TikiWiki & PHP XMLRPC Defacement

Computer: Software & Programmierung UNIX & Linux
#1

Hi!

Vergangenes Wochenende wurde eine Webseite, an der ich mitadministriere, gehackt und die Startseite ausgetauscht. Die Eindringlinge sind offensichtlich über das am Apache 1.3.33 laufende TikiWiki und dort im speziellen über xmlrpc.php reingekommen. Sie sind dann aber noch root geworden. D.h. da waren zumindest 2 Exploits hintereinander. Kernel ist ein 2.6.8er, Debian System von Ende Februar 2005, seither leider nix mehr upgedated.

Hat von euch jemand ähnliche Erfahrungen gemacht?

Wie haben die das genau gemacht? Also, mir interessiert wie sie vom fremd-ausführbaren PHP-Code (lt. TikiWiki Bug Advisory vom 3. Juli 2005) zu Maschinencode und damit zu root gekommen sind. Und wie sie dann eine Shell aufmachen konnten und wie die Kommunikations mit der Shell gelaufen sein könnte (Ports, Dienste, …).

Das ist jetzt natürlich Glaskugellesen, aber ich hoffe dass jemand von euch eine ähnliche Erfahrung berichten kann und mir mehr Infos geben kann. BTW: Wir haben heute auch Glaskugelgelesen, weil die Bösewichte das /var/log ratzeputz gelöscht ham und sogar die deleted files Liste gelöscht haben (Wie geht das eigentlich?). Wir konnten aber aus einem Image der /var/ Partition einiges zusammenklamüsern.

Danke
Hansi

#2

Hallo,

Wie haben die das genau gemacht?

Keine Ahnung. Du könntest die Security-Advirories seit Februar mal durchgucken und schauen, was sich da anbietet. Vielleicht das Problem mit „sudo“?

Das ist jetzt natürlich Glaskugellesen

Ja.

mehr Infos geben kann. BTW: Wir haben heute auch
Glaskugelgelesen, weil die Bösewichte das /var/log ratzeputz
gelöscht ham

Ja, das ist üblich an den Logs zu manipulieren, deshalb ist ein extra Loghost keine ganz schlechte Idee.

und sogar die deleted files Liste gelöscht haben

Was für eine Liste meinst Du genau?

Gruß,

Sebastian

#3

Hallo,

Wie haben die das genau gemacht?

z.B. mit diesem Skript(?):
http://www.milw0rm.com/id.php?id=1078

 ...
 ...
 # show options 
 sub show\_usage {
 print "Syntax: ./xmlrpc.pl [options] host/uri\n\n";
 print "main options\n";
 print "connection options\n";
 print "\t--proxy (http), --proxy\_user, --proxy\_pass\n";
 print "\t--basic\_auth\_user, --basic\_auth\_pass\n";
 print "\t--timeout \n";
 print "\nExample\n";
 print "bash# xmlrpc.pl --host=www.host.com/xmlrpc.php \n";
 print "\n";
 exit(1);

Duhhh,

CMБ

#4

Hi Semjon!

z.B. mit diesem Skript(?):
http://www.milw0rm.com/id.php?id=1078

Oh, das ist schon mal ein heißer Tip! Danke vielmals!

Zum ‚root‘ werden müssen sie zwar mehr als nur Kommandos auf der Shell ausführen, aber das Perl-Script lässt sich bestimmt leicht anpassen.

Danke
Hansi