ISPConfig gehackt?

[bubsgbr]

Hallo zusammen,

wir haben den ausgehenden Traffic unseres Webservers über einen Contentscanner mit Virenscanner umgeleitet.

Dieser hat heute Alarm geschlagen. Nach gründlicher Überprüfung haben wir im /tmp Order eine infizierte Datei gefunden. Diese gehörte admispconfig.admispconfig .

Im Error-Log von ISPConfig sind auch einige Fehler aufgelistet, z.B.:
a) Fehlgeschlagene Shellscripte
b) Eine f*l*o*o*d.t*x*t wurde von einer externen Adresse aufgerufen
c) Zusätzlich wurde im /tmp Ordner eine b*i*n*d.t*a*r*.g*z und ein JPG-File erstellt

Als Sofortmaßnahme haben wir erstmal vom Admin und "Haupt--Benutzer" die Passwörter geändert und das Setup von ISP-Config erneut durchlaufen lassen.
Weiterhin haben wir rkhunter, f-secure, clamav und fprot durchlaufen lassen und nix verdächtiges gefunden.


Wie sollten wir jetzt weiter vorgehen?

Vielen Dank für eure Hilfe im Voraus

[Till]

Ich denke nicht dass ISPConfig gehackt wurde. Nur weil Du ISPConfig installiert hast bedeutet dass nicht dass es etwas damit zu tun hat, wenn Dein Server gehackt wurde. In allen Fällen die ich bis jetzt für Kunden untersucht habe sind die Hacker über ein cms system oder ähnliches reingekommen.

a) Welche exakten Fehler?
b) Wie lautet die exakte aufgerufene URL und in welcher Logdatei stand sie?
c) Was ist in dem tar.gz drin und vor allem welchem User gehört es.

Du kannst mir auch die Logdatei Auszüge und das tar.gz per Email schicken and dev [at] ispconfig [dot] org damit ich mir ansehen kann ob es etwas mit ISPConfig zu tun haben könnte.

[bubsgbr]

Hallo Till,

zu a) Fehler sind keine aufgetreten
zu b) Die Meldungen stehen unter /root/ispconfig/httpd/logs/error_log
zu c) Die Dateien habe ich gelöscht. Diese gehörten admispconfig

Gruß

[bubsgbr]

Zusätzlich habe ich jetzt in die httpd.conf vom System folgende Zeilen hinzugefügt:

<Files *.txt>
Deny From All
</Files>
<Files xt.dat>
Deny From All
</Files>

[Till]

a) Du hast aber doch gesagt dass Shellscripte fehlgeschlagen sind?
b) Schick mir mal bitte die Datei /root/ispconfig/httpd/logs/error_log. Alles was im error log steht bedeutat aber ja dass es nicht erfolgreich war. Sieh bitte mal im access log des ispconfig apache nach.
c) Schade dass Du keine Kopien davon hast. Ohne die Dateien wird sich das schwerlich aufklären lassen.

Zitat:

Zusätzlich habe ich jetzt in die httpd.conf vom System folgende Zeilen hinzugefügt:

<Files *.txt>
Deny From All
</Files>
<Files xt.dat>
Deny From All
</Files>

Warum? ISPConfig beinhaktet keine Dateien dieser Endungen die irgend etwas "wertvolles" beinhalten und diese Dateien werden auch nicht durch einen interpreter ausgeführt.

[Till]

Eines hatte ich ncoh vergessen. Schau bitte mal ins ispconfig.log ob da irgend was drinsteht zu dem Zeitpunkt, an dem die Dateien in c) angelegt wurden.

[bubsgbr]

Zitat:

Zitat von Till

a) Du hast aber doch gesagt dass Shellscripte fehlgeschlagen sind?
b) Schick mir mal bitte die Datei /root/ispconfig/httpd/logs/error_log. Alles was im error log steht bedeutat aber ja dass es nicht erfolgreich war. Sieh bitte mal im access log des ispconfig apache nach.
c) Schade dass Du keine Kopien davon hast. Ohne die Dateien wird sich das schwerlich aufklären lassen.



Warum? ISPConfig beinhaktet keine Dateien dieser Endungen die irgend etwas "wertvolles" beinhalten und diese Dateien werden auch nicht durch einen interpreter ausgeführt.

Falls über die Proxyfunktion ein Link von einem anderen System mit einer txt-Datei aufgerufen wird, dann müsste doch diese jetzt unterbunden werden, oder?

In der ispconfig.log stehen für diesen Zeitraum keine Einträge.
Eine Datei habe ich per PMS gesendet.
Die bind.gar.gz oder flood.txt konnten ja nich erstellt werden, dieses hat der Contentscanner abgefangen!
Die error_log maile ich mit der Bitte um Diskretion gleich zu.

[Till]

Zitat:

In der ispconfig.log stehen für diesen Zeitraum keine Einträge.

ok, dann wurde wahrscheinlich auch nichts an der Cnfig geändert.

Zitat:

Die error_log maile ich mit der Bitte um Diskretion gleich zu.

Ok. Schau bitte aber auch nochmal in die access log, es wäre sehr wichtig zu wissen auf welche URL zugegriffen wurde da das problem auch eines der externen Programme wie webmail sein könnte.

[Till]

Hi,

soweit ich sehen konnte benutzt Du glaube ich roundcube? Wenn ja dann wurde Dein Server sehr wahrscheinlich darüber gehackt und nicht über ISPconfig. In Roundcube gab es in letzter Zeit mehrere Bugs die zu dem von Dir beschriebenen Problem von hacker Scripten in /tmp führen.

http://trac.roundcube.net/ticket/1485618
http://www.directadmin.com/forum/showthread.php?t=29829
http://astalavista.us/index.php?sect...etails&id=7677
https://bugs.launchpad.net/ubuntu/+s...be/+bug/317293
http://www.webhostingtalk.com/showthread.php?p=5492182

Du solltest auf jeden Fall überprüfen welche roundcube Version Du installiert hast und sie updaten oder ein anderes webmail Programm einsetzen.

[bubsgbr]

Erstmal vielen Dank. In der Tat war roundcube in einer älteren Version installiert.

Leider können wir uns mit der aktuellen Version nicht mehr über eine per mod_proxy umgeleteten Adresse in roundcubemail einloggen. Angeblich akteptiert unser Browser keine Cookies...

Melde ich mich allerdings über ispconfig -tools -roundcube an, dann klappt es ohne Probleme.

Ein Kunde kann sich nicht über Port 81 nach "draußen" verbinden. Daher diese Umleitung.


Gruß