Suche

[Liu-Kang]

Vor zwei Tagen wurde des Nachts die index.php im PragmaMX Root ausgetauscht bzw. umbenannt in index.php.old und eine neue index.php wurde hochgeladen mit dem Satz "Hacked by Wasweißich!"
Leider hatte ich aus reflex diese neue Datei sofort gelöscht. Zum Glück wurde allerdings ein erneuter Versuch unterlassen.

Jetzt ist es so, daß sich seit dem jeden Nachmittag mein Server aufhängt. Am Donnerstag war es gegen 13 Uhr und am Freitag gegen 15:15 Uhr.
Homicide, der mir dabei sehr hilfreich ist, meinte, ich solle dieses Problem hier mal posten und er vermutet ein Modul welches eventuell Lücken haben könnte.
Ich hoffe, Ihr könnt mir da ein bisschen weiterhelfen!
Viele Grüße

[Homicide]

das erste scheint ein Modul zu sein das lücken hat,

warum der Server sich aufhängt weiß ich auch noch nicht, aber ich bin mir sicher das dies mit dem Angriff selber nichts zu tun hat.
Dabei tippe ich eher auf einen HDD Fehler, wie ich dir schon gemeldet habe zeigen die Logs das die HDD nicht mehr 100% ok ist (ist ja auch schon ein etwas älterer Server )
Das schaun wir uns an sobald ich wieder zuhaus bin.

interessant ist erstmal wie es zu dem Austausch der index.php kommen konnte.

[Selkie]

Ich hatte mal ein ähnliches Problem. Bin gerade etwas schreibfaul, deswegen nur der bereits verfasste Text auf meiner HP. Ich denke Ihr solltet es wissen.

"Hallo zusammen,

wie einigen bereits aufgefallen war, kam es beim Aufruf der Seite DarkMeeting zu einer Viruswarnung!
In Zusammenarbeit mit dem wirklich tollen Support unseres Providers konnte der Virus gefunden und entfernt werden.

Derzeit wird überprüft, wie jemand in der Lage sein konnte, den Virus auf die Seite zu implementieren.

Das Ganze war in eine PHP-Source implementiert, und wurde per iframe aufgerufen. Ich persönlich finde es wirklich schade, dass manche Menschen die Arbeite anderer für dumme Zwecke missbrauchen.

Das iframe verwies auf folgende Seite: http://buytraff.biz/dl/ A C H T U N G: DIESE SEITE IST MIT EINEM VIRUS VERSEHEN!

... dort wurde dann das Modul "adv503.php" aufgerufen. Es hat sehr viel Mühe gekostet, diese Stelle ausfindig zu machen. Wie dem auch sei ..."

[JoergK]

Das iframe verwies auf folgende Seite: buytraff.biz/dl/

... dort wurde dann das Modul "adv503.php" aufgerufen.

Es macht mich immer stutzig, wenn man nen URL aufruft (hier: buytraff.biz) und man die Startseite des Apache zusehen bekommt. Und zumindest die Datei adv503.php im dortigen dl-Verzeichnis is immer noch mit dem Trojaner Trojan.ByteVerify verseucht bzw. die nachgeladene Datei /adv503/sploit.anr.


Gruss,
JoergK

[Andi]

Moin

und er vermutet ein Modul welches eventuell Lücken haben könnte

Dazu wäre es interessant zu wissen, welche Module installiert sind.


Wobei das austauschen der index.php hört sich irgendwie nach einem alten phpBB-Bug oder nuke-Coppermine Bug an. Ist das ein virtueller Server o.Ä. wo auch andere Webseiten gehostet sind?
Oft kommen diese Dinger ja auch von einem "Nachbarweb".

[Liu-Kang]

Nein, das ist ein Rootserver auf dem fast nur PragmaMX läuft. Ein paar kleinere Scripte sind noch drauf aber die sollten normalerweise keine Sicherheitslücke darstellen.
Wenn Du willst Andi, schicke ich Dir mal die Daten für den Server.

[--helmi-]

Moin..

Wobei das austauschen der index.php hört sich irgendwie nach einem alten phpBB-Bug oder nuke-Coppermine Bug an.

Wir  hatten dieses Prob letztes Jahr..  "SpyKids owz You" stand in jeder index.php / index.htm...
Backups der alten Datei gabs aber damals nicht.. 

Wie sich heraus stellte, war ein Bug / Loch in einer alten Postnuke- / Evolution- Nuke- Installation ..
Wenn ichs noch recht weiss, war das Downloadsmodul (irgendwas mit "X" am Anfang des Dateinamens..!?) der Sündenbock / Angriffspunkt.  Kann nur nochmal meine Erkenntniss von damals sagen: " Alle Scripte / Module die man irgendwann einmal zum Testen installiert hatte und nicht mehr braucht (also auch nimmer updated!) reguros vom Server hauen..!    So kommen auch heute noch immer wieder Leute und versuchen ein ehemals installiertes Statsscript (glaub es war EW-Stats..!?) aufzurufen..