Server/PHP4You cracked

Update: PHP4You.de wird derzeit an das neue CMS angepasst, der Angreifer wurde entfernt. Weiteres in der entsprechenden Mitteilung.

Heute bekam ich eine Mail, dass wohl jemand durch eine Sicherheitslücke als Apache-User ausführbare Dateien einschleusen konnte. Diese enthielten exploits um an root Rechte zu gelangen und schienen Dinge zu tun wie z.B. das cracken von MD5/SHA hashs über Bruteforce/Rainbow Tables. Wir haben diese Dateien entfernt und vorübergehend PHP4You offline genommen, da diese Seite wohl die Sicherheitslücke enthielt. Nun sind wir am durchsuchen der Logs um an wichtige Informationen zu dem Vorfall zu gelangen.

Wir hoffen, dass wir bald das gesamte Schadensausmaß nennen können. Derzeit ist uns kein Datenverlust bekannt.

EDIT1: Eventuell könnte auch das Voltaire-Forum schuld sein welches auf PHPbb aufsetzt. Es verwendet die neuste PHPbb Version jedoch werden für diese Boardsoftware ziemlich schnell Sicherheitslücken bekannt.

EDIT2: Nach einiger Suche in den logs gab es erste Funde in /var/log/messages. Dort sind Angriffe mithilfe von Hashtables auf unseren openSSH und FTP Server erkannbar. Hier eine kleine Zusammenstellung von Einträgen.
Ich vermute viele der Angriffe waren nicht menschlich oder von „ScriptKiddies“ ausgeführt, da kein „Experte“ versuchen würde das Passwort des Benutzers „Administrator“ bei einem UNIX Server zu bekommen…

EDIT3: Ich glaube ich habe die Stelle der Lücke gefunden. Es ist wirklich PHP4You.de… Wir vor kurzem im Forum bemerkt wurde ist der Torrent Tracker nicht sichtbar. Nun hab ich gesehen das der Grund dafür ein einfaches style=“display: none“ für den iFrame war. Natürlich hat niemand von uns absichtlich diese CSS-Anweisung da rein geschrieben und ich denke da hat einfach jemand eine SQL Injection gefunden mit der er den Seitentext bearbeiten kann. Anhand der Tracker Seite hat er das getestet. Da wir damals (dummerweise) aus Faulheit damit wir manche Scripte nicht sofort zu Plugins für unser neues CMS umschreiben mussten, mit eval() eine function gemacht, die das PHP-Code ausführen in den CMS Seiten erlaubt. Da der Angreifer nun eine Möglichkeit gefunden hat diese zu bearbeiten konnte er natürlich auch beliebigen PHP Code ausführen was er nutze um seine Dateien auf unseren Server zu bringen und mit exec() & co auszuführen. Wir werden die Lücken so schnell wie möglich beheben und bis dahin wird die Seite erst einmal offline bleiben. Ich fahre jetzt auch erstmal nach Italien Ski fahren und Snowboarden so hab ich keine Zeitdaran weiter zu arbeiten. Danach werd ich diese hoffentlich finden.

EDIT4: So, das Voltaire-Forum ist mit einer neuen Foren-Software wieder erreichbar. Bis PHP4You.de wieder vorhanden ist dauert noch ein wenig. Wir müssen alles an ein neues CMS anpassen was einige Zeit in Anspruch nehmen wird. Jedoch muss ich jetzt erstmal für die Schule das aufholen, was ich in der Woche verpasst hab und dazu kommen natürlich noch die aktuellen Hausaufgaben :-/

  • DaRick

    alter was foxx red mal deutsch fÌr die leute die nicht den ganzen tag fachchinesisch labern;)

  • Hehe, Wikipedia^^
    Naja wenn ich das versuchen wÌrde fÌr alle verstÀndlich zu machen brÀuchte ich mindestens doppelt soviel Text… Da mÌsste ich ja bei jedem „Fachwort“ noch erklÀren was es bedeutet 😉

    Wir sehen uns 😀

  • mipkr

    Also bei mir fehlt nÌx.
    Wie das jetzt iwie möglich war das zu hacken ist mir noch nicht ganz klar. Iwas im Forum oder?
    Hab meine Ordner darauf hin alle ÌberprÌft und wie gesagt nix gefunden…

    mipkr

  • llpb

    wenn man die Passwörter aus dem Forum entschlÌsseln könnte wÌrde man doch versuchen sich per SSH als root mit denselben passwörtern anzumelden

    so erklÀre ich mir das mit dem „administator“ – Das wird ein Windows-User gewesen sein 😉

  • Also ich glaube, dass ich das gerafft habe.
    Was ist an der ErklÀrung so unverstÀndlich?
    >tofix

  • Rocky

    Also wei? garnet wo euer Problem ist. Ich hab alles verstanden. Auch als alt eingesessener Windoof-User. Das Betriebsystem, was man nicht zum Cracken benutzt.
    Ich hab mich vorletzte Woche selber davon Ìberzeugt wie schnell man das WEP eines WLans bekommt.

    Den Denkansatz mit dem Scriptkiddie find ich garnet so dumm. „Administrator“ ^^ Wo doch der Gro?teil aller Webserver auf Unix basiert.

  • Michitux

    Hm, das hört sich ja echt abenteuerlich an… Janek, du willst echt allen ernstes behaupten, dass es normal ist, dass man via PHP beliebige (BinÀr)Dateien via exec(); als User wwwrun ausfÌhren kann?! Also mit anderen Worten, dass jeder User in der Lage ist, Ìber einige Umwege Prozesse auszufÌhren, mit denen er, wenn er geschickt ist, in der Lage ist, die fÌr Apache bestimmten Dateien sÀmtlicher User zu lesen und gro?teils zu beschreiben/löschen? Also ich meine ja nur so, die Dateien werden ja meist auch Mysql-Passwörter im Klartext enthalten, und was man mit dem alles jetzt anstellen kann und welchen Schaden man damit anrichten kann, muss ich jetzt ja wohl nicht erklÀren… Also ich wÌrde auf einem Server doch eine gewisse Sicherheit erwarten um ruhig schlafen zu können.

    Sorry, falls sich meine Behauptungen hier auf falsche Annahmen stÌtzen sollten, in diesem Fall nehme ich natÌrlich alles zurÌck.

  • öh…also auf deutsch andere leutis konte mein passwort herausfinden und sihc dann damit einloggen und meine daten verÀndern?!
    so hab ich das jetzt geschnallt..^^

    lg bekki

  • anon

    Gibt es Informationen ob Passwörter von Benutzern ausgelesen werden konnten?

  • @all: Ich bin erstmal wieder (gesund) vom Ski-/Snowboard“urlaub“ zurÌck. Ich werde mich jetzt darum kÌmmern, dass das Board usw. so schnell wie möglich wieder on gehen kann.

    @Michitux: Eigentlich sollte das nicht möglich sein, dass ist mir klar… Ich schau mal wie man die Funktionen exec() und system() am besten einschrÀnken kann da ich ja nichts am /tmp Dateisystem Àndern kann. Vorerst werde ich diese einfach in der php.ini deaktivieren. Ich hoffe dadurch wird kein Nutzer eingeschrÀnkt.

    @Bekki&anon: Mir ist darÌber nichts bekannt, die gefundenen Dienste scheinen auch nicht dafÌr genutzt worden zu sein… Au?erdem liegen die Passwörter nur MD5 VerschlÌsselt vor (PHPbb, die Forensoftware des Voltaire Boards, nutzt leider kein SHA) und bei schwierigen Passwörtern dauert das ewig bis man die rausbekommt bzw. ist ziemlich unwarscheinlich. Ich bin mir grad nicht sicher ob MySQL so eingestellt ist, dass alle Querys geloggt werden. Wenn ja kann ich ja schauen ob User Passwörter ausgelesen wurden.

  • ….Fremdsprache?! *ggg*
    Joar, wÀr nett wenn de mal schau könntest ; )
    hab nÀmlich nit gerade das schwerste Passwort des Internet-Universums…^^
    nja..bis denn
    bekki

  • So… das Voltaire Board ist dann wieder on und leider gibt es keine Logs von allen MySQL Querys. Das wÀr auch viel zu viel Ìber die Zeit… Dann wÀr der Server schnell voll. Aber ich glaube weniger, dass der Hacker daran interessiert war MD5 Hashes zu stehlen. Eher den Server fÌr andere Dinge auszunutzen. Vielleicht auch Spam Versand.

  • mipkr

    Link zum Board:
    http: // php4you.de / forum /

  • Ja, aber nicht zum Voltaire-Board sondern zum PHP4You-Board. Der richtige Link ist eigentlich http://forum.php4you.de/ welcher auch Rechts in der Navi des Blogs steht. Aber ihr könnt auch den obigen verwenden.
    Ich versteh jetzt nur nicht den Kontext 🙂

  • akaz

    Huch, habs gerade gesehen, dass php4you off ist. dumme sache das, hoffe ihr kriegt das wieder hin 😉
    ich habe jetzt auch mal bemerkt, wie gefÀhrlich doch selbstgeschriebene Skripte sein können – meine Webseite kriegt ein CMS verpasst 😀

    viel glÌck,
    akaz

  • Ja das stimmt, wenn man nicht wirklich beim Coden aufpasst oder nicht vor Nutzung alles auf SicherheitslÌcken ÌberprÌft. Au?erdem sollte man von Anfang an auf ordentliche SQL-Querys achten, damit es nicht zu SQL Injections kommen kann.
    Das CMS welches wir fÌr PHP4You verwenden werden ist wie das alte auch selbst geschrieben 🙂

    Gru?,
    foxx

  • Pingback: Janeks Blog» Blog Archive » IRC Bot()

  • Pingback: Janeks Blog» Blog Archive » Arbeit an PHP4You.de()

  • Giuseppe

    Gab es nicht vor kurzem noch einen Spamfilter?

  • lies am besten mal den aktuellsten Eintrag