Servern hackad!

[khan]

Kör Ubuntu 6.06 med xampp (apachefriends.org) samt med "security" aktiverat och fick min server hackad under natten. Är det verkligen så stor skillnad på säkerheten mellan den "inbyggda" servermjukvaran och den som xampp levererar? Hur kan göra sin server säkrare?
Anledningen till att jag körde xampp var att det var mycket enkelt att få allt att funka på direkten. Några tips tas tacksamt emot!

[rancor]

Vilka portar har du öppet mot Internet?
Har du starka lösenord på alla konton?
Har du egenutvecklad kod på webbservern som kan vara osäker?
På vilket sätt var servern hackad?

[khan]

Har alltså inte gjort något annat än installerat Ubuntu och sedan laddat ner xampp. De portar som var öppna är de som är per default öppna när man installerar ubuntu. De hade tagit sig in och raderat allt innehåll via ftp misstänker jag och laddat upp en fil som pekar sidan mot en porrsite i Holland.  Körde vanlig sida utan databaskopplingar men kodat i simple php.
Borde jag har gjort annorlunda? Vad rekommenderar ni? Beklagar om jag låter förtvivlad men det känns drit att man drabbas av sådant.

[rancor]

Okey, då har du ingen brandvägg till att börja med.

Installera firestarter och se till att endast de portar du vill vara öppna är tillgängliga från Internet. Detta skall alltid göras, oavsett operativsystem.

Kontrollera sedan samtliga konton så att det är starka lösenord på dem

Jag är inte överdrivet bra på php men eftersom detta är ett scriptspråk med enorm potential så finns alla chanser att sårbarheten finns här. Kan man t.ex. ladda upp filer?

// rancor

[khan]

Det fanns bara ett konto och bara jag hade tillgång till uppgifterna. Sidorna är kodade i php enbart för att includa lite andra sidor för att göra det lättare ur designsynpunkt. Det går alltså inte att ladda upp via hemsidan utan bara via ftp.

Om jag skall installera servern igen så skall jag använda mig av xmapp igen tillsammans med firestarter.  Vilka portar brukar vara öppna på en server?
80,21.. ?
Är det svårt att konfigurera firestarter?
Måste erkänna, är ganska ny på linux.

[Barre]

Jag ät övertygad om att "hackningen" gjorts på portar som skall vara öppna (www, ftp, o.s.v)
Förmodligen så finns det något säkerhetshål i php-koden som följer med, och mot detta kommer inte någon firewall att skydda dig mot.
Vad kör du för saker/moduler i sin xampp?

[Barre]

Jag läste just på xampp's hemsida och nötterna har inte "säkrat" MySQL.

Viktigt.
Har du satt något lösenord på MySQL servern?
Nötterna som packeterat xampp har nämligen ett blankt root-lösen för MySQL OCH publicerat MySQL på det publika nätverkskortet.
Detta innebär att vem som helst kan logga in i databasen från nätverket och göra precis allt i din databas.

  1. The MySQL administrator (root) has no password.
  2. The MySQL daemon is accessible via network.
  3. ProFTPD uses the password "lampp" for user "nobody".
  4. PhpMyAdmin is accessible via network.
  5. Examples are accessible via network.
  6. MySQL and Apache running under the same user (nobody).

Lätt att sätta up. USEL säkerhet

(låter lika säkert som Windows NT 4.0 )

[khan]

Moduler:
Apache 2.2.3, MySQL 5.0.27, PHP 5.2.0 & 4.4.4 & PEAR + SQLite 2.8.17/3.2.8 + multibyte (mbstring) support, Perl 5.8.7, ProFTPD 1.3.0a, phpMyAdmin 2.9.1, OpenSSL 0.9.8d, GD 2.0.1, Freetype2 2.1.7, libjpeg 6b, libpng 1.2.12, gdbm 1.8.0, zlib 1.2.3, expat 1.2, Sablotron 1.0, libxml 2.4.26, Ming 0.3, Webalizer 2.01, pdf class 009e, ncurses 5.8, mod_perl 2.0.2, FreeTDS 0.63, gettext 0.11.5, IMAP C-Client 2004e, OpenLDAP (client) 2.3.11, mcrypt 2.5.7, mhash 0.8.18, eAccelerator 0.9.4, cURL 7.13.1, libxslt 1.1.8, phpSQLiteAdmin 0.2, libapreq 2.07, FPDF 1.53, XAMPP Control Panel 0.6
MD5 checsum: 2829bacd3c3196dcd97e8a2486a323ab




Barre
Lösenord är satt på all de bitarna och användarnamnet är ändrade.

/opt/lampp/lampp security

Now you should see the following dialog on your screen (user input is highlighted):

LAMPP: Quick security check...
LAMPP: Your LAMPP pages are NOT secured by a password.
LAMPP: Do you want to set a password? [yes] yes (1)
LAMPP: Password: ******
LAMPP: Password (again): ******
LAMPP: Password protection active. Please use 'lampp' as user name!
LAMPP: MySQL is accessable via network.
LAMPP: Normaly that's not recommended. Do you want me to turn it off? [yes] yes
LAMPP: Turned off.
LAMPP: Stopping MySQL...
LAMPP: Starting MySQL...
LAMPP: The MySQL/phpMyAdmin user pma has no password set!!!
LAMPP: Do you want to set a password? [yes] yes
LAMPP: Password: ******
LAMPP: Password (again): ******
LAMPP: Setting new MySQL pma password.
LAMPP: Setting phpMyAdmin's pma password to the new one.
LAMPP: MySQL has no root passwort set!!!
LAMPP: Do you want to set a password? [yes] yes
LAMPP: Write the passworde somewhere down to make sure you won't forget it!!!
LAMPP: Password: ******
LAMPP: Password (again): ******
LAMPP: Setting new MySQL root password.
LAMPP: Setting phpMyAdmin's root password to the new one.
LAMPP: The FTP password is still set to 'lampp'.
LAMPP: Do you want to change the password? [yes] yes
LAMPP: Password: ******
LAMPP: Password (again): ******
LAMPP: Reload ProFTPD...
LAMPP: Done.

[Barre]

Ursäkta frågan, med gjorde du det före eller efter du blev hackad?

[khan]

Ursäkta frågan, med gjorde du det före eller efter du blev hackad?

Före attacken.

[Okänd]

Om du använder relativa paths i dina includes, eller har nåt liknande

http://url.se/index.php?page=index.html

så är det ganska tacksamt att prova sig fram till exempelvis

http://url.se/index.php?page=../../../etc/passwd

och få hela lösenordsfilen i klartext på sidan...