# ISPConfig 3 Server gehackt ... "Hacked By Tunisian Fallaga Team"



## andy1965 (5. Jan. 2016)

Leider wurde wieder einmal ein Server von uns gehackt :-/.

Diesmal haben die es geschafft über ein ungepatchtes Drupal Kundenweb nicht nur die dieses sondern auch andere Webs zu infizieren.
Dabei haben sie ihr eigenes phpMyAdmin und eine Wordpress Version mit eigenen islamistischen Inhalt plaziert.

Hat jemand erfahren welche Sicherheitslücke von diesen Leuten ausgenutzt wurde und wie diese zu schließen wäre.
ISPC3 sowie CentOS 6 sind am letzten Stand. SuEXEC ist aktiv bei allen Webs sowie Fast-CGI wobei der Kunde mit Zugriff auf die Webkonfiguration natürlich die Einstellungen verändern hätte können.

Ich bekomme langsam den Eindruck ISPC3 in der Standartinstallation ist nicht sehr sicher. 
Es wäre toll wenn es eine eigene Sektion zum Sichern der Server geben würde welche in Verbindung mit ISPC3 auch Sinn macht.

Danke für eure Tipps vorab


----------



## andy1965 (5. Jan. 2016)

Beispiele für verseuchte Webs ...


----------



## andy1965 (5. Jan. 2016)

Im Zip die Dateien mit welchen der Hack durchgeführt wurde ...
Achtung Antivirus unter Windows schlägt natürlich an ... Clam AV nicht ;-)
Vielleicht kann sich ein Spezialist mal diese Dateien ansehen ;-)


----------



## Till (5. Jan. 2016)

Soweit ich sehe wurde nicht ISPConfig gehacked sondern Drupal bzw. Wordpress, Dein Problem hat also nichts mit der Verwendung von ISPConfig zu tun und es wurde auch nicht der Server gehacked da ISPConfig die Webseiten durch unterschiedliche User absichert sondern es wurden nur Dateien in einer Webseite, bedingt durch eine Sicherheitslücke im jeweiligen cms bzw. geändert. Der Thread Titel ist irreführend da weder ISPConfig noch der Server gehacked wurden sondern lediglich Drupal bzw. Wordpress.

Wie sichere ich CMS Syteme auf einem Server (egal welches CP oder kein CP):

1) Immer aktuelle Updates der CMS einspielen und aller Plugins der CMS einspielen.
2) Wenn PHP Funktionen zum ausführen von scripten (exec, passthrus, popen etc.) nicht gebraucht werden, dann sollten diese für die jeweilige Website deaktiviert werden. Unter Debian und Ubuntu kann man solwas auch global für cgi und apache2 machen, centOS unterscheidet da leider nicht und daher ist eine globale Änderung unter CentOS nicht zu empfehlen da ansonsten auch shellscripte die PHP verwenden nicht mehr gehen.
3) Den Server täglich auf malware scannen, siehe auch https://www.howtoforge.de/forum/threads/wordpress-hack.9427/
4) Man kann zusätzlich auch apache Module wie mod_security installieren, da wirst Du aber anfangs eine menge fehlalarme haben die Du dann whitelisten musst.




Zitat von andy1965:


> wobei der Kunde mit Zugriff auf die Webkonfiguration natürlich die Einstellungen verändern hätte können.


Nein, das kann er nicht. Wenn eine Webseite durch den admin für den Kunden angelegt wurde dann kann ein kunde diese Einstellungen zwar sehen, er kann sie aber nicht ändern.


----------



## andy1965 (5. Jan. 2016)

Hallo Till,

es wurden aber Datein in andere Webs geschrieben in welchen sich KEIN CMS befunden hat. Im ersten Bild war das Web sogar leer!


----------



## Till (5. Jan. 2016)

In Deinen Screenshots war kein leeres Web dabei sondern 2x Wordpress. Welchem Linux User gehören die Dateien (ls -la ausgabe im web verzeichnis) die in das leere Web geschrieben wurden und welche sind das genau?


----------



## andy1965 (5. Jan. 2016)

> 1) Immer aktuelle Updates der CMS einspielen und aller Plugins der CMS einspielen.


Wir können den Kunden ja nicht zwingen ;-)


> dann sollten diese für die jeweilige Website deaktiviert werden


Unmöglich, wir können nicht jeden Kunden fragen was er braucht und was nicht


----------



## andy1965 (5. Jan. 2016)

> In Deinen Screenshots war kein leeres Web dabei sondern 2x Wordpress. Welchem Linux User gehören die Dateien die in das leere Web geschrieben wurden und welche sind das genau?


*Das ist das Wordpress der Hacker* :-D!


----------



## Till (5. Jan. 2016)

Zitat von andy1965:


> Wir können den Kunden ja nicht zwingen ;-)


Daher nutzen auch ale größeren Provider automoatische malware scan scripte, siehe meinen post obpen, und deaktivieren das kundenweb bei malware befall und schalten es erst wieder frei wenn der kunde die malware entfernt hat und seine seite aktualisiert.



> Unmöglich, wir können nicht jeden Kunden fragen was er braucht und was nicht


Und jetzt weißt Du warum ispconfig es nicht global deaktivieren kann, wenn Du es noch nicht mal pro Webeite machen willst


----------



## Till (5. Jan. 2016)

Zitat von andy1965:


> *Das ist das Wordpress der Hacker* :-D!


Richtig, ein normler WP hack wie ers ständig irgendwo passiert wenn jemand wordpress nicht aktuell hält oder unsichere Plugins installiert. Solange Du einem Kunden zugriff auf eine webseite gibts kann sowas vorkommen, daher scanned man ja auch regelmäßig nach malware und warnt bzw. sperrt den Kunden, wenn was gefunden wurde.

Poste doch bitte mal das ls -la aus dem ehemals leeren web wo ausschließlich der hacker Dateien hoehgeladen haben soll.


----------



## andy1965 (5. Jan. 2016)

Zu Bild 1:


> [root@srv05 web]# ls -la
> insgesamt 244
> drwx--x---  7 web103 client32  4096  3. Jan 03:16 .
> drwxr-xr-x  9 root  root  4096 13. Aug 2013  ..
> ...


----------



## andy1965 (5. Jan. 2016)

Zu Bild 2:


> [root@srv05 web]# ls -la
> insgesamt 236
> drwx--x--x  9 web62 client22  4096  3. Jan 03:19 .
> drwxr-xr-x  9 root  root  4096 20. Mär 2014  ..
> ...


----------



## andy1965 (5. Jan. 2016)

> Poste doch bitte mal das ls -la aus dem ehemals leeren web wo ausschließlich der hacker Dateien hoehgeladen haben soll.


Siehe "Zu Bild 1"

Leider habe ich die infizierten Dateien vom ausgehenden Web schon entfernt, sie sind in dem Zip File zu finden.


----------



## Till (5. Jan. 2016)

Das ist ein Wordpress und kein leeres Web. Ich bezweifle stark dass ein Hacker Dir ein Wordpress installieren wird und dann noch mit dem richtigen Linux User des webs. Es gibt also 3 Möglichkeiten:

1) Der Kunde hat ein Wordpress hoch geladen und dies wurde gehacked.
2) Der Kunde hat den APS Installer in ISPConfig genutzt um ein Wordpress zu installieren und dieses wurde später gehacked.
3) Wenn Du meinst dass der Hacker wirklich ein Wordpress selbst installiert haben soll dann müsste er zumindest das FTP Passwort des Webs haben, denn die Dateien gehören dem richtigen User des Webs und nicht ISPConfig.

ISPConfig läuft unter dem user "ispconfig", der hat aber weder Schreibrechte auf das web noch gehören die von Dir gezeigten Dateien dem user ispconfig, wenn also ispconfig wie von Dir behauptet gehacked worden wäre dann würden die Dateien entweder ispconfg gehören und für den noch unwahrscheinlicheren Fall das ein Hacker tatsächlich das ispconfig Interface und den root prozess gekapert hätte dann wäre er bereits root und hätte Dich schon lange ausgesperrt, dann macht er sich mit Sicherheit nicht die Mühe irgend ein Kundenweb zu ändern und dort Wordpress zu installieren.


----------



## Till (5. Jan. 2016)

Zitat von andy1965:


> Siehe "Zu Bild 1"
> 
> Leider habe ich die infizierten Dateien vom ausgehenden Web schon entfernt, sie sind in dem Zip File zu finden.


Wie Du sicher weißt enthalten zip Dateien keine Linux Dateirechte oder Eigentümer, man kann daher ohne den ls -la output nichts dazu sagen. Den Rest habe ich bereits oben erläutert.


----------



## nowayback (5. Jan. 2016)

Zitat von Till:


> Das ist ein Wordpress und kein leeres Web. Ich bezweifle stark dass ein Hacker Dir ein Wordpress installieren wird und dann noch mit dem richtigen Linux User des webs.


Er müsste auch noch eine korrekte Datenbank inkl. Datenbankuser angelegt haben ;-)


----------



## andy1965 (5. Jan. 2016)

Ja, denke ich auch, nur so viele Webs gleichzeitig auf diesem Server haben mich doch etwas überrascht ;-)


----------



## nowayback (5. Jan. 2016)

Zitat von andy1965:


> Ja, denke ich auch, nur so viele Webs gleichzeitig auf diesem Server haben mich doch etwas überrascht ;-)


wenn alle die gleiche Lücke haben, ist das nicht verwunderlich. Gerade in Bezug auf Drupal muss man sich doch nur mal die News der letzten 2-3 Wochen angucken. Da kamen doch, wenn ich mich nicht irre, 2 kritische Updates raus. Wer da nicht aktuell ist, ist eben schnell ein Opfer.


----------

