# Nach Webserverangriff Lücke in Logdatei finden?



## pabatribick (10. November 2013)

Guten Abend,

ich benötige mal ein paar experten und zwar hatte ich vor einigen Tagen einen Angriff auf meinem Webserver, und mein Hostingprovider entdeckte den Unbekannten zugriff und fuhr den Server sofort hinunter.
Anschließend kam eine Mail vom Provider mit folgendem Inhalt:


> "...Wir mussten bei unseren Prüfungen feststellen, dass Ihr Server anscheinend von unberechtigten Dritten übernommen wurde. Die Angreifer hatten Zugriff auf das System, die uns vorliegenden Informationen fügen wir dieser Mail bei..."



dabei meinte mein Provider dass einige Dienste auffällig sind:

```
www-data 21999 27.8 0.0 22816 3596 ? S Nov01 2385:57 /usr/sbin/sshd
www-data 22010 45.6 0.0 22816 3556 ? R Nov01 3916:12 /usr/sbin/sshd
www-data 22029 40.9 0.0 22816 3556 ? R Nov01 3506:32 /usr/sbin/sshd
www-data 22047 23.9 0.0 22816 3552 ? R Nov01 2055:01 /usr/sbin/sshd
www-data 26535 28.4 0.0 22816 3532 ? S Nov05 1055:39 /usr/sbin/sshd
www-data 26543 0.8 0.0 22816 3672 ? S Nov05 29:41 /usr/sbin/sshd
www-data 27682 0.7 0.0 22816 3552 ? S Nov05 27:44 /usr/sbin/sshd
www-data 32586 0.7 0.0 22816 3552 ? S Nov05 26:25 /usr/sbin/sshd
www-data 32592 13.2 0.0 22816 3612 ? S Nov05 486:14 /usr/sbin/sshd
www-data 32665 0.7 0.0 22816 3552 ? S Nov05 27:12 /usr/sbin/sshd
www-data 32674 21.9 0.0 22816 3592 ? R Nov05 801:05 /usr/sbin/sshd
www-data 11505 5.4 0.0 22816 3600 ? S Nov05 167:34 /usr/sbin/sshd
www-data 11522 4.3 0.0 22816 3552 ? S Nov05 133:20 /usr/sbin/sshd
www-data 11537 23.5 0.0 22816 3600 ? R Nov05 720:33 /usr/sbin/sshd
www-data 11556 3.9 0.0 22816 3552 ? S Nov05 122:08 /usr/sbin/sshd
www-data 11577 4.3 0.0 22816 3552 ? S Nov05 133:44 /usr/sbin/sshd
www-data 1346 0.0 0.0 22816 2848 ? S Nov05 0:00 /usr/sbin/sshd
www-data 1353 0.9 0.0 22816 3552 ? S Nov05 20:54 /usr/sbin/sshd
www-data 1382 0.0 0.0 22816 2840 ? S Nov05 0:00 /usr/sbin/sshd
www-data 1385 0.8 0.0 22816 3552 ? S Nov05 18:51 /usr/sbin/sshd
www-data 1387 0.0 0.0 22816 2840 ? S Nov05 0:00 /usr/sbin/sshd
www-data 1390 0.7 0.0 22816 3552 ? S Nov05 16:49 /usr/sbin/sshd
www-data 1392 0.0 0.0 22816 2840 ? S Nov05 0:00 /usr/sbin/sshd
www-data 1395 0.8 0.0 22816 3556 ? S Nov05 18:51 /usr/sbin/sshd
www-data 1413 0.0 0.0 22816 2840 ? S Nov05 0:00 /usr/sbin/sshd
www-data 1416 13.9 0.0 22816 3604 ? R Nov05 323:32 /usr/sbin/sshd
www-data 1421 0.0 0.0 22816 2840 ? S Nov05 0:00 /usr/sbin/sshd
www-data 1424 0.7 0.0 22816 3556 ? S Nov05 18:06 /usr/sbin/sshd
```

Was ich darauß lesen kann, ist, dass der Benutzer "www-data" also sprich Apache etwas ausführt, wobei dann mein Hoster noch darunter geschrieben hat, dass sie davon ausgehen, dass eine Sicherheitslücke in PHP ausgenutzt worden sei anhand dieses Access-Logfiles:


```
/var/log/apache2/access.log:37.187.x.y - - [03/Nov/2013:14:35:49 +0100] "POST //%63%67%69%2D%62%69%6E/%70%68%70?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76%3D%30+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%6E HTTP/1.1" 200 354 "-" "-"
```

und ab da wars dann aus mit meinem Wissen  wobei ich denke, dass der Angreifer über PHP diesen Code an den Server per $_POST gesendet hat.

Zusätzlich wurde in der Crontab ein Eintrag des Angreifers getätigt, der immer wieder den Schadprozess gestartet hat.

Zum Schluss soll ich mir noch mehr genauere Informationen des Exploits unter folgendem Link holen: http://www.exploit-db.com/exploits/29290/

Meine Frage an euch, was meint ihr, was da schief gelaufen ist oder besser gesagt, was unsicher war?

Bitte um Hilfe


----------



## hendl (10. November 2013)

Hi

Die AccesLog wurde HTML encoded und sieht decoded so aus damit du dir in etwa vorstellen kannst was er aufgerufen hat:

```
cgi-bin/php?-d allow_url_include=on -d safe_mode=off -d suhosin.simulation=on -d disable_functions="" -d open_basedir=none -d auto_prepend_file=php://input -d cgi.force_redirect=0 -d cgi.redirect_status_env=0 -d auto_prepend_file=php://input -n
```
Mit diesem Befehl hat der Angreifer dann die Schwachstelle im System ausgenutzt.

edit komerischerweise ist der Codetag scrollbar obwohl es nur 4 Zeilen sind 
Lg hendl


----------



## pabatribick (10. November 2013)

hey,

danke für die schnelle reaktion 

die frage ist noch, ob das seine IP ist: 
/var/log/apache2/access.log:37.187.x.y ?

und wie der angreifer dies ausführen konnte, denn das steht hier nirgends dabei...


----------



## sheel (10. November 2013)

Hi

was genau getan wurde kann man so nicht sagen.
Unberechtiger SSH-Zugriff ja, aber dann...

Mach ein Backup von den Sachen, die wichtig sind,
lass den Hoster alles neu aufsetzen und auf den neuesten Stand bringen,
schau das Backup so gründlich wie möglich an
(ob geänderte Daten/Dateien drin sind, die nicht so sein sollten)
und betreib die Seite wieder.
Selbst kann man da nicht viel verhindern, außer eventuell an Apche/PHP mitarbeiten.
Beobachte das Ganze für die nächste Zeit und aktualisier die Software regelmäßig.

edit:
Wie: Das ist doch genau dieser Explot. Ein Fehler in Apache/PHP,
der mit dem richtigen Request Tur und Tor öffnet.

Ob das seine IP ist: Sehr wahrscheinlich nein.
Vor allem, da viele verschiedene, teils sinnlose IPs im Log sind.
Und wenn es doch eine echte ist: Dynamisch, viele verschiedene, Proxy..
auffinden schwer bis unmöglich.


----------



## pabatribick (10. November 2013)

es wurde z.b. die index.php und weitere config dateien gelöscht, wobei ich ein backup am rechner habe 

also kann man auch von einem XSS Angriff ausgehen?

Gut, das mit der IP wird sicher so sein, werde mich jedoch trotzdem an meinem Rechtsanwalt wenden.


----------



## sheel (10. November 2013)

pabatribick hat gesagt.:


> es wurde z.b. die index.php und weitere config dateien gelöscht, wobei ich ein backup am rechner habe


Ein sauberes Backup ist immer gut.
Was ich nur meinte, bei den Sachen, bei denen kein aktuelles Backup da ist:
Wenn man die vom Server holt besser vor Wiederverwendung gut durchschauen.
Nicht nur auf Dateiebene (Namen/Anzahl...), sondern auch innen drin.



pabatribick hat gesagt.:


> also kann man auch von einem XSS Angriff ausgehen?


Warum?



pabatribick hat gesagt.:


> Gut, das mit der IP wird sicher so sein, werde mich jedoch trotzdem an meinem Rechtsanwalt wenden.


Schaden kanns ja nicht...nur evt. kosten mit unverhältnismäßig schlechten Aussichten auf Erfolg.
(weiß ja nicht, was das für eine Seite ist, aber dran denken, wieviel einem die Verfolgung wert ist)


----------



## Bratkartoffel (11. November 2013)

Hi,

hast du bei dem Hoster nur einen Webspace gemietet, oder ist das ein Shared / Root Server?
Den Exploit kann man nur bei bestimmten, anfälligen PHP-Versionen ausführen, da ist kein Fehler in deiner Webseite.
Falls es dein Server ist, dann lass ihn neu aufsetzen und versuch immer dein PHP aktuell zu halten. Falls der Server von deinem Hoster verwaltet wird, dann ist es definitiv ihr Fehler, das Problem ist schon seit über einem Jahr bekannt und gefixt (siehe zum Beispiel hier).

Grüße,
BK


----------

