich da jemand "versucht" hat, der eigentlich keinen Peil hat und dann vielleicht sogar dumm war. Wir werden sehen. Ich werde bestimmt nicht still stehen den Verursacher dingfest zu machen.

Gruß

[CatZe]

Ich hoffe jetzt einfach mal, dass sich da jemand "versucht" hat, der eigentlich keinen Peil hat und dann vielleicht sogar dumm war.

oder richtig gut .. und den Rest der Spuren verwischt hat ..

Aber es ist Deine Entscheidung

[mgutt]

Dazu hätte er die Logfiles ändern müssen und das geht nunmal gar nicht. Alleine aus dem Grund, dass die erst morgen verfügbar gewesen wäre.

Gruß

[CatZe]

oh? Du logst remote?

[mgutt]

Für Remote hätte er aber erst die offenen Ports scannen müssen oder nicht? Das hat er nämlich nicht. Das hätte ja in der Logfile auftauchen müssen. Und wie willst Du einen Port per ftp oder php öffnen?

[IPB_Flüchtling]

Ja hatte ich. Aber da greift kein Securitymod, da die root_path Variable noch vor allen anderen Dateien generiert wurde.

Es ist so, dass beim include() die phpbb_root_path aufgerufen wird und wenn da müll drin ist, dann gibt es keine hürde mehr für den hacker.

Ahoi,

kannst Du das bitte näher erläutern (oder gibt es irgendwo einen guten Link)?

Ich habe mir immer gedacht, dass solche URL-Tricks, wie sie bei Dir zur Anwendung gekommen zu sein scheinen, nicht funktionieren, wenn der phpbb_root_path ordentlich definiert worden ist:

Code: Alles auswählen

$phpbb_root_path = './';

Und includierte Dateien kann man ja ebenfalls absichern, sodass auch hier URL-Spielereien nichts fruchten:

Code: Alles auswählen

 if ( !defined('IN_PHPBB') )
{
	die('Hacking attempt');
}

LG, IPB_Flüchtling

[mgutt]

Ja, aber der Modder der shoutbox hatte das nicht so gemacht. Er hat auf isset geprüft und sonst den "alten" wert beibehalten und der alte wert ist an dieser stelle dann dummerweise dank "register_globals on" gefüllt worden über die url

habe es aber geändert

Code: Alles auswählen

# allow register globals
php_flag register_globals off

# allow backslash escaping for Get / Post / Cookie
php_flag magic_quotes_gpc on

[larsneo]

wie oben bereits schon einmal kurz angesprochen solltest du - da ja root-zugriff besteht - auch die allow_url_fopen=off direktive und den suhosin patch bzw. die dazu gehörige extension in betracht ziehen; damit wird dann wirklich jegliche remote code injection unterbunden (und man erreicht ein gehöriges plus an sicherheit). modsecurity hilft mit einem passenden ruleset darüberhinaus, traffic einzusparen, der durch 'blinde' versuche inzwischen immer häufiger die logs füllt - und dann vielleicht noch den aktuellen pear:apc cache zum ausgleich für die performance installieren

und zum thema neuaufsetzen des servers habe ich ja schon meine meinung geschrieben - neben den bekannten kits ala c99 bzw. therules25 tummeln sich bei mir im exploit gruselkabinett inzwischen auch komplette rootkits für kernelexploits (aka h00lyshit)...

[cYbercOsmOnauT]

Wie bekomme ich den String encodiert? Ich habe an Hand der Werbung schon die Refid "5666" ausfindig gemacht. Die Firma Layer-Ads von denen die Werbung stammt ist telefonisch nicht zu erreichen.

Du meinst decodiert. Ist recht einfach. Ich hab Dir die Arbeit abgenommen. Decodiert wird folgendes ins document geschrieben:

Code: Alles auswählen

<script src="http://layer-ads.de/la-5666-subid:test.js" type="text/javascript"></script>

Die Screenshots die Du gepostest hast, zeigen den recht bekannten und beliebten c99 PHPShell.

Wer die Shell nutzt, legt sich auch gerne ein Backdoor auf den Server. Du weißt ja glücklicherweise wann die Attacke stattfand. Ich würde Deinen Server mal auf Scriptdateien durchsuchen, die später als an diesem Zeitpunkt auf den Server kamen.

Grüße,
Tekin