Ständig wird mein Apache gehackt..

Irgendwelche Probleme mit XAMPP für Windows? Dann ist hier genau der richtige Ort um nachzufragen.

Ständig wird mein Apache gehackt..

Postby mcGeorge » 21. January 2008 22:34

Hallo NG,
ich bin kein Apache-Experte, wie man sicherlich an der Überschrift erkennen kann. Ich habe folgendes Problem:
Irgendwann ist mir aufgefallen, dass im Hauptverzeichnis meines Apache viele Dateien mit der Endung TXT und der Größe 0 Byte vorhanden waren. Dann hatte ich eine Datei mit der Endung HTM gefunden die vom Inhalte offensichtlich eine Internetseite einer Bank nachmacht.
Alles gelöscht. Alle Dateien mit einem Schreibschutz versehen. 2 Wochen Ruhe. Nächster Anschlag:
Da hat mich jemand angerufen, dass von meinem Server aus aktiv versucht wird, seinen Server zu hacken. Er hat mir gesagt wo und was ich auf meinem Server finde - und stimmt.
In einem Unterverzeichnis war schon wieder das gleiche Bild: Mehrere Dateien mit der Größe 0 und einige mit einem offensichtlich miesen Inhalt.

Wie kann ich den Apache so dicht machen, dass andere keinen Mist mehr in das DVZ schreiben aber die PHP-Skripte immer noch funktionieren.

Vielen Dank für jeden Tipp.
mfg mcGeorge

PS:
Apache 2.2.3, Windows Server 2003, PHP 5.1.6
mcGeorge
 
Posts: 2
Joined: 21. January 2008 22:13

Postby glitzi85 » 21. January 2008 23:35

Hallo,

wer in einem Forum fragen muss, was er tun soll, wenn sein Server gehackt wurde, sollte keinen Server betreiben...

Die beste Möglichkeit wäre deine PHP-Scripte zu korrigieren. Wenn der Angriff wirklich über den Webserver kam, dann liegt es mit größter Wahrscheinlichkeit an Sicherheitslöchern in den Scripten.

Alternativ kannst natürlich auch einfach dem Apachen den Schreibzugriff auf den entsprechenden Ordner verbieten. Wäre sehr effektiv. Allerdings werden dann Dinge wie File-Upload evtl. nicht mehr funktionieren.

Bist du überhaupt sicher, dass die Dateien über den Webserver erstellt wurden? Logs geprüft. Möglich wär ja auch ein gehackter FTP-Zugang oder was sonst noch an Diensten läuft.

mfg glitzi
User avatar
glitzi85
 
Posts: 1920
Joined: 05. March 2004 23:26
Location: Dahoim

Postby Scory » 21. January 2008 23:43

>Wie kann ich den Apache so dicht machen, dass andere keinen Mist mehr in das DVZ schreiben aber die PHP-Skripte immer noch funktionieren.

Gar nicht - denn es liegt nicht an Apache. Es liegt an irgendeinem Deiner PHP-Scripte, welches offensichtlich eine Schwachstelle hat.

Welche Script genau hast Du im Einsatz und was sagt Google zu den Scripten?
Scory
 

Postby mcGeorge » 22. January 2008 00:08

wer in einem Forum fragen muss, was er tun soll, wenn sein Server gehackt wurde, sollte keinen Server betreiben...

Auch wenn ich für Meinungsfreiheit bin, finde ich das hier unpassend. Aber Danke - für die nette Einleitung. Ich würde diesen Satz kommentarlos hinnehmen, wenn ich mit Serverhosting mein Geld verdienen würde. Das ist nicht der Fall. Aber Egal...

Das mit dem fehlerhaften Skript ist ein guter Hinweis, da ich die Dateien immer nur in den Unterverzeichnissen einer JOOMLADE Installation finde.

Ich schau jetzt zuerst mal nach einen Update...

Erstmal Danke für den Tipp.
mcGeorge
 
Posts: 2
Joined: 21. January 2008 22:13

Postby glitzi85 » 22. January 2008 00:58

Hallo,

dieser Satz mag zwar etwas hart klingen, ist aber so. Es ist unerheblich ob du damit dein Geld verdienst, das nur zum Spaß machst oder sonstwas. Du bist für diesen Server verantwortlich und wenn der gehackt wird, dann kannst du dafür verantwortlich gemacht werden! Daher sollte man schon wissen, was man tut.

Es ist aber schön zu hören, dass es ja anscheinend wirklich "nur" ein fehlerhaftes Script war. Ein gehackter SSH-Zugang wär z.B. deutlich schlimmer. Gerade bei größeren Fertig-Scripten wie Foren, CMS usw. sollte man immer schauen, ob es Updates gibt. Die sind nämlich besonders anfällig für Angriffe, da ja jeder sich den Quellcode ansehen kann und eventuelle Sicherheitslücken ausnutzen kann.

mfg glitzi
User avatar
glitzi85
 
Posts: 1920
Joined: 05. March 2004 23:26
Location: Dahoim

Postby Dungeonwatcher » 22. January 2008 18:05

Hi! 8)

mcGeorge wrote:Das mit dem fehlerhaften Skript ist ein guter Hinweis, da ich die Dateien immer nur in den Unterverzeichnissen einer JOOMLADE Installation finde.

Ich schau jetzt zuerst mal nach einen Update...


...und anschließend wirf mal einen Blick auf diese Seite: http://www.milw0rm.com/ und suche darin mal nach Joomla. Du wirst dort viele Treffer finden und somit einiges an Arbeit investieren müssen.

Bye
User avatar
Dungeonwatcher
 
Posts: 94
Joined: 15. August 2007 02:53
Operating System: XP


Return to XAMPP für Windows

Who is online

Users browsing this forum: No registered users and 8 guests