ispconfig-server gehackt?

Dieses Thema im Forum "Installation und Konfiguration" wurde erstellt von Sigix, 3. Dez. 2013.

  1. Sigix

    Sigix Member

    Hallo,

    ich habe ein großes Problem; ich vermute das mein ISP-Config Server von Dritte übernommen wurde!

    Distribution: Debian squeeze (6.0.8)
    ISP-Config: 3.0.3.3

    Folgendes kann ich beobachten:
    in den Prozessen (top) starten sich Dienste mit dem Namen s, vi, k, ....

    Wenn sich so ein Dienst startet, hat mein Server 99.98 % Auslastung und ich kann enorm hohe Netzwerkaktivität beobachten;

    Hier die Prozesse:
    www-data 7842 93.7 0.4 29520 4296 ? S 12:43 75:48 /usr/sbin/acpid www-data 11279 4.6 0.1 41032 1572 ? Ssl 13:21 2:01 m64 -o stratum+tcp://5.254.102.165:3333 -O judge.1:x -B root 13973 0.0 0.0 10452 492 ? Ss 14:04 0:00 vzctl: ttyp0

    in den Logs habe ich folgendes gefunden:

    [Tue Dec 03 12:10:46 2013] [error] [client 94.102.51.238] --2013-12-03 12:10:46-- (try: 3) http://hecks.ddosdev.com/pwnnetd
    [Tue Dec 03 12:10:46 2013] [error] [client 94.102.51.238] Connecting to hecks.ddosdev.com|192.151.144.234|:80...
    [Tue Dec 03 12:10:46 2013] [error] [client 94.102.51.238] --2013-12-03 12:10:46-- (try: 3) http://hecks.ddosdev.com/pwnnetd3
    [Tue Dec 03 12:10:46 2013] [error] [client 94.102.51.238] Connecting to hecks.ddosdev.com|192.151.144.234|:80...
    [Tue Dec 03 12:11:07 2013] [error] [client 94.102.51.238] failed: Connection timed out.
    [Tue Dec 03 12:11:07 2013] [error] [client 94.102.51.238] Retrying.
    [Tue Dec 03 12:11:07 2013] [error] [client 94.102.51.238]
    [Tue Dec 03 12:11:07 2013] [error] [client 94.102.51.238] failed: Connection timed out.
    [Tue Dec 03 12:11:07 2013] [error] [client 94.102.51.238] Retrying.
    [Tue Dec 03 12:11:07 2013] [error] [client 94.102.51.238]
    [Tue Dec 03 12:11:10 2013] [error] [client 94.102.51.238] --2013-12-03 12:11:10-- (try: 4) http://hecks.ddosdev.com/pwnnetd
    [Tue Dec 03 12:11:10 2013] [error] [client 94.102.51.238] Connecting to hecks.ddosdev.com|192.151.144.234|:80...
    [Tue Dec 03 12:11:10 2013] [error] [client 94.102.51.238] --2013-12-03 12:11:10-- (try: 4) http://hecks.ddosdev.com/pwnnetd3
    [Tue Dec 03 12:11:10 2013] [error] [client 94.102.51.238] Connecting to hecks.ddosdev.com|192.151.144.234|:80...
    [Tue Dec 03 12:11:19 2013] [error] [client 94.102.51.238] connected.
    [Tue Dec 03 12:11:19 2013] [error] [client 94.102.51.238] HTTP request sent, awaiting response...
    [Tue Dec 03 12:11:19 2013] [error] [client 94.102.51.238] connected.
    [Tue Dec 03 12:11:19 2013] [error] [client 94.102.51.238] HTTP request sent, awaiting response...
    [Tue Dec 03 12:11:23 2013] [error] [client 94.102.51.238] 200 OK
    [Tue Dec 03 12:11:23 2013] [error] [client 94.102.51.238] Length:
    [Tue Dec 03 12:11:23 2013] [error] [client 94.102.51.238] 379680
    [Tue Dec 03 12:11:23 2013] [error] [client 94.102.51.238] (371K)
    [Tue Dec 03 12:11:23 2013] [error] [client 94.102.51.238]
    [Tue Dec 03 12:11:23 2013] [error] [client 94.102.51.238] Saving to: `pwnnetd3.3'
    [Tue Dec 03 12:11:23 2013] [error] [client 94.102.51.238]
    [Tue Dec 03 12:11:23 2013] [error] [client 94.102.51.238] 0K


    rkhunter hat nichts gefunden!

    chkrootkit sagt folgendes:
    Checking `bindshell'...INFECTED (PORTS: 465)
    Searching for suspicious files and dirs, it may take a while... The following suspicious files and directories were found: /usr/lib/pymodules/python2.6/.path /lib/init/rw/.ramfs


    Kann mir hierzu wer helfen ????
     
  2. Till

    Till Administrator

    Wahrscheinlich wurde "nur" eine Wesebiet gehackt und nicht dein Server übernommen, also der Angreifer ist nicht root. In welchem Log genau stand das?

    Der chkrootkit output ist ok und hat nichts zu bedeuten, das bindshell INFECTED ist ein bekannetr false positive.

    Nutzt Du in allen webseiten php-fcgi + suexec oder nutzt du mod_php?

    Checke Deinen server mal mit maldet:

    HowtoForge Forums | HowtoForge - Linux Howtos and Tutorials - View Single Post - Linux Malware Detect on Debian 6 with ISPConfig 3
     
  3. Sigix

    Sigix Member

    Das stand im apache-error log!
    Ja hab bei allen Seiten SuPHP eingetragen!

    ich check mal gleich mit maldet durch!

    lg
     
  4. Sigix

    Sigix Member

    Soeben ist wieder ein Prozess gekommen "perl"
    18062 www-data 25 0 29520 4292 1424 S 94.9 0.4 6:07.60 perl

    Hier der Prozessinhalt:
    -r-------- 1 www-data www-data 0 Dec 3 16:42 auxv
    -r--r--r-- 1 www-data www-data 0 Dec 3 16:37 cmdline
    -rw-r--r-- 1 www-data www-data 0 Dec 3 16:42 coredump_filter
    -r--r--r-- 1 www-data www-data 0 Dec 3 16:42 cpuset
    lrwxrwxrwx 1 www-data www-data 0 Dec 3 16:42 cwd -> /tmp
    -r-------- 1 www-data www-data 0 Dec 3 16:42 environ
    lrwxrwxrwx 1 www-data www-data 0 Dec 3 16:37 exe -> /usr/bin/perl
    dr-x------ 2 www-data www-data 0 Dec 3 16:42 fd
    dr-x------ 2 www-data www-data 0 Dec 3 16:42 fdinfo
    -r--r--r-- 1 www-data www-data 0 Dec 3 16:42 io
    -r--r--r-- 1 www-data www-data 0 Dec 3 16:42 limits
    -rw-r--r-- 1 www-data www-data 0 Dec 3 16:42 loginuid
    -r--r--r-- 1 www-data www-data 0 Dec 3 16:42 maps
    -rw------- 1 www-data www-data 0 Dec 3 16:42 mem
    -r--r--r-- 1 www-data www-data 0 Dec 3 16:42 mounts
    -r-------- 1 www-data www-data 0 Dec 3 16:42 mountstats
    -r--r--r-- 1 www-data www-data 0 Dec 3 16:42 numa_maps
    -rw-r--r-- 1 www-data www-data 0 Dec 3 16:42 oom_adj
    -r--r--r-- 1 www-data www-data 0 Dec 3 16:42 oom_score
    lrwxrwxrwx 1 www-data www-data 0 Dec 3 16:42 root -> /
    -r--r--r-- 1 www-data www-data 0 Dec 3 16:42 schedstat
    -r--r--r-- 1 www-data www-data 0 Dec 3 16:42 smaps
    -r--r--r-- 1 www-data www-data 0 Dec 3 16:42 stack
    -r--r--r-- 1 www-data www-data 0 Dec 3 16:37 stat
    -r--r--r-- 1 www-data www-data 0 Dec 3 16:37 statm
    -r--r--r-- 1 www-data www-data 0 Dec 3 16:42 status
    dr-xr-xr-x 3 www-data www-data 0 Dec 3 16:42 task
    -r--r--r-- 1 www-data www-data 0 Dec 3 16:42 wchan

    ????????
     
  5. Till

    Till Administrator

    irgend was in /tmp, wenn Du mit ls -la checkst? Schau Dir mal den Prozess mit lsof näher an.
     
  6. Sigix

    Sigix Member

    es waren 2 Dienste:
    perl und sh ....

    jetz muss ich warten bis diese wieder kommen damit ich checken kann ob irgendetwas im tmp drinnen ist!

    Wenn ich den Dienst "sh" mit pkill beende, verliere ich auch die ssh verbindung zum server und muss diesen komplett neu starten damit ich wieder drauf komme! ??
     
  7. Till

    Till Administrator

    Checke mal die crontab vn www-data, ob da was drin steht. die sollte an sich leer sein.

    crontab -u www-data -e
     
  8. Sigix

    Sigix Member

    nee ist nicht leer

    * * * * * /tmp/update >/dev/null 2>&1

    ???
     
  9. Sigix

    Sigix Member

    maldet ergebnis:
    root@mail2:~# /usr/local/maldetect/maldet -a /
    Linux Malware Detect v1.4.2
    (C) 2002-2013, R-fx Networks <proj@r-fx.org>
    (C) 2013, Ryan MacDonald <ryan@r-fx.org>
    inotifywait (C) 2007, Rohan McGovern <rohan@mcgovern.id.au>
    This program may be freely redistributed under the terms of the GNU GPL v2

    maldet(7773): {scan} signatures loaded: 11355 (9483 MD5 / 1872 HEX)
    maldet(7773): {scan} building file list for /, this might take awhile...
    /usr/bin/find: `/proc/7825/task/7825/fd/5': No such file or directory
    /usr/bin/find: `/proc/7825/task/7825/fdinfo/5': No such file or directory
    /usr/bin/find: `/proc/7825/fd/5': No such file or directory
    /usr/bin/find: `/proc/7825/fdinfo/5': No such file or directory
    maldet(7773): {scan} file list completed, found 313210 files...
    maldet(7773): {scan} found ClamAV clamscan binary, using as scanner engine...
    maldet(7773): {scan} scan of / (313210 files) in progress...
    maldet(7773): {scan} processing scan results for hits: 144 hits 0 cleaned
    maldet(7773): {scan} scan completed on /: files 313210, malware hits 144, cleaned hits 0
    maldet(7773): {scan} scan report saved, to view run: maldet --report 120313-1651.7773
    maldet(7773): {scan} quarantine is disabled! set quar_hits=1 in conf.maldet or to quarantine results run: maldet -q 120313-1651.7773



    {HEX}gzbase64.inject.unclassed.14 : /usr/src/maldetect-1.4.2/files/clean/gzbase64.inject.unclassed
    {CAV}Heuristics.Phishing.Email.SpoofedDomain : /var/vmail/example.co.at/office/new/1353518993.M529823P10071V0000000000009039I000000000554C522_0.mail2.sx-it.com,S=5153
    {CAV}Heuristics.Phishing.Email.SpoofedDomain : /var/lib/amavis/virusmails/H/virus-HhANJdyVkNFz
    {CAV}Heuristics.Phishing.Email.SpoofedDomain : /var/lib/amavis/virusmails/H/virus-H-3hD0hxiyjc
    {CAV}Heuristics.Phishing.Email.SSL-Spoof : /var/lib/amavis/virusmails/5/virus-5bMONeQH3J0V
    {CAV}Heuristics.Phishing.Email.SpoofedDomain : /var/lib/amavis/virusmails/W/virus-W3xAq6vLcGin
    {CAV}Heuristics.Phishing.Email.SSL-Spoof : /var/lib/amavis/virusmails/W/virus-WhhYsuCaTGRb
    {CAV}Heuristics.Phishing.Email.SpoofedDomain : /var/lib/amavis/virusmails/W/virus-WgbnyI5wMO-x
    {CAV}Heuristics.Phishing.Email.SSL-Spoof : /var/lib/amavis/virusmails/W/virus-WatxDP2jsxul
    {CAV}Heuristics.Phishing.Email.SpoofedDomain : /var/lib/amavis/virusmails/W/virus-WQBMGH40ei1K
    {CAV}Heuristics.Phishing.Email.SpoofedDomain : /var/lib/amavis/virusmails/W/virus-Wa-YxnvnOoAR
    {CAV}Heuristics.Phishing.Email.SpoofedDomain : /var/lib/amavis/virusmails/W/virus-WY4ecV4HgR9S
    {CAV}Heuristics.Phishing.Email.SSL-Spoof : /var/lib/amavis/virusmails/0/virus-07mUDlqKTh7d
    {CAV}Heuristics.Phishing.Email.SpoofedDomain : /var/lib/amavis/virusmails/0/virus-0D-xoFHEEeHr
    {CAV}Heuristics.Phishing.Email.SpoofedDomain : /var/lib/amavis/virusmails/0/virus-0uNZSEUnl6yB
    {CAV}Heuristics.Phishing.Email.SpoofedDomain : /var/lib/amavis/virusmails/0/virus-0jTdAMFBH6ZA
    {CAV}Heuristics.Phishing.Email.SpoofedDomain : /var/lib/amavis/virusmails/0/virus-0-8XLgTxenhh
    {CAV}Heuristics.Phishing.Email.SpoofedDomain : /var/lib/amavis/virusmails/0/virus-0Ozlyvl9297V
    {CAV}Heuristics.Phishing.Email.SpoofedDomain : /var/lib/amavis/virusmails/B/virus-BQJWgVDASc7f
    {CAV}Heuristics.Phishing.Email.SpoofedDomain : /var/lib/amavis/virusmails/B/virus-BqFMsAahPAeK
    {CAV}Heuristics.Phishing.Email.SpoofedDomain : /var/lib/amavis/virusmails/t/virus-tfUucyh03MUf
    {CAV}Heuristics.Phishing.Email.SpoofedDomain : /var/lib/amavis/virusmails/t/virus-txvWjB8iDueE
    {CAV}Heuristics.Phishing.Email.SpoofedDomain : /var/lib/amavis/virusmails/m/virus-mBtqEBkMfjK4
    {CAV}Heuristics.Phishing.Email.SpoofedDomain : /var/lib/amavis/virusmails/m/virus-mI8J+yUziQmn
    {CAV}Heuristics.Phishing.Email.SSL-Spoof : /var/lib/amavis/virusmails/v/virus-vol4n8hgET-1
    {CAV}Heuristics.Phishing.Email.SpoofedDomain : /var/lib/amavis/virusmails/E/virus-E3jCJxQ6azO0
    {CAV}Heuristics.Phishing.Email.SpoofedDomain : /var/lib/amavis/virusmails/M/virus-MqIQa+xd-Y4V
    {CAV}Heuristics.Phishing.Email.SpoofedDomain : /var/lib/amavis/virusmails/M/virus-M5U6l0bxz-D3
    {CAV}Heuristics.Phishing.Email.SpoofedDomain : /var/lib/amavis/virusmails/6/virus-6WTDg2RMiaXa
    {CAV}Heuristics.Phishing.Email.SpoofedDomain : /var/lib/amavis/virusmails/n/virus-n9HpveH1a19G
    {CAV}Heuristics.Phishing.Email.SpoofedDomain : /var/lib/amavis/virusmails/n/virus-nDmYskDzn2Up
    {CAV}Heuristics.Phishing.Email.SSL-Spoof : /var/lib/amavis/virusmails/n/virus-nAAexjCI1s4F
    {CAV}Heuristics.Phishing.Email.SpoofedDomain : /var/lib/amavis/virusmails/k/virus-kbRCzTIVQBhg
    {CAV}Heuristics.Phishing.Email.SpoofedDomain : /var/lib/amavis/virusmails/k/virus-kafFQ6neduSg
    {CAV}Heuristics.Phishing.Email.SpoofedDomain : /var/lib/amavis/virusmails/k/virus-ksaCY3gD1V7I
    {CAV}Heuristics.Phishing.Email.SpoofedDomain : /var/lib/amavis/virusmails/k/virus-kAnIOeyLWRl8
    {CAV}Heuristics.Phishing.Email.SpoofedDomain : /var/lib/amavis/virusmails/k/virus-krsT42hN+a6n
    {CAV}Heuristics.Phishing.Email.SpoofedDomain : /var/lib/amavis/virusmails/z/virus-zyfCY+9uV8uq
    {CAV}Heuristics.Phishing.Email.SpoofedDomain : /var/lib/amavis/virusmails/z/virus-zMKRbim8i8Rr
    {CAV}Heuristics.Phishing.Email.SpoofedDomain : /var/lib/amavis/virusmails/z/virus-z6SWUqt5cM+L
    {CAV}Heuristics.Phishing.Email.SpoofedDomain : /var/lib/amavis/virusmails/g/virus-gth6xx4M5-Bj
    {CAV}Heuristics.Phishing.Email.SpoofedDomain : /var/lib/amavis/virusmails/4/virus-4mPlwlS-pDlb
    {CAV}Heuristics.Phishing.Email.SpoofedDomain : /var/lib/amavis/virusmails/4/virus-4zMgKyf4buAi
    {CAV}Heuristics.Phishing.Email.SpoofedDomain : /var/lib/amavis/virusmails/4/virus-4KSs5uYxhoYx
    {CAV}Heuristics.Phishing.Email.SpoofedDomain : /var/lib/amavis/virusmails/h/virus-hNzYkvC8AErF
    {CAV}Heuristics.Phishing.Email.SSL-Spoof : /var/lib/amavis/virusmails/h/virus-hX5v5Cs4cnwc
    {CAV}Heuristics.Phishing.Email.SpoofedDomain : /var/lib/amavis/virusmails/h/virus-hgJFFcXsDNld
    {CAV}Heuristics.Phishing.Email.SpoofedDomain : /var/lib/amavis/virusmails/h/virus-hkfykmkpE2Ht
    {CAV}Heuristics.Phishing.Email.SpoofedDomain : /var/lib/amavis/virusmails/1/virus-1w3Y5vYp4mAJ
    {CAV}Heuristics.Phishing.Email.SpoofedDomain : /var/lib/amavis/virusmails/1/virus-1LdNcAkkDdHi
    {CAV}Heuristics.Phishing.Email.SpoofedDomain : /var/lib/amavis/virusmails/1/virus-1qx1NyYtQD-w
    {CAV}Heuristics.Phishing.Email.SpoofedDomain : /var/lib/amavis/virusmails/1/virus-19p9EUTFyKtP
     
  10. Sigix

    Sigix Member

    So die Dienste sind wieder da ....

    hier lsof des Dienstes

    pwnnetd 17846 www-data cwd DIR 0,43 475136 214040585 /tmp
    pwnnetd 17846 www-data rtd DIR 0,43 4096 213992283 /
    pwnnetd 17846 www-data txt REG 0,43 592464 214041280 /tmp/pwnnetd
    pwnnetd 17846 www-data mem REG 0,43 128744 214041320 /lib/ld-2.11.3.so
    pwnnetd 17846 www-data mem REG 0,43 31744 214041325 /lib/librt-2.11.3.so
    pwnnetd 17846 www-data mem REG 0,43 131258 214041317 /lib/libpthread-2.11.3.so
    pwnnetd 17846 www-data mem REG 0,43 1437064 214041464 /lib/libc-2.11.3.so
    pwnnetd 17846 www-data mem REG 0,43 51728 214041275 /lib/libnss_files-2.11.3.so
    pwnnetd 17846 www-data mem REG 0,43 22928 214041602 /lib/libnss_dns-2.11.3.so
    pwnnetd 17846 www-data mem REG 0,43 80712 214041277 /lib/libresolv-2.11.3.so
    pwnnetd 17846 www-data 0r CHR 1,3 0t0 214028481 /dev/null
    pwnnetd 17846 www-data 1w FIFO 0,6 0t0 1695036699 pipe
    pwnnetd 17846 www-data 2w FIFO 0,6 0t0 1695036133 pipe
    pwnnetd 17846 www-data 3r REG 0,43 8385936 214024391 /usr/lib/cgi-bin/php5

    was soll ich da machen ???? Der Dienst ist 4 mal da!!
     
  11. Sigix

    Sigix Member

    lsof vom Dienst "s"

    root@mail2:/# lsof | grep 24484
    s 24484 www-data cwd DIR 0,43 4096 219037713 /tmp/.,
    s 24484 www-data rtd DIR 0,43 4096 213992283 /
    s 24484 www-data txt REG 0,43 7360 213991580 /usr/bin/perl
    s 24484 www-data mem REG 0,43 128744 214041320 /lib/ld-2.11.3.so
    s 24484 www-data mem REG 0,43 1495784 214036835 /usr/lib/libperl.so.5.10.1
    s 24484 www-data mem REG 0,43 14696 214041622 /lib/libdl-2.11.3.so
    s 24484 www-data mem REG 0,43 530736 214041631 /lib/libm-2.11.3.so
    s 24484 www-data mem REG 0,43 131258 214041317 /lib/libpthread-2.11.3.so
    s 24484 www-data mem REG 0,43 1437064 214041464 /lib/libc-2.11.3.so
    s 24484 www-data mem REG 0,43 35104 214041574 /lib/libcrypt-2.11.3.so
    s 24484 www-data mem REG 0,43 19920 214036796 /usr/lib/perl/5.10.1/auto/IO/IO.so
    s 24484 www-data mem REG 0,43 25976 214036798 /usr/lib/perl/5.10.1/auto/Socket/Socket.so
    s 24484 www-data mem REG 0,43 51728 214041275 /lib/libnss_files-2.11.3.so
    s 24484 www-data mem REG 0,43 22928 214041602 /lib/libnss_dns-2.11.3.so
    s 24484 www-data mem REG 0,43 80712 214041277 /lib/libresolv-2.11.3.so
    s 24484 www-data 0r FIFO 0,6 0t0 1699083772 pipe
    s 24484 www-data 1w FIFO 0,6 0t0 1699083786 pipe
    s 24484 www-data 2w FIFO 0,6 0t0 1699083774 pipe
    s 24484 www-data 3r REG 0,43 8385936 214024391 /usr/lib/cgi-bin/php5
    s 24484 www-data 4u IPv4 1699117251 0t0 TCP mail2.sx-it.com:41104->ipbrick.cades.fr:6670 (ESTABLISHED)
    s 24484 www-data 78r FIFO 0,6 0t0 1690944073 pipe
    s 24484 www-data 79w FIFO 0,6 0t0 1690944073 pipe
    s 24484 www-data 80r FIFO 0,6 0t0 1690944074 pipe
    s 24484 www-data 81w FIFO 0,6 0t0 1690944074 pipe


    in dem Ordner "/tmp/.," ist folgendes vorhanden:
    -rwxr-xr-x 1 www-data www-data 74 Feb 24 2009 .u
    -rwxr-xr-x 1 www-data www-data 319 Feb 22 2009 autorun
    -rw-r--r-- 1 www-data www-data 41 Dec 3 18:52 cron.d
    -rwxr-xr-x 1 www-data www-data 152108 Jun 1 2001 crond
    -rwxr-xr-x 1 www-data www-data 8687 Jan 24 2006 f
    -rwxr-xr-x 1 www-data www-data 14679 Nov 3 2005 f4
    -rw-r--r-- 1 www-data www-data 8 Dec 3 18:52 fl.dir
    -rwxr-xr-x 1 www-data www-data 81 Aug 17 2006 fwd
    -rwxr-xr-x 1 www-data www-data 10848 May 29 2005 j
    -rwxr-xr-x 1 www-data www-data 13850 May 29 2005 j2
    -rwxr-xr-x 1 www-data www-data 22983 Jul 30 2004 mech.help
    -rwxr-xr-x 1 www-data www-data 446 Dec 1 17:22 mech.set
    -rwxr-xr-x 1 www-data www-data 18 Dec 3 18:49 run
    -rwxr-xr-x 1 www-data www-data 15078 Feb 20 2005 s
    -rwxr-xr-x 1 www-data www-data 13089 Dec 1 17:01 shit
    -rwxr-xr-x 1 www-data www-data 16776 Sep 19 2002 sl
    -rwxr-xr-x 1 www-data www-data 39 Dec 1 20:51 start.sh
    -rwxr-xr-x 1 www-data www-data 15195 Sep 2 2004 std
    -rwxr-xr-x 1 www-data www-data 8790 Jan 24 2006 stream
    -rwxr-xr-x 1 www-data www-data 7091 Jan 24 2006 tty
    -rwxr--r-- 1 www-data www-data 157 Dec 3 18:52 update
    -rwxr-xr-x 1 www-data www-data 13687 Nov 20 2002 v
    -rwxr-xr-x 1 www-data www-data 14841 Jul 22 2005 v2
    -rwxr-xr-x 1 www-data www-data 915 Mar 2 2005 x


    Was kann ich machen damit mein Server wieder clean wird ???
     
  12. F4RR3LL

    F4RR3LL Member

    Also suphp und owner www-data passt aber nicht zusammen.
    Irgendwas muss bei dir mit www-data laufen. Roundcube o.ä. installiert und mit modphp laufen?
    Ist /tmp bei dir eine extra partition? Falls ja, mounte sie mit noexec.
    Die Seite(n) mit modphp offline nehmen und schaun welche Version des CMS oder wasauchimmer dort installiert ist rennt, ggf neu installieren in der aktuellen Version und Backup von Hand einspielen damit du nicht die Lücke gleich wieder einspeist.

    Gruß Sven

    Für Openvz gehts mit noexec so: http://www.stronghub.com/securing-tmp-and-vartmp-on-openvz-container/
     
    Zuletzt bearbeitet: 3. Dez. 2013
  13. Sigix

    Sigix Member

    Hi, danke für deine Antwort,...

    ich habe diesen Server nach dem howtoForge - Perfect Debian Server installiert (vor ca. 2 oder 3 Jahren) ..... das einzige was hier läuft ist das Webmail und phpmyadmin

    sonst nichts.....

    Nein mein Filesystem sieht folgendermassen aus:

    Filesystem Size Used Avail Use% Mounted on
    /dev/vzfs 50G 17G 34G 34% /
    tmpfs 512M 0 512M 0% /lib/init/rw
    tmpfs 512M 0 512M 0% /dev/shm

    also kein eigener Mount-punkt!

    ich habe jetzt alle Seiten durchgesehen bei allen ist SuPHP ausgewählt!
    ?????????
     
  14. F4RR3LL

    F4RR3LL Member

    Wie werden roundcube und phpmyadmin aufgerufen, wann wurden sie das letzte mal aktualisiert?

    mount -t tmpfs -o noexec,nosuid,size=2G tmpfs /tmp/
    mount -t tmpfs -o noexec,nosuid,size=2G tmpfs /var/tmp/

    ^^so bekommste tmp erstmal auf noexec
     
    Zuletzt bearbeitet: 3. Dez. 2013
  15. Sigix

    Sigix Member

    okay

    /dev/vzfs 50G 17G 34G 34% /
    tmpfs 512M 0 512M 0% /lib/init/rw
    tmpfs 512M 0 512M 0% /dev/shm
    tmpfs 512M 44K 512M 1% /tmp
    tmpfs 512M 0 512M 0% /var/tmp

    sind gemountet

    ich habe squirrelmail (Version 1.4.21)
    phpmyadmin ist noch uralt.... 3.3.7deb7

    phpmyadmin kann ich aktualisieren!
    squirrelmail auf Version 1.4.22 ???
     
  16. Till

    Till Administrator

    das uralt in der Versionsnummer hat nichts zu sagen, Debian patch Sicherheitslücken ohne die Versionsnummer der Software zu erhöhen, erkennbar am Zusatz deb7, ist also der 7. patch. Debian 6 ist noch unterstützt, also ist Dein System sicher solange Du alle aktuellen Debian Updates mit:

    apt-get update
    apt-get upgrade

    installiert hast.
     
  17. Till

    Till Administrator

    Du solltest auch überlegen mal ISPConfig zu aktualisieren. Mir ist zwar keine Sicherheitslücke in ISPConfig bekannt die dafür verantwortlich sein könnte, aber es ist nie gut alte Versionen einzusetzen, außer Du hast einen Bestimmten Grund wie z.B. größere eigene Codeanpassungen, dass du nicht updaten kannst. Und in den aktuellen ISPConfig Versionen läuft das ispconfig interface auch per fcgi php unter dem user ispconfig und nicht mehr mit mod_php, so dass wir dann einen weiteren Dienst der unter www-data läuft ausschließen können.
     
  18. Till

    Till Administrator

    Und poste mal die ausgabe von:

    /usr/lib/cgi-bin/php5 -v

    bevor Du debian oder ispconfig updatest.
     
  19. F4RR3LL

    F4RR3LL Member

    Laut Debian -- Ergebnisse der Debian-Paketsuche -- squeeze sind deine beiden eingesetzten Versionen aktuell. Hm, schwierig. Es muss auf jeden fall etwas sein das unter modphp läuft/lief und dort war/ist die Lücke.
    Zumindest bist du nun mit dem auf diese Art eingebundenen tmp Verzeichnis davor geschützt, dass aus tmp heraus etwas "unkoscheres" von dort gestartet wird. Die laufenden Prozesse hast Du hoffe ich gekickt. Und nicht vergessen das ganze rebootfest zu machen mit einem Eintrag in der /etc/fstab.

    Gruß Sven
     
  20. Sigix

    Sigix Member

    root@mail2:~# /usr/lib/cgi-bin/php5 -v
    PHP 5.3.9-1~dotdeb.3 with Suhosin-Patch (cgi-fcgi) (built: Jan 12 2012 23:01:28)
    Copyright (c) 1997-2012 The PHP Group
    Zend Engine v2.3.0, Copyright (c) 1998-2012 Zend Technologies
    with Suhosin v0.9.32.1, Copyright (c) 2007-2010, by SektionEins GmbH
    root@mail2:~#
     

Diese Seite empfehlen