ISPConfig 3 Server gehackt ... "Hacked By Tunisian Fallaga Team"

Dieses Thema im Forum "Allgemein" wurde erstellt von andy1965, 5. Jan. 2016.

  1. andy1965

    andy1965 Member

    Leider wurde wieder einmal ein Server von uns gehackt :-/.

    Diesmal haben die es geschafft über ein ungepatchtes Drupal Kundenweb nicht nur die dieses sondern auch andere Webs zu infizieren.
    Dabei haben sie ihr eigenes phpMyAdmin und eine Wordpress Version mit eigenen islamistischen Inhalt plaziert.

    Hat jemand erfahren welche Sicherheitslücke von diesen Leuten ausgenutzt wurde und wie diese zu schließen wäre.
    ISPC3 sowie CentOS 6 sind am letzten Stand. SuEXEC ist aktiv bei allen Webs sowie Fast-CGI wobei der Kunde mit Zugriff auf die Webkonfiguration natürlich die Einstellungen verändern hätte können.

    Ich bekomme langsam den Eindruck ISPC3 in der Standartinstallation ist nicht sehr sicher.
    Es wäre toll wenn es eine eigene Sektion zum Sichern der Server geben würde welche in Verbindung mit ISPC3 auch Sinn macht.

    Danke für eure Tipps vorab
     
  2. andy1965

    andy1965 Member

    Beispiele für verseuchte Webs ...
     

    Anhänge:

  3. andy1965

    andy1965 Member

    Im Zip die Dateien mit welchen der Hack durchgeführt wurde ...
    Achtung Antivirus unter Windows schlägt natürlich an ... Clam AV nicht ;-)
    Vielleicht kann sich ein Spezialist mal diese Dateien ansehen ;-)
     

    Anhänge:

  4. Till

    Till Administrator

    Soweit ich sehe wurde nicht ISPConfig gehacked sondern Drupal bzw. Wordpress, Dein Problem hat also nichts mit der Verwendung von ISPConfig zu tun und es wurde auch nicht der Server gehacked da ISPConfig die Webseiten durch unterschiedliche User absichert sondern es wurden nur Dateien in einer Webseite, bedingt durch eine Sicherheitslücke im jeweiligen cms bzw. geändert. Der Thread Titel ist irreführend da weder ISPConfig noch der Server gehacked wurden sondern lediglich Drupal bzw. Wordpress.

    Wie sichere ich CMS Syteme auf einem Server (egal welches CP oder kein CP):

    1) Immer aktuelle Updates der CMS einspielen und aller Plugins der CMS einspielen.
    2) Wenn PHP Funktionen zum ausführen von scripten (exec, passthrus, popen etc.) nicht gebraucht werden, dann sollten diese für die jeweilige Website deaktiviert werden. Unter Debian und Ubuntu kann man solwas auch global für cgi und apache2 machen, centOS unterscheidet da leider nicht und daher ist eine globale Änderung unter CentOS nicht zu empfehlen da ansonsten auch shellscripte die PHP verwenden nicht mehr gehen.
    3) Den Server täglich auf malware scannen, siehe auch https://www.howtoforge.de/forum/threads/wordpress-hack.9427/
    4) Man kann zusätzlich auch apache Module wie mod_security installieren, da wirst Du aber anfangs eine menge fehlalarme haben die Du dann whitelisten musst.


    Nein, das kann er nicht. Wenn eine Webseite durch den admin für den Kunden angelegt wurde dann kann ein kunde diese Einstellungen zwar sehen, er kann sie aber nicht ändern.
     
  5. andy1965

    andy1965 Member

    Hallo Till,

    es wurden aber Datein in andere Webs geschrieben in welchen sich KEIN CMS befunden hat. Im ersten Bild war das Web sogar leer!
     
  6. Till

    Till Administrator

    In Deinen Screenshots war kein leeres Web dabei sondern 2x Wordpress. Welchem Linux User gehören die Dateien (ls -la ausgabe im web verzeichnis) die in das leere Web geschrieben wurden und welche sind das genau?
     
  7. andy1965

    andy1965 Member

    Wir können den Kunden ja nicht zwingen ;-)
    Unmöglich, wir können nicht jeden Kunden fragen was er braucht und was nicht
     
  8. andy1965

    andy1965 Member

    Das ist das Wordpress der Hacker :-D!
     
  9. Till

    Till Administrator

    Daher nutzen auch ale größeren Provider automoatische malware scan scripte, siehe meinen post obpen, und deaktivieren das kundenweb bei malware befall und schalten es erst wieder frei wenn der kunde die malware entfernt hat und seine seite aktualisiert.

    Und jetzt weißt Du warum ispconfig es nicht global deaktivieren kann, wenn Du es noch nicht mal pro Webeite machen willst ;)
     
    andy1965 gefällt das.
  10. Till

    Till Administrator

    Richtig, ein normler WP hack wie ers ständig irgendwo passiert wenn jemand wordpress nicht aktuell hält oder unsichere Plugins installiert. Solange Du einem Kunden zugriff auf eine webseite gibts kann sowas vorkommen, daher scanned man ja auch regelmäßig nach malware und warnt bzw. sperrt den Kunden, wenn was gefunden wurde.

    Poste doch bitte mal das ls -la aus dem ehemals leeren web wo ausschließlich der hacker Dateien hoehgeladen haben soll.
     
  11. andy1965

    andy1965 Member

    Zu Bild 1:
     
  12. andy1965

    andy1965 Member

    Zu Bild 2:
     
  13. andy1965

    andy1965 Member

    Siehe "Zu Bild 1"

    Leider habe ich die infizierten Dateien vom ausgehenden Web schon entfernt, sie sind in dem Zip File zu finden.
     
  14. Till

    Till Administrator

    Das ist ein Wordpress und kein leeres Web. Ich bezweifle stark dass ein Hacker Dir ein Wordpress installieren wird und dann noch mit dem richtigen Linux User des webs. Es gibt also 3 Möglichkeiten:

    1) Der Kunde hat ein Wordpress hoch geladen und dies wurde gehacked.
    2) Der Kunde hat den APS Installer in ISPConfig genutzt um ein Wordpress zu installieren und dieses wurde später gehacked.
    3) Wenn Du meinst dass der Hacker wirklich ein Wordpress selbst installiert haben soll dann müsste er zumindest das FTP Passwort des Webs haben, denn die Dateien gehören dem richtigen User des Webs und nicht ISPConfig.

    ISPConfig läuft unter dem user "ispconfig", der hat aber weder Schreibrechte auf das web noch gehören die von Dir gezeigten Dateien dem user ispconfig, wenn also ispconfig wie von Dir behauptet gehacked worden wäre dann würden die Dateien entweder ispconfg gehören und für den noch unwahrscheinlicheren Fall das ein Hacker tatsächlich das ispconfig Interface und den root prozess gekapert hätte dann wäre er bereits root und hätte Dich schon lange ausgesperrt, dann macht er sich mit Sicherheit nicht die Mühe irgend ein Kundenweb zu ändern und dort Wordpress zu installieren.
     
    andy1965 gefällt das.
  15. Till

    Till Administrator

    Wie Du sicher weißt enthalten zip Dateien keine Linux Dateirechte oder Eigentümer, man kann daher ohne den ls -la output nichts dazu sagen. Den Rest habe ich bereits oben erläutert.
     
  16. nowayback

    nowayback Well-Known Member

    Er müsste auch noch eine korrekte Datenbank inkl. Datenbankuser angelegt haben ;-)
     
    andy1965 gefällt das.
  17. andy1965

    andy1965 Member

    Ja, denke ich auch, nur so viele Webs gleichzeitig auf diesem Server haben mich doch etwas überrascht ;-)
     
  18. nowayback

    nowayback Well-Known Member

    wenn alle die gleiche Lücke haben, ist das nicht verwunderlich. Gerade in Bezug auf Drupal muss man sich doch nur mal die News der letzten 2-3 Wochen angucken. Da kamen doch, wenn ich mich nicht irre, 2 kritische Updates raus. Wer da nicht aktuell ist, ist eben schnell ein Opfer.
     

Diese Seite empfehlen