Willkommen Gast. Bitte einloggen oder registrieren. Haben Sie Ihre Aktivierungs E-Mail übersehen?
23.11.2020, 20:18:47

.
Einloggen mit Benutzername, Passwort und Sitzungslänge

Mitglieder
  • Mitglieder insgesamt: 24814
  • Letzte: GrischanB
Statistiken
  • Beiträge insgesamt: 696323
  • Themen insgesamt: 56359
  • Heute online: 705
  • Am meisten online: 2287
  • (22.01.2020, 19:20:24)
Benutzer Online

Autor Thema: [erledigt] Einbruch in mein System  (Gelesen 838 mal)

1 Mitglieder und 2 Gäste betrachten dieses Thema.

[erledigt] Einbruch in mein System
« am: Gestern um 00:09:20 »
Ich brauche bitte dringend Hilfe!

Es ist eindeutig jemand in mein System (Mint 20 Mate, 64-bit) eingebrochen. Ich bin mir sicher, dass nicht das System schuld ist, sondern ich irgendwo etwas falsch konfiguriert haben muss. Genau deswegen brauche ich ja auch Hilfe. Ich muss herausfinden, was ich falsch gemacht habe, damit das nicht wieder passiert.

Was ist denn nun passiert?

Ich habe im Wesentlichen Apache2, php und ssh. Meine Intranet-Sites sollten durch .htaccess geschützt sein. In meinen php-scripts gibt es auch <a href> die nicht auf eine bestimmte Seite zeigen (z.b. http://www.google.at/bla-bla-bla) sondern relativ auf meinen eigenen Server /bla-bla-bla zeigen. Diese - und nur diese - Seiten zeigen nun auf eine fremde domain. Alle meine php-scripts liegen unter document-root und werden mit Alternativ-Servern synchronisiert. Da bei den Alternativ-Servern alles richtig funktioniert, vermute ich, dass nicht das Script selbst befallen ist, sondern der Server per se. Ich habe daher diesen Server vom Stecker gezogen und arbeite momentan mit den Alternativ-Servern weiter. Ich muss aber unbedingt herausfinden, wo ich was falsch gemacht habe, damit das nie wieder vorkommt.

Wo soll ich anfangen zu suchen? Danke.
« Letzte Änderung: Gestern um 23:25:46 von marcco134 »

thebookkeeper

  • aka AnanasDampf
  • *****
Re: Einbruch in mein System
« Antwort #1 am: Gestern um 04:43:27 »
... Es ist eindeutig jemand in mein System (Mint 20 Mate, 64-bit) eingebrochen ...
Das glaube ich nicht.

... Ich bin mir sicher, dass nicht das System schuld ist, sondern ich irgendwo etwas falsch konfiguriert haben muss ...
Ja, das kann sein.

... In meinen php-scripts gibt es auch <a href> die nicht auf eine bestimmte Seite zeigen (z.b. http://www.google.at/bla-bla-bla) sondern relativ auf meinen eigenen Server /bla-bla-bla zeigen. Diese - und nur diese - Seiten zeigen nun auf eine fremde domain ...

Wo soll ich anfangen zu suchen? ...
Wie werden Deine PHP-Script-Links generiert, CMS-System? Welche Adresse hat der nichtalternative Apache2?
« Letzte Änderung: Gestern um 04:50:15 von thebookkeeper »

Re: Einbruch in mein System
« Antwort #2 am: Gestern um 10:44:07 »
Es ist eindeutig jemand in mein System (Mint 20 Mate, 64-bit) eingebrochen.
::::
Ich habe im Wesentlichen Apache2, php und ssh.

Sind der Webserver und SSH aus dem Internet erreichbar, also über Portfreigaben und Weiterleitung im DSL-Router?

Re: Einbruch in mein System
« Antwort #3 am: Gestern um 11:03:09 »
Wie werden Deine PHP-Script-Links generiert, CMS-System?

Alle meine Links, die generiert werden laufen durch eine einzige php-routine, die von mir kommt und ich den unveränderten Quellcode sehe:
return "<a href=".$link." title=".'"'.$title.'"'.">$text</a>";
Diese php-Datei liegt unterhalb von DocumentRoot das durch .htaccess geschützt sein sollte. Die DocumentRoot's werden via unsion/ssh auf mehreren Rechnern, die alle von aussen erreichbar sind, auf gleich gehalten. Derzeit tritt dieses Phänomen nur bei einem Rechner auf. Soweit ich beurteilen kann, sind meine Scripte nicht befallen. Allerdings verwende ich via composer einige bibliotheken, die ich natürlich jetzt nicht alle überprüft habe. Allerdings auch diese Bibliotheken liegen unterhalb von DocumentRoot, das ja synchronisiert wird.

Nicht synchronisiert werden /etc/ - Dateien, also /etc/apache2, /etc/php usw. , was ja meiner Ansicht nach auch völliger Unsinn wäre, das zu synchronisieren. Allerdings sind sich alle Rechner recht ähnlich, ausgenommen der "Haupt"-Rechner, der auch imap kann. Dort vermute ich auch irgend einen Einbruch.

Welche Adresse hat der nichtalternative Apache2?
Alle Rechner haben eine dyn-Adresse, die nur dazu dient, damit wir selbst darauf zugreifen können. Sie ist in dem Sinne nicht "öffentlich" (was sie natürlich trotzdem ist). Meinst Du, dass ich diese jetzt hier posten soll?

Die Adresse, die vor jedem Link vorgestellt wird, lautet https://e-aj.my.com/ gefolgt von meinen internen Links. Diese Seite ist jetzt offline - möglicherweise bin ich das ja selber mit meinem (befallenen) Hauptrechner. Dieser ist allerdings derzeit offline, ist aber für Analysen noch betriebsbereit. Spätestens wenn ich ihn durchformatiere geht das dann natürlich nicht mehr. Drum bin ich ja dankbar für jede Unterstützung.

Danke

Re: Einbruch in mein System
« Antwort #4 am: Gestern um 11:03:49 »
Sind der Webserver und SSH aus dem Internet erreichbar, also über Portfreigaben und Weiterleitung im DSL-Router?

Ja.

Re: Einbruch in mein System
« Antwort #5 am: Gestern um 14:35:33 »
Hi :)
Zitat
.htaccess geschützt sein sollte.
was denn nun? sind oder sind nicht?

kannst du ohne pw eingabe auf das verzeichnis zugreifen?

Re: Einbruch in mein System
« Antwort #6 am: Gestern um 14:41:33 »
Hi :)
Zitat
.htaccess geschützt sein sollte.
was denn nun? sind oder sind nicht?

kannst du ohne pw eingabe auf das verzeichnis zugreifen?

"Sind"! Aber ich vermeide zu schreiben "ist", weil irgendwas muss ja falsch sein. Ohne pw eingabe kann man nicht zugreifen.

Inzwischen durchsuche ich die ganze platte nach einem String der dem der oben genannten Domaine entspricht. Allerdings rennt das ewig und muss keine neuen Erkenntnisse bringen. Hat noch wer eine Idee?

Re: Einbruch in mein System
« Antwort #7 am: Gestern um 15:14:29 »
Hallo marcco134,

Hat noch wer eine Idee?

Ich würde mir als erstes in diesem Fall die Log-Dateien des Apachen näher ansehen ?

MfG Jang

Re: Einbruch in mein System
« Antwort #8 am: Gestern um 19:18:19 »
Ich würde mir als erstes in diesem Fall die Log-Dateien des Apachen näher ansehen ?

Ja, die schauen eigentlich recht normal aus. Die üblichen Zugriffe.

Wenn es sonst keine Tipps mehr gibt formatiere ich die Kiste durch. Leider weiß ich dann trotzdem nicht, was ich potentiell falsch gemacht habe.

thebookkeeper

  • aka AnanasDampf
  • *****
Re: Einbruch in mein System
« Antwort #9 am: Gestern um 20:34:26 »
... Alle meine php-scripts liegen unter document-root und werden mit Alternativ-Servern synchronisiert. Da bei den Alternativ-Servern alles richtig funktioniert, vermute ich, dass nicht das Script selbst befallen ist, sondern der Server per se ...
Wie werden Deine PHP-Script-Links generiert, CMS-System?

Alle meine Links, die generiert werden laufen durch eine einzige php-routine, die von mir kommt und ich den unveränderten Quellcode sehe:
return "<a href=".$link." title=".'"'.$title.'"'.">$text</a>";
Diese php-Datei liegt unterhalb von DocumentRoot das durch .htaccess geschützt sein sollte ...
Nach Deiner Info könnte man DocumentRoot als sauber betrachten. Aber woher kommt nun der Inhalt für .$link. und wie wird diese Variable gefüllt?
« Letzte Änderung: Gestern um 21:10:48 von thebookkeeper »

Re: Einbruch in mein System
« Antwort #10 am: Gestern um 22:41:23 »
Nach Deiner Info könnte man DocumentRoot als sauber betrachten. Aber woher kommt nun der Inhalt für .$link. und wie wird diese Variable gefüllt?

$link kommt per Übergabe in die Routine. Die übergeordnete Routine erzeugt eine Überschrift mit verschiedenen Links. Was mich echt wundert ist, dass alle scripts, die auf dem anderen Server laufen und eins zu eins kopiert werden, ebenda ein völlig richtiges Ergebnis erzielen. Irgendwo dazwischen muss doch ein Viech sitzen, das aus meinem richtigen Link einen falschen macht. Kann das sein, dass php selbst betroffen ist? derzeit benutze ich 7.4, also eigentlich aktuell.

Die Platte habe ich schon durchsuchen lassen und den String der komischen Homepage nicht gefunden. Aber irgenwas muss ja aus localhost -> e-aj.my.com machen???

Der Browser ist es jedenfalls nicht, auch ein Remotezugriff auf diese Maschine liefert diese web-adresse. Es ist daher schon Serverseitig der Link umgedreht. Aber nicht im Script. Das ist sauber.

Re: Einbruch in mein System
« Antwort #11 am: Gestern um 22:46:26 »
Nachtrag:

Wenn ich mir den Quelltext im Browser der Seite ansehe steht dort sauber
<a href=?action=neu title="Neu">Neu</a>
(sauber in dem Sinne, dass ich es so haben will).

Im Browser selbst geht der Link aber auf
https://e-aj.my.com/?action=neu
Ich verstehe das nicht.

Re: Einbruch in mein System
« Antwort #12 am: Gestern um 23:04:08 »
Noch ein Nachtrag / vielleicht erster Erfolg:

Es scheint beim parsen eines bestimmten mails zu passieren. Ist dieses nämlich weg, dann ist alles i.O.

Kann es sein, dass es irgend eine html-direktive gibt, die das Verhalten bewirkt? Das würde alles erklären und somit bräuchte ich keine Angst mehr zu haben, weil dann ist niemand in mein System eingebrochen.

edit: dieses mail im Thunderbird betrachtet liefert zumindest eine nützliche Information: User-Agent My.com Mailer 1.0

da wäre dann endlich das my.com. Aber wie kann dieses mail diese Links verändern?
« Letzte Änderung: Gestern um 23:09:05 von marcco134 »

Re: Einbruch in mein System
« Antwort #13 am: Gestern um 23:25:01 »
Nachtrag zum Nachtrag, und dann höre ich auch schon auf:

Auch roundcube hat ein Problem mit diesem Mail, es werden die Links, die in der Signatur stehen, ebenso auf diese komische Website "gebogen". Somit ist für mich mal klar, dass ich mich nicht sorgen muss und der Rechner nicht gehackt wurde. Somit ist das Thema im Sinne des 1. threads erledigt. Danke allen für die Mithilfe! Ich werde das Problem evtl. bei roundcube oder anderswo posten, da es sich ja offensichtlich um ein generelles Problem handeln dürfte.


... Es ist eindeutig jemand in mein System (Mint 20 Mate, 64-bit) eingebrochen ...
Das glaube ich nicht.
Sehr schön, dass Du recht hattest!!! Danke!

Re: Einbruch in mein System
« Antwort #14 am: Heute um 12:09:50 »
Hallo marcco134,

Wenn ich mir den Quelltext im Browser der Seite ansehe steht dort sauber
Code: [Auswählen]

<a href=?action=neu title="Neu">Neu</a>


(sauber in dem Sinne, dass ich es so haben will).

Sauber wäre dann aber wohl eher

<a href="?action=neu" title="Neu">Neu</a>
Und beim Aufruf der Seite im Browser, nennen wir die Seite mal in welcher der Link zu finden ist test.html ... würde die Seite auf

deine_Domain/Verzeichnis/test.html?action=neu

zeigen.

Da du jedoch mit PHP arbeitest kannst du da natürlich auch einiges vorher "umbiegen lassen". Ebenso über die .htaccess ...

Auch roundcube hat ein Problem mit diesem Mail, es werden die Links, die in der Signatur stehen, ebenso auf diese komische Website "gebogen". Somit ist für mich mal klar, dass ich mich nicht sorgen muss und der Rechner nicht gehackt wurde.

Es ist schon ein sehr merkwürdiges Verhalten ... über das dir wohl schon Sorgen machen musst ;-)

Der Browser ist es jedenfalls nicht, auch ein Remotezugriff auf diese Maschine liefert diese web-adresse. Es ist daher schon Serverseitig der Link umgedreht. Aber nicht im Script. Das ist sauber.

Wenn es auch beim Zugriff von Außen passiert ... musst du wohl auf deinem System nach dem Problem suchen. Deine Seite wird ja mit PHP ausgeliefert und da scheint mir der "Hund" begraben.

Aber das ist alles nur eine Vermutung da ich dein System und deine Arbeitsweise nicht kenne.

MfG Jang