PHP Session geht nicht mehr & Permission denied

Dieses Thema im Forum "Installation und Konfiguration" wurde erstellt von Falloutboy6, 25. Jan. 2011.

  1. Falloutboy6

    Falloutboy6 Member

    Hi,

    ich habe auf einmal das Problem, dass die PHP Sessions nicht mehr gehen. Ich erzalte folgende Fehlermeldung.

    Meine Apache error.log Files sind auch zu mit folgenden Meldungen

    Nach einem Neustart erhalte ich nun die Meldung

    Mir fällt gerade auf, dass in fast jedem Ordner auf einmal eine .htacces Datei liegt mit dem Inhalt

    Kann sich jemand erklären woher die kommt? Von mir nicht. Wenn ich diese lösche funktioniert es auch wieder, aber sobald ich halt in einen anderen Ordner wechsel erhalte ich wieder die gleiche Meldung.

    Wer kann mir hier helfen?

    Danke
     
    Zuletzt bearbeitet: 25. Jan. 2011
  2. Till

    Till Administrator

    Möglicherweise wurde das CMS in der Webseite gehackt. Was für ein CMS ist es denn und ist es die aktuellste Version. Schau doch mal nach, ob es die Datei /tmp/25454b22bf39c75795851f39d5e347c4 gibt und was da drin steht. Außerdem ist es interessant, welchem user die Datei /tmp/25454b22bf39c75795851f39d5e347c4 gehört.
     
  3. Falloutboy6

    Falloutboy6 Member

    Hi,

    CMS ist keins vorhanden. Der Inhalt vom /tmp/ Folder ist

    Die .htaccess Datei selber hat User:Gruppe www-data

    Danke
     
  4. Till

    Till Administrator

    Der Temp folder ist ok, das sind die normalen session dateien. Es geht bei dem Problem um die Datei mit dem exakten Namen /tmp/25454b22bf39c75795851f39d5e347c4

    Hast Du die bereits gelöscht?
     
  5. Falloutboy6

    Falloutboy6 Member

    gelöscht habe ich sie nicht aber ich finde sie auch nicht mehr. Sollte diese nicht im /tmp/ Ordner liegen oder im /tmp/ vom web selber?
     
  6. Till

    Till Administrator

    Schau mal in beiden nach. Aber ich denke es müsste der /tmp/ Ordner sein.

    Was genau hast Du denn in der webseite laufen? Nur HTML dateien oder irgend was in php programmiertes, was eine Sicherheitslücke haben könnte?
     
  7. Falloutboy6

    Falloutboy6 Member

    Also Datei kann ich keine finde. Ne da läuft was in php programmiert.
     
  8. Till

    Till Administrator

    Ich bin jetzt bei der sache ein wenig weiter gekommen. Hatte gerade einen Kunden, dessen Server das gleiche Problem hat. Es scheint sich dabei um einen hack zu ahndeln, ich weiß aber noch nicht, wodurch sie rein gekommen sind. Schau auch mal hier:

    http://forums.oscommerce.com/topic/370211-was-this-a-hack-attempt/

    bzw. such mal bei google nach:

    /tmp/25454b22bf39c75795851f39d5e347c4

    Es muss irgend ein automatisches hack script sein das erst seit ein paar tagen aktiv ist. Ich hab mir mal die Mühe gemacht und bei diversen Google Treffern nachgesehen, welches Controlpanel verwendet wird und es scheint nicht ispconfig spezifisch zu sein. Ich hatte einen Treffer für ispconfig 2. Die vhsot Pfade der anderen befallenen Systeme passen aber nicht zu ispconfig. daher würde ich mal sagen, dass ispconfig nicht die Ursache ist.

    Bei den befallenen Seiten scheinte es sich hauptsächlich um Joomla, oscommerce oder magento seiten zu handeln. Wobei ich auch einen Bericht über eine Wordpress Seite gefunden habe.

    Werde mir jetzt mal die Datei /tmp/25454b22bf39c75795851f39d5e347c4 ansehen, die dort includet wurde.

    Ich würde Dir jetzt erstmal folgendes raten:

    1) Überprüfe, ob die Datei /tmp/25454b22bf39c75795851f39d5e347c4 wirklich nicht da ist. z.B. mit:

    ls -la /tmp/25454b22bf39c75795851f39d5e347c4

    Wenn sie nicht da ist, dann lege sie an:

    touch /tmp/25454b22bf39c75795851f39d5e347c4

    öffne sie danach mit einem Editor und schreibe folgende Zeilen rein:

    Code:
    <?php
    
    ?>
    Wichtig, es darf keine Leerzeile am anfang oder Ende der datei stehen. Dann machst Du die Datei unveränderbar:

    chattr +i /tmp/25454b22bf39c75795851f39d5e347c4

    jetzt kann nur noch root sie ändern und nicht mehr der webserver prozess, dem sie ursprünglich auf den gehackten Servern gehörte.

    Damit ist erstmal sichergestellt, dass keine gehackten Inhalte in Deine Webseiten aus der datei geladen werden.

    Als nächstes such bitte mal in den diversen web logs nach "25454b22bf39c75795851f39d5e347c4". Das geht z.B. mit grep und scahu, ob Du es irgendwo findest.
     
  9. Till

    Till Administrator

    Und nochwas, welche ISPConfig Version benutzt Du?
     
  10. Falloutboy6

    Falloutboy6 Member

    ok habe ich mal alles gemacht.

    Habe die

    In den Logfiles konnte ich nichts dazu finden.

    Hab doch noch was gefunden

    www.domain.de habe ich natürlich nur ersetzt.Hier ist ein CMS Contenido im Einsatz.
     
    Zuletzt bearbeitet: 25. Jan. 2011
  11. Till

    Till Administrator

    Das was Du im Log gefunden hast war ich gerade bei meiner Recherche nach dem Problem. Wenn Du bei Google nach /tmp/25454b22bf39c75795851f39d5e347c4 suchst müsstest Du irgendwo auf den ersten 2 Trefferseiten stehen.
     
  12. Falloutboy6

    Falloutboy6 Member

    Axo ok. Weiteres habe ich nicht gefunden.
    Ich hab dann auch noch das Problem mit den .htaccess Dateien. Hab ich eine Möglichkeit alle auf einmal zu löschen. Die .htaccess Dateien haben ja alle den gleichen Inhalt.
     
  13. Till

    Till Administrator

    Das müsste an sich per script gehen, indem Du erst alle .htaccess dateien des Servers suchst und dann den Inhalt der dateien nach dem Pfad durchsuchst. Habe dafür aber kein fertiges Script parat.
     
  14. Falloutboy6

    Falloutboy6 Member

    Könnte das so hinhauen?

    Problem ist nur, dass ich ein paar Ordner ausschließen müsste. Weil doofer weise auch die .htaccess Dateien von awstats betroffen sind. Die sollte ich nicht unbedingt löschen.
     
    Zuletzt bearbeitet: 25. Jan. 2011
  15. Till

    Till Administrator

    kannst ja mal testweise eine der awstats .htaccess dateien löschen oder umbenennen, ich glaube die müssten dann über nacht neu erstellt werden. In dem Fall wäre es nicht so schlimm, wenn Du sie löschst.
     
  16. ayreon

    ayreon New Member

    ich hab die auch drauf hab für alle noch nen tipp

    mein tipp ist, das man in dasd löschscript die größe evtl. mit angibt, denn alle haben die selbe größe (angezeigt in winscp bei mir 417)...

    man kann sie auch mit winscp eben mit der suche suchen und anzeigen und löschen (leider alle einzeln)
    sicher kann man das auch mit anderen programmen machen
     
  17. ayreon

    ayreon New Member

    bei mir der in den .htaccess ist der inhalt

    Code:
    AddType application/x-httpd-php .php .phtml .php3 .php4 .php5 .htm .html
    php_value auto_prepend_file /tmp/25454b22bf39c75795851f39d5e347c4
    AddType application/x-httpd-php .php .phtml .php3 .php4 .php5 .htm .html
    php_value auto_prepend_file /tmp/25454b22bf39c75795851f39d5e347c4
    AddType application/x-httpd-php .php .phtml .php3 .php4 .php5 .htm .html
    php_value auto_prepend_file /tmp/25454b22bf39c75795851f39d5e347c4
     
  18. ayreon

    ayreon New Member

    mit
    Code:
    find -name ".htaccess" -exec grep -Hn "AddType application/x-httpd-php .php .phtml .php3 .php4 .php5 .htm .html" "{}" \; -delete
    werden im übrigen nur die mit dem inhalt gelöscht und keine anderen...
     

Diese Seite empfehlen