[Postfixbuch-users] OT Site gehackt

Alexander JäŠger lx at survive-linux.com
Mi Nov 28 18:25:54 CET 2007 


Uwe Driessen schrieb:
> Crandler schrieb: 
>   
>>> In den Logs habe ich folgendes gefunden
>>> ...EXIF_Makernote.php?mosConfig_absolute_path=http://...
>>>       
>> Klassisches Beispiel von Code Injection mittel url_fopen.
>>
>> Ganz kurz gesagt:
>> Das Script "includiert" den Inhalt der URL ohne Prüfung auf Sinn und Unsinn
>> bzw. Sicherheit und Unsicherheit. :)
>>     
>
> Gut zu wissen 
>
>   
>>     
>>> Ich hoffe mal das mein Server mit
>>> PHP 5.2.3-1+lenny1 (cli) (built: Oct  3 2007 19:22:40)
>>> Copyright (c) 1997-2007 The PHP Group
>>> Zend Engine v2.2.0, Copyright (c) 1998-2007 Zend Technologies
>>>
>>> Erstmal sicher ist konnte bis dato in den eigenen Logs auch noch keine
>>> Aufrufe dieser Art finden.
>>>       
>> Evtl. mal sicherheitshalber rkhunter und/oder chkrootkit drüber laufen
>> lassen. Kenne deinen Server nicht. :)
>> Läuft PHP als Modul oder CGI?
>>     
>
> Php als modul
> Rkhunter als auch chrootkit rennen 2 mal am Tag (ein bisschen paranoid hat noch nie
> geschadet *gg)
>
>   
>>     
>>> Noch jemand Tips damit es gar nicht erst passiert?
>>>       
>> - Software aktuell halten, Löcher regelmäßig "stopfen"
>>     
>
> Ist selbstverständlich, wird fast täglich gemacht 
>
>   
>> - Kunden zu mehr Vorsorge drängen, denn Vorsicht ist besser als... (kennst
>>
>>   du ja sicher)
>>
>> - mod_security verwenden
>>     
>
> Rennt ebenfalls 
>
>   
>> - allow_url_fopen deaktivieren (könnte bei manchen Skripten Probleme
>>   bereiten)
>>     
>
> Muß ich mal testen
>
>   
>>     
>>> Der die Seite geschrieben bzw. eingerichtet hat ist verständigt um evtl.
>>> Updates einzuspielen.
>>>       
>> Das muss er wohl. :)
>>
>>     
> Er ist schon dranne *gg
>
> Mit freundlichen Grüßen
>
> Drießen
>
>   
Was sich in der Vergangenheit als ganz praktisch erwiesen hat ist 
partitionen auf denen webhosts laufen mit noexec und nosuid zu mounten,
ausser dem das Standard uploadverzeichniss von PHP auch auf die 
Partitionen schmeissen, so können keine Shell Skripte ausführbar 
geschmuggelt werden....


Grüße,
Alex

Mehr Informationen über die Mailingliste Postfixbuch-users