Hackerangriff mit Layer-Ads Werbung?

CatZe · Beitrag von **CatZe** » 13.10.2006 16:03

hiho mgutt,

zB. so:

netstat -an | grep 6667

larsneo · Beitrag von **larsneo** » 13.10.2006 17:07

aufgrund der remote code injection würde ich das system als 'nicht mehr sicher' einstufen und von daher eine komplette neuinstallation mit kontrolle aller dateien empfehlen.
ich hatte in der vergangenheit schon mehrfach fälle in der analyse, bei denen rootkits/backdoors/irc bots teilweise monatelang vom inhaber des servers unbemerkt ihren dienst verrichten konnten...
beim neuaufsetzen dann vielleicht ein wenig mehr auf die sicherheit achten (stichwort: allow_url_fopen und ggfs. modsecurity)

weiterer lesestoff: *klick* und *klack*

mgutt · Beitrag von **mgutt** » 13.10.2006 19:15

Der Server hat keine zusätzlichen Dienste laufen. Alle Ports sind noch auf Standard. Es gibt also nichts zu bemängeln bisher. IRC Dienste sind weder aktiv noch zusätzlich installiert worden.

CatZe · Beitrag von **CatZe** » 13.10.2006 19:58

hoi,

hast auch mit chkrootkit auf eventuelle Rootkits ueberprueft?

mgutt · Beitrag von **mgutt** » 13.10.2006 20:31

Also ich mache jetzt folgendes. Ich hacke meinen Server mit dem Script des Hackers. Dann sehe ich doch auf was ich alles zugreifen kann.

Ich habe die .txt Datei studiert. Sie gibt verschiedenste Dateien und Werte aus (auch mysql Passwörter etc.).

Also probiere ich es einfach mal aus, was mein Server überhaupt gestattet.

Gruß

Nicht gerade ermutigend was ich da sehe:
- ich kann die config.php einsehen (und von dort direkt auf die datenbank wechseln)
- ich kann ins admin-folder trotz .htaccess Schutz
- ich kann auf meine mysql-tabelle zugreifen
- ich kann werte in der datenbank ändern, hinzufügen oder löschen (dies trifft auf werte, spalten und ganze tabelle zu)
- ich kann sofort sehen welche verzeichnisse änderungen erlauben
- ich kann den quellcode ALLER Dateien einsehen
- ich kann alle dateien ändern, die über entsprechende rechte verfügen
- ich kann offene ports anzeigen lassen (keine vorhanden)

Es folgen gleich ein paar Screenshots, sobald ich die empfindlichen Daten zensiert habe...

EDIT:
Die Bilder:
[ externes Bild ]
[ externes Bild ]
[ externes Bild ]
[ externes Bild ]
[ externes Bild ]
[ externes Bild ]
[ externes Bild ]

IPB_Flüchtling · Beitrag von **IPB_Flüchtling** » 13.10.2006 21:40

Ahoi mgutt,

ist in Deiner shoutbox.php denn der phpbb_root_path nicht korrekt definiert? Hast Du mal einen Link zu dem Mod?

Hattest Du ptirhiiks Sicherheits-Add-on auf maxrev.de bereits im Einsatz?

Auch interessant: http://www.google.de/search?hl=de&q=%22c99.txt%22&meta=

Alles Gute!
IPB_Flüchtling

mgutt · Beitrag von **mgutt** » 13.10.2006 21:51

Ja hatte ich. Aber da greift kein Securitymod, da die root_path Variable noch vor allen anderen Dateien generiert wurde.

Es ist so, dass beim include() die phpbb_root_path aufgerufen wird und wenn da müll drin ist, dann gibt es keine hürde mehr für den hacker.

Aber ich habe an Hand der Logfile gesehen, dass er sonst nichts auf dem Server unternommen hat.

Ich erstatte aber dennoch Anzeige und übermittle die IPs an die entsprechenden Behörden. Man weiß ja nie.

Gruß

CatZe · Beitrag von **CatZe** » 13.10.2006 21:54

hiho mgutt,

sichere die Daten, und vorallem die Logfiles!

und dann schnellstens das System neu aufsetzen. Die Gefahr, dass die die Kiste aufgemacht haben ist sehr gross und dann bekommst Du die nimmer dicht.

Luckyze · Beitrag von **Luckyze** » 13.10.2006 22:03

hi

und wenn er gleich das internet zum server erstmal trennt?

greetz Luckyze

CatZe · Beitrag von **CatZe** » 13.10.2006 22:04

Luckyze hat geschrieben: und wenn er gleich das internet zum server erstmal trennt?

erst denken, dann schreiben

SCNR