Linux 15.032 Themen, 107.081 Beiträge

Verfolgung starten Optionen

angreifer führen programme über den apache/1.3.20 aus

iral^kbk / 4 Antworten / Baumansicht Nickles

hi mal wieder,
habe vor kurzem gemerkt das jemand bei mir am router rootkits und n psybnc installiert hat.
alle prozesse liefen unter dem benutzer httpd


jemand ne ahnung warum das beim apache/1.3.20 geht und was man dagegen tun kann?


da das system recht veraltet ist und viele libs fehlen, will ich den apache nicht updaten oder neu installieren.

auch über google finde ich zu dieser sicherheitslücke nichts, weiß aber dass es beim apache2 nicht mehr vorkommt (is das 3. mal das mir sowas mit dem apache1 passiert ist).


also... kann man das problem durch eine änderung in der config-file beheben? wenn ja wie? *g*

bei Antwort benachrichtigen
Zaphod iral^kbk „angreifer führen programme über den apache/1.3.20 aus“
Optionen

... die einzige Möglichkeit ist, die gesamte Kiste komplett neu aufzusetzen. Wenn das System erst mal korrumpiert ist, hast du keine Chance mehr - du weisst ja nicht, wo inzwischen schon überall backdoors drin sind... Nicht updaten ist ohnehin tödlich :(
HTH, Z.

bei Antwort benachrichtigen
XPectIT iral^kbk „angreifer führen programme über den apache/1.3.20 aus“
Optionen

Eine Frage am Rande:
Dein Router hat einen Apache-Webserver installiert? Warum?
Ein Router sollte nicht mehr Software installiert haben als unbedingt nötig, keinen Compiler und (wenn auf Linux basierend) keine nachladbaren Kernel-Module verwenden.

Falls du den nur Apache zur Konfiguration des Routers benötigst, würde ich ihn dringend nur an das interne Interface (eth0?) binden und nicht an die externe IP.

Generell wirst du nie sicher sein, das du wieder ein sauberes System hast wenn du nicht neu installierst. Es gibt rootkits die sind selbst mit professionellen Überwachungsprogrammen sehr schwer (oder garnicht) zu finden.

bei Antwort benachrichtigen
iral^kbk Nachtrag zu: „angreifer führen programme über den apache/1.3.20 aus“
Optionen

falls es noch jemanden interessiert...
der angreifer kam über phpnuke/postnuke rein.
wer dasselbe problem hat, sollte nach der datei displayCategory.php suchen (My_eGallery-modul) und in den ersten beiden zeilen $basepath und $adminpath direkt durch die darin enthaltenen werte ersetzen.

bei Antwort benachrichtigen
iral^kbk Nachtrag zu: „angreifer führen programme über den apache/1.3.20 aus“
Optionen

*hust*
muss auch ma ablassen ;)
das ganze system neu aufsetzen? - da kann ich ja gleich ins rj45-kabel beissen, es durchschneiden und am besten noch den stecker rausziehen, den rechner verkaufen und nie wieder so etwas anpacken... nein danke, wer's schafft ohne das ich es merke, hat sich die ressourcen meines rechners auch verdient... find's nur nicht in ordnung wenn 2000 kids mit ein und demselben tool das internet nach total veralteten lücken durchkämmen nud sich auf dabei noch erwischen lassen *frrrr*


und warum soll ich auf meinem router keinen apache installieren?
soll sich mein p466 totidlen? :D
wenn ich _nur_ einen router will, dann geh ich in den laden und kauf mir einen...
der hat dann nur das nötigste installiert und verbraucht viel weniger strom.

neja.. vllt. habe ich dem pc ja auch einfach die falsche definition gegeben.
nächstes mal nenne ich ihn.... äääh schweizer käse, dann meckert keiner ;)

bei Antwort benachrichtigen