Was bedeutet "teilweise gehackt"? Dies bedeutet daß die Maschine nicht neu installiert werden muss, da der Hacker keinen root-Zugriff erlangen konnte. Man kann also (mit einem gewissen Restrisiko...) davon ausgehen daß, da der Hacker nicht als root verbunden war, er das System auch nicht verändern konnte.

Warum "vom 29/09/2004"?

Ganz einfach weil an diesem Tag gehackte Server einen Angriff mit 1 Gbit/s Bandbreite gegen einen Nutzer gerichtet haben, der sich sehr wahrscheinlich nicht darüber gefreut hat...





oder



Wir sehen daß ein Prozess, dessen original Binärdatei gelöscht wurde, im Kontext des Benutzers nobody, Gruppe nobody gestartet wurde. Wenn dieser Befehl keine Ausgabe gibt, dann wurden Sie nicht gehackt. Es kann jedoch sein daß wir bereits aufgeräumt haben und Sie deshalb bereits kontaktiert haben. Sie können einen grep der Apache-Logs machen um dies zu überprüfen.



Der Trick des Hackers ist daß er seinen Prozess in "/usr/local/apache/bin/httpd" umbenannt hat um nicht aufzufallen.

Der Angriff an diesem Tag wurde von folgender IP-Adresse aus geführt::


Um das Skript zu finden in dem sich die Sicherheitslücke befindet, machen Sie ein grep nach dieser IP in Ihren Apache-Logs (Achtung, manche Maschinen sind seit längerer Zeit gehackt (log im .gz Format)).

Hinweis: Wenn die Maschine bereits gesäubert wurde kann Ihnen nur noch die Analyse der Logs Informationen zu dem Hack liefern.



Dieser Hack basiert auf einem Programmierfehler in PHP. Ein "include" nimmt als Parameter die zu includende Datei. include sucht dann die Datei und führt sie auf dem Server aus. Die Sicherheitslücke ist daß PHP es erlaubt, diese Datei von einer entfernten URL zu laden; der Programmierfehler ist, daß die Datei eigentlich eine Variable ist. Diese Variable wird bestimmt durch eine Information, die beim Laden der Seite übergeben wird. Der Hacker hat also ganz einfach diese Variable mit einem Link zu seinem Hacker-Skript auf einer anderen Webseite beschrieben.



Hinweise für das Aufräumen finden Sie hier: MaschineGehackt2