Apache Friends Support Forum

[mcGeorge]

Hallo NG,
ich bin kein Apache-Experte, wie man sicherlich an der Überschrift erkennen kann. Ich habe folgendes Problem:
Irgendwann ist mir aufgefallen, dass im Hauptverzeichnis meines Apache viele Dateien mit der Endung TXT und der Größe 0 Byte vorhanden waren. Dann hatte ich eine Datei mit der Endung HTM gefunden die vom Inhalte offensichtlich eine Internetseite einer Bank nachmacht.
Alles gelöscht. Alle Dateien mit einem Schreibschutz versehen. 2 Wochen Ruhe. Nächster Anschlag:
Da hat mich jemand angerufen, dass von meinem Server aus aktiv versucht wird, seinen Server zu hacken. Er hat mir gesagt wo und was ich auf meinem Server finde - und stimmt.
In einem Unterverzeichnis war schon wieder das gleiche Bild: Mehrere Dateien mit der Größe 0 und einige mit einem offensichtlich miesen Inhalt.

Wie kann ich den Apache so dicht machen, dass andere keinen Mist mehr in das DVZ schreiben aber die PHP-Skripte immer noch funktionieren.

Vielen Dank für jeden Tipp.
mfg mcGeorge

PS:
Apache 2.2.3, Windows Server 2003, PHP 5.1.6

[glitzi85]

Hallo,

wer in einem Forum fragen muss, was er tun soll, wenn sein Server gehackt wurde, sollte keinen Server betreiben...

Die beste Möglichkeit wäre deine PHP-Scripte zu korrigieren. Wenn der Angriff wirklich über den Webserver kam, dann liegt es mit größter Wahrscheinlichkeit an Sicherheitslöchern in den Scripten.

Alternativ kannst natürlich auch einfach dem Apachen den Schreibzugriff auf den entsprechenden Ordner verbieten. Wäre sehr effektiv. Allerdings werden dann Dinge wie File-Upload evtl. nicht mehr funktionieren.

Bist du überhaupt sicher, dass die Dateien über den Webserver erstellt wurden? Logs geprüft. Möglich wär ja auch ein gehackter FTP-Zugang oder was sonst noch an Diensten läuft.

mfg glitzi

[Scory]

>Wie kann ich den Apache so dicht machen, dass andere keinen Mist mehr in das DVZ schreiben aber die PHP-Skripte immer noch funktionieren.

Gar nicht - denn es liegt nicht an Apache. Es liegt an irgendeinem Deiner PHP-Scripte, welches offensichtlich eine Schwachstelle hat.

Welche Script genau hast Du im Einsatz und was sagt Google zu den Scripten?

[mcGeorge]

wer in einem Forum fragen muss, was er tun soll, wenn sein Server gehackt wurde, sollte keinen Server betreiben...

Auch wenn ich für Meinungsfreiheit bin, finde ich das hier unpassend. Aber Danke - für die nette Einleitung. Ich würde diesen Satz kommentarlos hinnehmen, wenn ich mit Serverhosting mein Geld verdienen würde. Das ist nicht der Fall. Aber Egal...

Das mit dem fehlerhaften Skript ist ein guter Hinweis, da ich die Dateien immer nur in den Unterverzeichnissen einer JOOMLADE Installation finde.

Ich schau jetzt zuerst mal nach einen Update...

Erstmal Danke für den Tipp.

[glitzi85]

Hallo,

dieser Satz mag zwar etwas hart klingen, ist aber so. Es ist unerheblich ob du damit dein Geld verdienst, das nur zum Spaß machst oder sonstwas. Du bist für diesen Server verantwortlich und wenn der gehackt wird, dann kannst du dafür verantwortlich gemacht werden! Daher sollte man schon wissen, was man tut.

Es ist aber schön zu hören, dass es ja anscheinend wirklich "nur" ein fehlerhaftes Script war. Ein gehackter SSH-Zugang wär z.B. deutlich schlimmer. Gerade bei größeren Fertig-Scripten wie Foren, CMS usw. sollte man immer schauen, ob es Updates gibt. Die sind nämlich besonders anfällig für Angriffe, da ja jeder sich den Quellcode ansehen kann und eventuelle Sicherheitslücken ausnutzen kann.

mfg glitzi

[Dungeonwatcher]

Hi!

Das mit dem fehlerhaften Skript ist ein guter Hinweis, da ich die Dateien immer nur in den Unterverzeichnissen einer JOOMLADE Installation finde.

Ich schau jetzt zuerst mal nach einen Update...

...und anschließend wirf mal einen Blick auf diese Seite: http://www.milw0rm.com/ und suche darin mal nach Joomla. Du wirst dort viele Treffer finden und somit einiges an Arbeit investieren müssen.

Bye