Angriff auf Server

jo@chim · 10.10.2005, 17:33

Zitat:

wir mussten einen über Ihre Präsenz ausgeführten Angriff auf unseren Webserver registrieren. Ausgangspunkt waren Ihre PHP-Scripte, welche eine fehlerhafte XMLRPC-Bibliothek verwenden.
Weitere Informationen finden Sie unter
<URL:http://www.security-focus.com/bid/14088/info>
Bitte untersuchen Sie Ihren Webspace auf veränderte Dateien und entfernen Sie vom Angreifer hinterlegte Programme

Diese Mail habe ich von meinem Provider erhalten. Nach was und wo muss ich denn da suchen?

Olaf · 10.10.2005, 17:52

Der Angriff wurde über die "xmlrpc.php" durchgeführt. Unbedingt ein Upgrade auf die aktuelle WordPress-Version durchführen!

jo@chim · 10.10.2005, 18:16

Ich hatte überhaupt nicht mitbekommen, dass es schon wieder eine neue WP-Version gibt - werde unverschüglichst auf 1.5.2 upgraden. Herzlichen Dank, Olaf!

\0 · 10.10.2005, 21:12

entschuldige ...ich wollte schon heute nachmittag antworten leider musste ich an meinem text etwas länger feilen:

Leider ist das Update nur eine ausweichende Lösung nachdem man "gehackt" wurde müste man eigentlich folgendes tun:

zuerst ... misstraue alle dateien (normalerweise sind nur scripts angreifbar ... es gibt aber möglichkeiten bilder mit viren zu infizieren). in jedem Script auf dem Server könnte ein Trojaner (Hintertür für den Cracker) eingebaut worden sein. Diese könnte unbemerkt in einem Template schlummern, und könnte ohne Probleme von dem Cracker jederzeit wieder benutzt werden um Kontrolle über den Webspace zu erlangen.

Was wäre eine saubere Methode für ein Update?:
1. herunterladen aller dateien
2. herunterladen einer Sicherung der Datenbank
3. alle dateien auf dem webspace löschen (außer wp-content - dazu kommen wir gleich) und durch saubere ( von der original seite heruntergeladene versionen) ersetzen
4. die plugins und themes müssen durch saubere Versionen ersetzt werden ..alle eigenständigen änderungen müssen per copy und paste von der alten Version zur neuen Übertragen werden (dabei gleich eine updateanleitung anlegen - für neue versionen das man weiss was man ändern muss)
5. alle hochgeladenen dateien überprüfen ( scripts als konterminiert ansehen und wenn möglich durch saubere versionen ersetzten)
6. das update durchführen
7. wenn alles funktioniert die lokalen dateien löschen (nicht sichern ...darin könnte sich ein trojaner befinden)

ich weiss das diese anleitung viel paranoia beinhaltet ... dies hier ist eine mögliche Art einen komprimitierten Webspace wieder zu reinigen.

jo@chim · 10.10.2005, 22:17

Danke für Deine Hinweise! Wird denn das Dateidatum manipuliert? Ich habe mir die Werte in meiner Installation angesehen und nichts auffälliges entdeckt ...

Johannes (BlogDesk) · 11.10.2005, 18:08

Kleiner Tipp: mit HackDetect lassen sich die angesprochenen Manipulationen an Dateien aufspüren. Jetzt im Nachhinein ist es natürlich zu spät.

\0 · 11.10.2005, 19:45

Zitat:

Zitat von jo@chim

Danke für Deine Hinweise! Wird denn das Dateidatum manipuliert? Ich habe mir die Werte in meiner Installation angesehen und nichts auffälliges entdeckt ...

je nach Webspace-Konfiguration ist dies auch möglich.

10.10.2005, 18:16	#3 (permalink)
jo@chim PostRank: 2 Registriert seit: 04.02.2005 Beiträge: 68	uuups ... Ich hatte überhaupt nicht mitbekommen, dass es schon wieder eine neue WP-Version gibt - werde unverschüglichst auf 1.5.2 upgraden. Herzlichen Dank, Olaf! __________________ www.antibuerokratieteam.net (WP 2.2.2 / Firefox 2.0.0.6)

10.10.2005, 21:12	#4 (permalink)
\0 WPD-Team $Benutzerbild von \0$ Registriert seit: 13.05.2005 Beiträge: 1.538	entschuldige ...ich wollte schon heute nachmittag antworten leider musste ich an meinem text etwas länger feilen: Leider ist das Update nur eine ausweichende Lösung nachdem man "gehackt" wurde müste man eigentlich folgendes tun: zuerst ... misstraue alle dateien (normalerweise sind nur scripts angreifbar ... es gibt aber möglichkeiten bilder mit viren zu infizieren). in jedem Script auf dem Server könnte ein Trojaner (Hintertür für den Cracker) eingebaut worden sein. Diese könnte unbemerkt in einem Template schlummern, und könnte ohne Probleme von dem Cracker jederzeit wieder benutzt werden um Kontrolle über den Webspace zu erlangen. Was wäre eine saubere Methode für ein Update?: 1. herunterladen aller dateien 2. herunterladen einer Sicherung der Datenbank 3. alle dateien auf dem webspace löschen (außer wp-content - dazu kommen wir gleich) und durch saubere ( von der original seite heruntergeladene versionen) ersetzen 4. die plugins und themes müssen durch saubere Versionen ersetzt werden ..alle eigenständigen änderungen müssen per copy und paste von der alten Version zur neuen Übertragen werden (dabei gleich eine updateanleitung anlegen - für neue versionen das man weiss was man ändern muss) 5. alle hochgeladenen dateien überprüfen ( scripts als konterminiert ansehen und wenn möglich durch saubere versionen ersetzten) 6. das update durchführen 7. wenn alles funktioniert die lokalen dateien löschen (nicht sichern ...darin könnte sich ein trojaner befinden) ich weiss das diese anleitung viel paranoia beinhaltet ... dies hier ist eine mögliche Art einen komprimitierten Webspace wieder zu reinigen.
$\0 ist offline$

10.10.2005, 22:17	#5 (permalink)
jo@chim PostRank: 2 Registriert seit: 04.02.2005 Beiträge: 68	Danke für Deine Hinweise! Wird denn das Dateidatum manipuliert? Ich habe mir die Werte in meiner Installation angesehen und nichts auffälliges entdeckt ... __________________ www.antibuerokratieteam.net (WP 2.2.2 / Firefox 2.0.0.6)

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
You don't have permission to access /*/ on this server.	rene.keil	Konfiguration	2	05.09.2005 18:46
Server Wechsel	Benijamino	Installation	1	24.07.2005 11:49
Blog auf einen anderen Server kopieren	ben	Installation	1	17.06.2005 09:16
WP auf anderen Server übersiedeln	Sulorli	Installation	1	06.01.2005 13:13

10.10.2005, 17:52	#2 (permalink)
Olaf WPD-Team Registriert seit: 03.09.2004 Ort: Zürich Beiträge: 2.501	Der Angriff wurde über die "xmlrpc.php" durchgeführt. Unbedingt ein Upgrade auf die aktuelle WordPress-Version durchführen!

11.10.2005, 18:08	#6 (permalink)
Johannes (BlogDesk) PostRank: 0 Registriert seit: 30.08.2005 Beiträge: 19	Kleiner Tipp: mit HackDetect lassen sich die angesprochenen Manipulationen an Dateien aufspüren. Jetzt im Nachhinein ist es natürlich zu spät.