PHP Session geht nicht mehr & Permission denied

#1
Hi,

ich habe auf einmal das Problem, dass die PHP Sessions nicht mehr gehen. Ich erzalte folgende Fehlermeldung.

Warning: session_start() [function.session-start]: Cannot send session cookie - headers already sent by (output started at /tmp/25454b22bf39c75795851f39d5e347c4:386) in /var/www/web90/web/admin/index.php on line 1
Meine Apache error.log Files sind auch zu mit folgenden Meldungen

[Mon Jan 24 19:43:57 2011] [error] [client 96.9.170.30] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)
find: `/root/.aptitude': Permission denied
find: `/root/.spamassassin': Permission denied
find: `/root/ispconfig/httpd/conf/ssl.key': Permission denied
find: `/root/.cpan/build/IP-Country-2.27-9fstPa': Permission denied
find: `/root/.cpan/build/Error-0.17016-G2MJ3b': Permission denied
find: `/root/.cpan/build/IO-Socket-INET6-2.65-oeOEjl': Permission denied
find: `/root/.cpan/build/Mail-DKIM-0.38-oA0eAL': Permission denied
find: `/root/.cpan/build/Encode-Detect-1.01-ZjnouC': Permission denied
find: `/root/.cpan/build/IO-Socket-INET6-2.65-xwoANs': Permission denied
find: `/root/.cpan/build/Crypt-OpenSSL-Random-0.04-A1jryc': Permission denied
find: `/root/.cpan/build/Geography-Countries-2009041301-VvB70P': Permission denied
Nach einem Neustart erhalte ich nun die Meldung

Warning: Unknown: failed to open stream: No such file or directory in Unknown on line 0

Fatal error: Unknown: Failed opening required '/tmp/25454b22bf39c75795851f39d5e347c4' (include_path='.:/usr/share/php:/usr/share/pear') in Unknown on line 0
Mir fällt gerade auf, dass in fast jedem Ordner auf einmal eine .htacces Datei liegt mit dem Inhalt

AddType application/x-httpd-php .php .phtml .php3 .php4 .php5 .htm .html
php_value auto_prepend_file /tmp/25454b22bf39c75795851f39d5e347c4
Kann sich jemand erklären woher die kommt? Von mir nicht. Wenn ich diese lösche funktioniert es auch wieder, aber sobald ich halt in einen anderen Ordner wechsel erhalte ich wieder die gleiche Meldung.

Wer kann mir hier helfen?

Danke
 
Zuletzt bearbeitet:

Till

Administrator
#2
Möglicherweise wurde das CMS in der Webseite gehackt. Was für ein CMS ist es denn und ist es die aktuellste Version. Schau doch mal nach, ob es die Datei /tmp/25454b22bf39c75795851f39d5e347c4 gibt und was da drin steht. Außerdem ist es interessant, welchem user die Datei /tmp/25454b22bf39c75795851f39d5e347c4 gehört.
 
#3
Hi,

CMS ist keins vorhanden. Der Inhalt vom /tmp/ Folder ist

drwxrwxrwt 2 root root 4096 25. Jan 01:30 .ICE-unix
-rw------- 1 root root 0 25. Jan 12:10 sess_3585ae1a4de23bda482c4304c72ff955
-rw------- 1 root root 0 25. Jan 12:09 sess_62319c59e6f023816a4dac781b86569c
-rw------- 1 root root 0 25. Jan 12:14 sess_862afab19a71df3af8fa7df6f5173d50
-rw------- 1 admispconfig admispconfig 25 25. Jan 12:18 sess_943e6d830169fde4784b0ffc80fe3b7c
-rw------- 1 root root 0 25. Jan 12:13 sess_a9cc74ed4831f05b7a2cc2298b2f34b2
-rw------- 1 root root 0 25. Jan 12:16 sess_b815a1f47b7cdcbb6e21c4775b7156d9
drwxrwxrwt 2 root root 4096 25. Jan 01:30 .X11-unix
Die .htaccess Datei selber hat User:Gruppe www-data

Danke
 

Till

Administrator
#4
Der Temp folder ist ok, das sind die normalen session dateien. Es geht bei dem Problem um die Datei mit dem exakten Namen /tmp/25454b22bf39c75795851f39d5e347c4

Hast Du die bereits gelöscht?
 

Till

Administrator
#6
Schau mal in beiden nach. Aber ich denke es müsste der /tmp/ Ordner sein.

Was genau hast Du denn in der webseite laufen? Nur HTML dateien oder irgend was in php programmiertes, was eine Sicherheitslücke haben könnte?
 

Till

Administrator
#8
Ich bin jetzt bei der sache ein wenig weiter gekommen. Hatte gerade einen Kunden, dessen Server das gleiche Problem hat. Es scheint sich dabei um einen hack zu ahndeln, ich weiß aber noch nicht, wodurch sie rein gekommen sind. Schau auch mal hier:

http://forums.oscommerce.com/topic/370211-was-this-a-hack-attempt/

bzw. such mal bei google nach:

/tmp/25454b22bf39c75795851f39d5e347c4

Es muss irgend ein automatisches hack script sein das erst seit ein paar tagen aktiv ist. Ich hab mir mal die Mühe gemacht und bei diversen Google Treffern nachgesehen, welches Controlpanel verwendet wird und es scheint nicht ispconfig spezifisch zu sein. Ich hatte einen Treffer für ispconfig 2. Die vhsot Pfade der anderen befallenen Systeme passen aber nicht zu ispconfig. daher würde ich mal sagen, dass ispconfig nicht die Ursache ist.

Bei den befallenen Seiten scheinte es sich hauptsächlich um Joomla, oscommerce oder magento seiten zu handeln. Wobei ich auch einen Bericht über eine Wordpress Seite gefunden habe.

Werde mir jetzt mal die Datei /tmp/25454b22bf39c75795851f39d5e347c4 ansehen, die dort includet wurde.

Ich würde Dir jetzt erstmal folgendes raten:

1) Überprüfe, ob die Datei /tmp/25454b22bf39c75795851f39d5e347c4 wirklich nicht da ist. z.B. mit:

ls -la /tmp/25454b22bf39c75795851f39d5e347c4

Wenn sie nicht da ist, dann lege sie an:

touch /tmp/25454b22bf39c75795851f39d5e347c4

öffne sie danach mit einem Editor und schreibe folgende Zeilen rein:

Code:
<?php

?>
Wichtig, es darf keine Leerzeile am anfang oder Ende der datei stehen. Dann machst Du die Datei unveränderbar:

chattr +i /tmp/25454b22bf39c75795851f39d5e347c4

jetzt kann nur noch root sie ändern und nicht mehr der webserver prozess, dem sie ursprünglich auf den gehackten Servern gehörte.

Damit ist erstmal sichergestellt, dass keine gehackten Inhalte in Deine Webseiten aus der datei geladen werden.

Als nächstes such bitte mal in den diversen web logs nach "25454b22bf39c75795851f39d5e347c4". Das geht z.B. mit grep und scahu, ob Du es irgendwo findest.
 
#10
ok habe ich mal alles gemacht.

Habe die

In den Logfiles konnte ich nichts dazu finden.

Hab doch noch was gefunden

httpd/ispconfig_access_log_2011_01_25:www.domain.de||||315||||85.176.151.75 - - [25/Jan/2011:14:52:25 +0100] "GET /cms/front_content.php HTTP/1.1" 200 315 "http://www.google.de/search?q=%2Ftmp%2F25454b22bf39c75795851f39d5e347c4&channel=linkdoctor" "Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/534.13 (KHTML, like Gecko) Chrome/9.0.597.67 Safari/534.13"
www.domain.de habe ich natürlich nur ersetzt.Hier ist ein CMS Contenido im Einsatz.
 
Zuletzt bearbeitet:

Till

Administrator
#11
Das was Du im Log gefunden hast war ich gerade bei meiner Recherche nach dem Problem. Wenn Du bei Google nach /tmp/25454b22bf39c75795851f39d5e347c4 suchst müsstest Du irgendwo auf den ersten 2 Trefferseiten stehen.
 
#12
Axo ok. Weiteres habe ich nicht gefunden.
Ich hab dann auch noch das Problem mit den .htaccess Dateien. Hab ich eine Möglichkeit alle auf einmal zu löschen. Die .htaccess Dateien haben ja alle den gleichen Inhalt.
 

Till

Administrator
#13
Das müsste an sich per script gehen, indem Du erst alle .htaccess dateien des Servers suchst und dann den Inhalt der dateien nach dem Pfad durchsuchst. Habe dafür aber kein fertiges Script parat.
 

Till

Administrator
#15
kannst ja mal testweise eine der awstats .htaccess dateien löschen oder umbenennen, ich glaube die müssten dann über nacht neu erstellt werden. In dem Fall wäre es nicht so schlimm, wenn Du sie löschst.
 
#16
ich hab die auch drauf hab für alle noch nen tipp

mein tipp ist, das man in dasd löschscript die größe evtl. mit angibt, denn alle haben die selbe größe (angezeigt in winscp bei mir 417)...

man kann sie auch mit winscp eben mit der suche suchen und anzeigen und löschen (leider alle einzeln)
sicher kann man das auch mit anderen programmen machen
 
#17
bei mir der in den .htaccess ist der inhalt

Code:
AddType application/x-httpd-php .php .phtml .php3 .php4 .php5 .htm .html
php_value auto_prepend_file /tmp/25454b22bf39c75795851f39d5e347c4
AddType application/x-httpd-php .php .phtml .php3 .php4 .php5 .htm .html
php_value auto_prepend_file /tmp/25454b22bf39c75795851f39d5e347c4
AddType application/x-httpd-php .php .phtml .php3 .php4 .php5 .htm .html
php_value auto_prepend_file /tmp/25454b22bf39c75795851f39d5e347c4
 
#18
mit
Code:
find -name ".htaccess" -exec grep -Hn "AddType application/x-httpd-php .php .phtml .php3 .php4 .php5 .htm .html" "{}" \; -delete
werden im übrigen nur die mit dem inhalt gelöscht und keine anderen...
 

Werbung

Top