Vor einigen Tagen wurde mein Root-Server vom Provider gesperrt

Da ich kein Experte im Umgang mit der Linux-Remote-Console bin

Eigentlich sollte man dich an diesem Punkt schon rädern und vierteilen.

Es ärgert mich ungeheurlich, daß ich die Unkosten für den überschüssigen Transfer (abgerechnet in Gb) selber tragen werden muss

Hoffentlich hilft es dir, zu der Erkenntnis zu kommen, dass normale Hosting-Angebote nicht nur für "Looser, Lamer und Kiddies" sind, sondern für Leute wie dich.

Und möglicherweise kannst du dich glücklich schätzen, nicht für den Schaden, den du durch deine Fahrlässigkeit bei den angegriffenen Dritten erzeugt hast, aufkommen zu müssen.

Soweit die Vorgeschichte. Jetzt meine Frage zur Sicherheit von PHP. Wie ist es überhaupt möglich ein DDoS-Programm auf den Server einzuschleusen?

Woher soll hier jemand wissen, welche Software du auf deinem Rechner laufen hast?

Der Apache-User wwwrun wird doch wohl nicht eine DoS-Software auf dem Server installieren können?

Er muss nur eine Datei beschreiben und selbige starten können, das ist nun wahrlich nicht schwierig.

1. Wie kann sowas geschehen, welche Sicherheitslücken gibt es um DoS-Programme einzuschleusen?

Wie Sand am Meer. Auf deinem Server? Das hängt von der tatsächlich vorhandenen Software ab.

2. Wie kann ich den Schädling ausfindig machen damit der Server wieder online gehen kann, wo sollte ich suchen?

Infizierte Server werden nicht gereinigt, sondern von Grund neu aufgesetzt, sprich man fängt mit dem Formatieren der Festplatte(n) an.

3. Wie kann ich sowas in Zukunft verhindern?

Falls du es ehrlich wissen möchtest: Lass' in Zukunft die Finger von Sachen, von denen du keine Ahnung hast. Kündige den Root-Spielkram, nimm dir ein ordentliches Hosting-Angebot.

Danke.

Hi,

1. Wie kann sowas geschehen, welche Sicherheitslücken gibt es um DoS-Programme einzuschleusen?

die Antwort vom Provider hast du schon "möglicherweise ein unsicheres PHP-Skript"

2. Wie kann ich den Schädling ausfindig machen damit der Server wieder online gehen kann, wo sollte ich suchen?

speziell zu Strato kann ich nichts sagen ( kenne nur 1&1 u. Hosteurope ) aber aber in der Regel gibt's eine Adminseite in der man den Server wieder in den Ursprungszustand versetzen kann.
das sollte reichen, dann sind allerdings alle Daten futsch

3. Wie kann ich sowas in Zukunft verhindern?

nur Programme verwenden die auch regelmässig akualisiert werden
genau die Homepage des Anbieters anschauen

• wann war das letzte Update
• Newsletter abonnieren um über Sicherheitslücken/Updates informiert zu sein und die Updates dann auch sofort installieren

Wie eine eingesetzte Foren-Software das handhabt weiß ich allerdings nicht

so gehts eben nicht. Ein unsicheres Script und der Server ist gehackt.

und wenn man selber skriptet sollte man wissen was man tut

4. Wie realistisch ist es den Urheber in so einem Fall herauszufinden (zwecks Strafanzeige und Einklagung der Unkosten)?

ich würde auf jeden Fall eine Strafanzeige gegen Unbekannt erstatten
nicht um dein Geld wieder zu bekommen ( das ist höchstwahrscheinlich futsch ) sondern um dich vor möglichen Forderungen der Geschädigten zu schützen.

Gruß Udo

Ich beantworte mir meine Fragen selbst, für diesen konkreten Fall und für alle die irgendwann mal ein ähnliches Problem haben sollten.

2. Wo sollte man suchen?
In Verzeichnissen die auf CHMOD 777 gesetzt sind, leuchtet ein.

1. und 3. Wie kann sowas geschehen? Wie kann man es in Zukunft verhindern?
Anhand einer Sicherheitslücke wird in ein schreibbares Verzeichnis ein Skript hochgeladen. Folgende zwei Sicherheitslücken sind bei mir klar geworden:
1. Eine eingesetzte Foren-Software ist so dermaßen bescheuert, daß sie anscheinend einen Footer-Include als URL-Parameterübergabe akzeptiert. Auf diese Art konnte über den ausgeführten Footer in ein Verzeichnis ein PHP-Skript zur Ausführung von Shell-Befehlen reingeschrieben werden. Wirklich bescheuert. Lösung: Große Vorsicht bei Dritt-Software, am besten nur bekannte und immer aktuellste Versionen; soweit das möglich ist den Code selbst auf Übergabeparameter und includes durchprüfen. Entfernen von Hinweisen auf eingesetzte Software, vor allem wenn diese weniger bekannt ist und es die Lizenz hergibt, weil danach gezielt gesucht wird.
2. Das zweite Problem ist schon etwas kniffliger. Über die Möglichkeit ein Bild hochzuladen (Upload-Skript) kann eine JPG-Datei hochgeladen werden, welche in Wirklichkeit aber ein Skript ist und ein Steuerungsskript anlegt. Lösung: Ich weiß noch nicht wie genau, aber Überprüfung auf Echtheit des Bildes nicht nur Anhand der Dateiendung.

Was mich wundert und mir nicht ganz klar ist wäre, wie ohne Benutzerrechte über einen Browser so weitreichend das System steuerbar ist wie es die Remote-Skripte anscheinend geleistet haben, beispielsweise serverseitige Programmausführung.

4. Wie sind die Chancen den kriminellen Verursacher zu kriegen?
Die Apache-Logs geben jedesmal wenn die eingeschleusten Dateien aufgerufen werden eine brasilianische IP-Adresse an und ein brasilianisches Windows XP mit Firefox. Ich halte es für möglich den Urheber theoretisch rauszufinden. Das über eine deutsche Strafanzeige die Behörden und Provider in Brasilien, sollte der Kerl überhaupt wirklich dort sein, mitspielen würden und das ganze dann irgendeine Konsequenz hätte (nach brasilianischem Recht) bzw. eine Kostenforderung erfolgreich wäre, halte ich für sehr unwahrscheinlich.

In einem Satz: teuer bezahltes Lehrgeld.