[Abuse] Was ist da los?

  • Hallo zusammen, habe folgenden Abuse Hinweis bekommen:


    Ich kann damit nichts anfagen. Ich hab eig. (so dachte ich) eine gute Grundsicherung. Kein root-Login. Alle Updates regelmäßig eingespielt. etc.
    Kann mir einer auf die Sprünge helfen was hier falsch läuft?


    Nutze den Server für diverse Homepages, Minecraft und TS.


    DANKE

  • Offenbar hast du ein PHP-Script namens eonjx2.php (sofern nicht gefälscht) mit dem Spam versendet werden kann. eval()'d code deutet auch darauf hin, dass beliebiger PHP-Code ausgeführt werden, also eine schwere Sicherheitslücke.

  • Hast du Wordpress Installiert?


    Schau mal in deinem Plugin Ordner, ob da ein Plugin mit zufälligen Zeichen drin ist.
    Da wirst du dann sicher die Datei eonjx2.php finden.


    Das ist das Skript, was es möglich macht.


    Wie das auf deinen Server kommt wissen wir ohne entsprechende Logs nicht (ftp, webserver, ...)
    Scheinbar gibt es derzeit häufiger Angriffe dieser Art. Ich habe da schon mehrfach solchen Spam erhalten, wo ich das so nachvollziehen konnte.

  • Hello again,


    ein "find / -iname eonjx2.php" hat mir verraten wo sich das script versteckt. Das war Teil einer Joomla-Installation. Ich werde da mal nachhacken welche Version derjenige im Einsatz hat. Auf jedenfall hab ich mir jetzt einen zweiten vServer bestellt um parallel ein sauberes System aufzubauen.


    edit: ich würde euch das innere gerne Zeigen, leider hab ich es zu schnell gelöscht. Versuche ich ein Backup zu entpacken greift sofort mein Antivirus ...


    eval()'d code deutet auch darauf hin, dass beliebiger PHP-Code ausgeführt werden, also eine schwere Sicherheitslücke.

    .... wie verhindere ich sowas in der Zukunft?



    Vielen Dank euch! Ihr seid echt klasse!

  • Du kannst bestimmte funktionen in der php.ini bei "disable_functions" deaktivieren.


    Beispiel:

    Code
    disable_functions = eval, escapeshellcmd, exec, ini_restore, passthru, popen, proc_nice, proc_open, shell_exec, system

    Du merkst, dass ein Bug an dir hoch krabbelt. Du findest ihn nett und nennst ihn Exploit.


  • Ich würde an deiner stelle dennoch gern wissen wollen, wie jemand eine datei bei mir ablegen kann.
    Da kann ja auch mal was anderes als eval() drinstehen ;)


    Nunja, alles zu kontrollieren was Dritte machen ist quasi unmöglich. Das Script war in einer Joomla-Installation eines Bekannten. Wer weiß was der für Passwörter vergeben hat -.- Vom Ordneraufbau schaut es auch nach einer alten Joomla-Installation aus .... da gibt es genug Lücken die einen Upload ermöglichen wenn man nicht aufpasst.
    Hier ein Artikel dazu: Ist Joomla sicher? Eine Übersicht aller entdeckten Sicherheitslücken in Joomla 1.5. | AboutCMS!


    Eines steht jedoch fest: Meinen neuen Server verwende ich alleine.

  • da sagst du was!!
    Auf jeden Fall vielen Dank euch allen!! Ich hoff ich bekomm nicht nochmal so eine Mail.


    Aber wie macht das eig jmd der ein paar Kunden auf seinem Server hat. Wie will man sowas überwachen?

  • Aber wie macht das eig jmd der ein paar Kunden auf seinem Server hat. Wie will man sowas überwachen?


    Verhindern kannst du es kaum. Aber sofern von der Virtualisierung unterstützt (bei KVM geht es) z.B. mit intelligenten Firewall-Regeln und Monitoring informieren, den auffälligen Traffic protokollieren und sofort Alarm schlagen.


    Bei fremden Inhalten von anderen Projekten, wo man kein direkter Administrator ist, würde ich mich außerdem mit einem schriftlichem Vertragsähnlichem Dokument absichern, das die Pflichten des "Kunden" regelt. Ein Anwalt berät dich da sicherlich gerne, so dass du wenigstens rechtlich gesehen abgesichert bist.



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Es kann selbst Profis die viel mit IT zu tun haben mal passieren, selbst große Firmen haben da manchmal Probleme.

    da sagst du was!!
    Auf jeden Fall vielen Dank euch allen!! Ich hoff ich bekomm nicht nochmal so eine Mail.

    Du kannst nicht deine ganzen Freunde und Kunden so einfach überwachen. Zum einen ist der Datenschutz zu beachten, zum anderen kannst du nicht wissen ob eine UDP_connection.php Datei nun da hin gehört oder nicht. Und selbst wenn einzelne Prozesse oder Dateien mal mehr Last verursachen. Wenn du sie einfach löschst und es entsteht ein Schade, dass müsstest du den eventuell tragen.

    Aber wie macht das eig jmd der ein paar Kunden auf seinem Server hat. Wie will man sowas überwachen?

    Bei KVM kannst mit iptables oder auch firewall software arbeiten, bei den normalen V-Servern ist es etwas schwieriger, aber volle Überwachung ist aufwändig.

    Verhindern kannst du es kaum. Aber sofern von der Virtualisierung unterstützt (bei KVM geht es) z.B. mit intelligenten Firewall-Regeln und Monitoring informieren, den auffälligen Traffic protokollieren und sofort Alarm schlagen.

    Ein Vertrag bei dem auch Nutzungsbedingungen sowie Rechten und Pflichten enthalten sind ist oft schon sinnvoll wenn man die Haftung klären möchte. Bei einer statischen html Seite ist es vermutlich nicht so das Problem...
    Was machst du aber wenn jemand ein CMS laufen hat mit Sicherheitslücken und letzendlich Skripte eingeschmuckelt werden die das Netzwerk stark belasten?
    Netcup stellt dir für die Nachtschicht eine Rechnung, weil du Kunde bei ihnen bist, aber von wem bekommst du dann das Geld wieder?

    Bei fremden Inhalten von anderen Projekten, wo man kein direkter Administrator ist, würde ich mich außerdem mit einem schriftlichem Vertragsähnlichem Dokument absichern, das die Pflichten des "Kunden" regelt. Ein Anwalt berät dich da sicherlich gerne, so dass du wenigstens rechtlich gesehen abgesichert bist.