[Wien] (security tipp) phpMyAdmin

[L. Aaron Kaplan]

On Sep 11, 2010, at 3:10 PM, Gregor Glashüttner wrote:

> Hi!
> 
> Am 16.08.2010 12:39, schrieb L. Aaron Kaplan:
>> Gerade wieder eine gehackte Linux box gehabt, wo der Apache Prozess komplett ersetzt wurde und der Server wurde zum bot umgewandelt . Der hack ist ueber phpMyAdmin passiert.
> 
> Hatte phpmyadmin installiert, ist zwar jetzt entfernt, aber wie kann ich
> herausfinden ob mein Server gehackt wurde?
> 
Meistens faellt das auf: es regt sich dann jemand auf, dass dein Server Spams verschickt oder du bemerkst zu viel traffic oder aehnliches.

Natuerlich gibt es Faelle, wo es nicht auffaellt. Bei phpMyAdmin im war das im konkreten Fall so, dass sich der Server dann zu einem IRC Server hinconnected hat und auf Befehle gewartet hat. Der Injected code war aber nur im Memory (und nicht auf der Platte).


Ich empfehle generell so Systeme wie Tripwire [1] und einen remote syslogd (letzteres wollte ich sowieso mal fuer das housing aufsetzen!)
Haette wer interesse, die Syslog messages zu einem remote syslogd zu schicken? 

lg,
a.


[1] file integrity checking tool: http://sourceforge.net/projects/tripwire/
Genauso muesste man das an sich mit SQL DBs machen ;-)


-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : PGP.sig
Dateityp    : application/pgp-signature
Dateigröße  : 194 bytes
Beschreibung: This is a digitally signed message part
URL         : <http://lists.funkfeuer.at/pipermail/wien/attachments/20100912/0995b9a7/attachment.sig>