Sicherheitslücke?

Dieses Thema im Forum "Installation und Konfiguration" wurde erstellt von mrairbrush, 10. März 2010.

  1. mrairbrush

    mrairbrush Member

    Kriege von Hetzner ständig Abusemeldungen aber teilweise ohne Inhalt. Lediglich das jemand Spam gemeldet hätte. Der Traffic hat sich aber nur reinkommend drastisch erhöht. Wo fängt man am besten mit dem Suchen an?
    Kann jemand damit was anfangen?
    Was soll das mit URL Injektion?
     
  2. Till

    Till Administrator

    Das sieht ganz danach aus, als ob eines der CMS Systeme oder ähnliches auf Deinem System verwundbar ist.

    1) Suche das cms bzw script und aktualisiere es. Du kannst z.B. mit:

    locate editfunc.inc.php

    nach der datei suchen, um die betroffene website eingrenzen zu können.

    2) Scan Dein System mit rkhunter:

    http://www.rootkit.nl/projects/rootkit_hunter.html

    3) Bei URL Injection könnte Dir auch die Installation vom apache mod_security modul zusätzlichen Schutz bieten.
     
  3. mrairbrush

    mrairbrush Member

    Der Befehl locate wurde nicht gefunden :))

    rkhunter hat ein paar Sachen gefunden.

     
  4. mrairbrush

    mrairbrush Member

    Versuche gerade den mod_security zu installieren. Aber funktioniert leider nicht so einfach wie beschrieben.
    Hänge bei
    SecUploadDir /var/log/apache2/modsecurity/tmp
    fest

    apxs2 ist nicht installiert. Woher bekomme ich das? Suche schon aber habe noch nichts gefunden.
     
    Zuletzt bearbeitet: 11. März 2010
  5. Till

    Till Administrator

    Schau mal, ob es apache2 dev Pakete für die von Dir verwendete Linux Distribution gibt und wenn ja, dann installier sie.
     
  6. Quest

    Quest Member

    Zu locate:
    Der Befehl ist in der default Debian Installation nicht dabei.
    Such mal in Aptitude nach locate, dann wirst du fündig. Den genauen Paketnamen hab ich leider nicht im Kopf.
    Nach der Installation bitte ein mal
    updatedb
    ausführen um den Suchindex für locate zu aktualisieren.
     
  7. mrairbrush

    mrairbrush Member

    Verwende das Lenny von Hetzner und isp config
    finde bei Hetzner aber nicht leider
     
  8. Till

    Till Administrator

    Locate installieren:

    apt-get install findutils
     
  9. mrairbrush

    mrairbrush Member

    Hatte ein paar Tage Ruhe jetzt gehen die Abusemeldungen wieder los.
    HAbe in die Logs gesehen und folgendes häufug gefunden
     
  10. mrairbrush

    mrairbrush Member

    Funktioniert wohl nicht
     

Diese Seite empfehlen