ISPConfig gehackt?

Dieses Thema im Forum "Allgemein" wurde erstellt von bubsgbr, 4. März 2009.

  1. bubsgbr

    bubsgbr Member

    Hallo zusammen,

    wir haben den ausgehenden Traffic unseres Webservers über einen Contentscanner mit Virenscanner umgeleitet.

    Dieser hat heute Alarm geschlagen. Nach gründlicher Überprüfung haben wir im /tmp Order eine infizierte Datei gefunden. Diese gehörte admispconfig.admispconfig .

    Im Error-Log von ISPConfig sind auch einige Fehler aufgelistet, z.B.:
    a) Fehlgeschlagene Shellscripte
    b) Eine f*l*o*o*d.t*x*t wurde von einer externen Adresse aufgerufen
    c) Zusätzlich wurde im /tmp Ordner eine b*i*n*d.t*a*r*.g*z und ein JPG-File erstellt

    Als Sofortmaßnahme haben wir erstmal vom Admin und "Haupt--Benutzer" die Passwörter geändert und das Setup von ISP-Config erneut durchlaufen lassen.
    Weiterhin haben wir rkhunter, f-secure, clamav und fprot durchlaufen lassen und nix verdächtiges gefunden.


    Wie sollten wir jetzt weiter vorgehen?

    Vielen Dank für eure Hilfe im Voraus
     
  2. Till

    Till Administrator

    Ich denke nicht dass ISPConfig gehackt wurde. Nur weil Du ISPConfig installiert hast bedeutet dass nicht dass es etwas damit zu tun hat, wenn Dein Server gehackt wurde. In allen Fällen die ich bis jetzt für Kunden untersucht habe sind die Hacker über ein cms system oder ähnliches reingekommen.

    a) Welche exakten Fehler?
    b) Wie lautet die exakte aufgerufene URL und in welcher Logdatei stand sie?
    c) Was ist in dem tar.gz drin und vor allem welchem User gehört es.

    Du kannst mir auch die Logdatei Auszüge und das tar.gz per Email schicken and dev [at] ispconfig [dot] org damit ich mir ansehen kann ob es etwas mit ISPConfig zu tun haben könnte.
     
  3. bubsgbr

    bubsgbr Member

    Hallo Till,

    zu a) Fehler sind keine aufgetreten
    zu b) Die Meldungen stehen unter /root/ispconfig/httpd/logs/error_log
    zu c) Die Dateien habe ich gelöscht. Diese gehörten admispconfig

    Gruß
     
  4. bubsgbr

    bubsgbr Member

    Zusätzlich habe ich jetzt in die httpd.conf vom System folgende Zeilen hinzugefügt:

    <Files *.txt>
    Deny From All
    </Files>
    <Files xt.dat>
    Deny From All
    </Files>
     
  5. Till

    Till Administrator

    a) Du hast aber doch gesagt dass Shellscripte fehlgeschlagen sind?
    b) Schick mir mal bitte die Datei /root/ispconfig/httpd/logs/error_log. Alles was im error log steht bedeutat aber ja dass es nicht erfolgreich war. Sieh bitte mal im access log des ispconfig apache nach.
    c) Schade dass Du keine Kopien davon hast. Ohne die Dateien wird sich das schwerlich aufklären lassen.

    Warum? ISPConfig beinhaktet keine Dateien dieser Endungen die irgend etwas "wertvolles" beinhalten und diese Dateien werden auch nicht durch einen interpreter ausgeführt.
     
  6. Till

    Till Administrator

    Eines hatte ich ncoh vergessen. Schau bitte mal ins ispconfig.log ob da irgend was drinsteht zu dem Zeitpunkt, an dem die Dateien in c) angelegt wurden.
     
  7. bubsgbr

    bubsgbr Member

    Falls über die Proxyfunktion ein Link von einem anderen System mit einer txt-Datei aufgerufen wird, dann müsste doch diese jetzt unterbunden werden, oder?

    In der ispconfig.log stehen für diesen Zeitraum keine Einträge.
    Eine Datei habe ich per PMS gesendet.
    Die bind.gar.gz oder flood.txt konnten ja nich erstellt werden, dieses hat der Contentscanner abgefangen!
    Die error_log maile ich mit der Bitte um Diskretion gleich zu.
     
  8. Till

    Till Administrator

    ok, dann wurde wahrscheinlich auch nichts an der Cnfig geändert.

    Ok. Schau bitte aber auch nochmal in die access log, es wäre sehr wichtig zu wissen auf welche URL zugegriffen wurde da das problem auch eines der externen Programme wie webmail sein könnte.
     
  9. Till

    Till Administrator

    Hi,

    soweit ich sehen konnte benutzt Du glaube ich roundcube? Wenn ja dann wurde Dein Server sehr wahrscheinlich darüber gehackt und nicht über ISPconfig. In Roundcube gab es in letzter Zeit mehrere Bugs die zu dem von Dir beschriebenen Problem von hacker Scripten in /tmp führen.

    http://trac.roundcube.net/ticket/1485618
    http://www.directadmin.com/forum/showthread.php?t=29829
    http://astalavista.us/index.php?section=exploits&cmd=details&id=7677
    https://bugs.launchpad.net/ubuntu/ source/roundcube/ bug/317293
    http://www.webhostingtalk.com/showthread.php?p=5492182

    Du solltest auf jeden Fall überprüfen welche roundcube Version Du installiert hast und sie updaten oder ein anderes webmail Programm einsetzen.
     
  10. bubsgbr

    bubsgbr Member

    Erstmal vielen Dank. In der Tat war roundcube in einer älteren Version installiert.

    Leider können wir uns mit der aktuellen Version nicht mehr über eine per mod_proxy umgeleteten Adresse in roundcubemail einloggen. Angeblich akteptiert unser Browser keine Cookies...

    Melde ich mich allerdings über ispconfig -tools -roundcube an, dann klappt es ohne Probleme.

    Ein Kunde kann sich nicht über Port 81 nach "draußen" verbinden. Daher diese Umleitung.


    Gruß
     
  11. Till

    Till Administrator

    Frag am besten mal bei den Roundcube Entwicklern nach. Wir machen da nur ein installer Paket draus und ändern keine Quelltexte von roundcube oder nehmen Anpassungen vor.
     
  12. bubsgbr

    bubsgbr Member

    Alles klar.
    Dann vielen Dank und nen schönen Abend noch
     

Diese Seite empfehlen