Bitte löschen.

Debian macht sich hervorragend als Web- und Mailserver. Schau auch in den " Tipps und Tricks"-Bereich.
demur

Bitte löschen.

Beitrag von demur » 07.02.2017 05:35:29

Bitte löschen.
Zuletzt geändert von demur am 12.01.2021 04:48:01, insgesamt 1-mal geändert.

DeletedUserReAsG

Re: Server gehackt? Unbekannte Verzeichnisse in var/www

Beitrag von DeletedUserReAsG » 07.02.2017 05:43:14

… das ist ein Trollversuch, oder?

pferdefreund
Beiträge: 3791
Registriert: 26.02.2009 14:35:56

Re: Server gehackt? Unbekannte Verzeichnisse in var/www

Beitrag von pferdefreund » 07.02.2017 13:37:35

Wenn man sich damit nicht auskennt, sollte man es lassen, einen Server im öffentlichen Netz zu betreiben. Genau aus diesem Grunde mache ich es auch nicht. Serveradministration kann man nicht so nebenbei machen.

Benutzeravatar
Meillo
Moderator
Beiträge: 8782
Registriert: 21.06.2005 14:55:06
Wohnort: Balmora
Kontaktdaten:

Re: Server gehackt? Unbekannte Verzeichnisse in var/www

Beitrag von Meillo » 07.02.2017 13:52:48

niemand hat geschrieben:… das ist ein Trollversuch, oder?
Das ist die Frage.

Jedenfalls muss er schon eine lange Nacht hinter sich gehabt haben, wenn er um 05:00 einen Account im DFDE anlegt und sein Problem postet. Dafuer sind die Wortwahl und Rechtschreibung erstaunlich gut. ;-)
Use ed once in a while!

uname
Beiträge: 12046
Registriert: 03.06.2008 09:33:02

Re: Server gehackt? Unbekannte Verzeichnisse in var/www

Beitrag von uname » 07.02.2017 14:43:38

Bei schlecht konfiguriertem Webspace kann es wohl mal passieren, dass man einen Pfad zu hoch in die Baumstruktur einsteigt und somit andere auf dem Server gehostete Domains sieht. Aber hier geht es ja um einen dedizierten Server. Schon komisch. Bei Webhosting würde ich sagen auch ohne gehackt worden zu sein möglich. Vielleicht kann der Threadstarter mal ein paar der Domains hier posten. Oder alternativ z.B. mir per PN zuschicken. Dann würde ich mal von außen schauen ob was auffällig ist.

Benutzeravatar
Lord_Carlos
Beiträge: 5578
Registriert: 30.04.2006 17:58:52
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Dänemark

Re: Server gehackt? Unbekannte Verzeichnisse in var/www

Beitrag von Lord_Carlos » 07.02.2017 15:04:23

Vielleicht auch mal nachgucken welcher nutzter die Daten angelegt hat.
Und ggf nachgucken wann zuletzt eingeloggt wurde.

Ich bin da leider auch kein Experte.
Schade das hier die meisten nicht Konstruktiver sind :(

Code: Alles auswählen

╔═╗┬ ┬┌─┐┌┬┐┌─┐┌┬┐╔╦╗
╚═╗└┬┘└─┐ │ ├┤ │││ ║║
╚═╝ ┴ └─┘ ┴ └─┘┴ ┴═╩╝ rockt das Forum!

uname
Beiträge: 12046
Registriert: 03.06.2008 09:33:02

Re: Server gehackt? Unbekannte Verzeichnisse in var/www

Beitrag von uname » 07.02.2017 15:23:13

Schade das hier die meisten nicht Konstruktiver sind
Bei den Infomationen kein Wunder.

demur

Bitte löschen.

Beitrag von demur » 07.02.2017 15:33:26

Bitte löschen.
Zuletzt geändert von demur am 12.01.2021 04:48:40, insgesamt 2-mal geändert.

Benutzeravatar
Meillo
Moderator
Beiträge: 8782
Registriert: 21.06.2005 14:55:06
Wohnort: Balmora
Kontaktdaten:

Re: Server gehackt? Unbekannte Verzeichnisse in var/www

Beitrag von Meillo » 07.02.2017 15:53:46

demur hat geschrieben:Schade, dass mich hier kaum jemand ernst nimmt.
Das finde ich wenig ueberraschend. Solche Erstposts fuehren immer zu der Frage, ob es ernst gemeint ist ... weil die Erfahrung zeigt, dass es in vielen Faellen eben bloss ein Troll ist. Und wer hat schon Lust darauf seine Energie in etwas zu stecken, fuer das man nacher ausgelacht wird? Wenn du dich selbst entsprechend konstruktiv verhaeltst, dann tun wir das auch. Bloss kann man das beim ersten (aussergewoehnlichen) Post in einem Forum nicht sofort erwarten.
Vielleicht auch mal nachgucken welcher nutzter die Daten angelegt hat
Die Ordner werden automatisch von www-data angelegt.
Mein User www-data darf in /var/www nicht schreiben, wieso darf das deiner?
Use ed once in a while!

demur

Bitte löschen.

Beitrag von demur » 07.02.2017 16:09:53

Bitte löschen.
Zuletzt geändert von demur am 12.01.2021 04:48:57, insgesamt 3-mal geändert.

Benutzeravatar
Meillo
Moderator
Beiträge: 8782
Registriert: 21.06.2005 14:55:06
Wohnort: Balmora
Kontaktdaten:

Re: Server gehackt? Unbekannte Verzeichnisse in var/www

Beitrag von Meillo » 07.02.2017 16:15:29

demur hat geschrieben: Das CMS erfordert schreibrechte, da es dynamische Daten zwischenspeichert, damit diese schneller angezeigt werden können.
Normalerweise wird dafuer ein Unterverzeichnis namens ``cache'' oder so verwendet, und nur darin darf www-data dann schreiben. Das ist nicht nur sicherer sondern auch sinnvoller. Wer will sich schon Oberverzeichnisse vollmuellen lassen?
Use ed once in a while!

demur

Bitte löschen.

Beitrag von demur » 07.02.2017 16:39:09

Bitte löschen.
Zuletzt geändert von demur am 12.01.2021 04:49:11, insgesamt 1-mal geändert.

Benutzeravatar
Teddybear
Beiträge: 3163
Registriert: 07.05.2005 13:52:55
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Altomünster
Kontaktdaten:

Re: Server gehackt? Unbekannte Verzeichnisse in var/www

Beitrag von Teddybear » 07.02.2017 17:02:41

Ich schiesse mal ins Blaue...;)
Diese Textdateien enthalten infos, die von deinem CMS, oder was auch immer man das nennen kann, angelegt wurden.
Und diese unbekannte Domain, ist vielleicht der vollständige hostname, den dein System hat?
Versuchungen sollte man nachgeben. Wer weiß, ob sie wiederkommen!
Oscar Wilde

Mod-Voice / My Voice

demur

Bitte löschen.

Beitrag von demur » 07.02.2017 17:14:15

Bitte löschen.
Zuletzt geändert von demur am 12.01.2021 04:49:26, insgesamt 1-mal geändert.

DeletedUserReAsG

Re: Server gehackt? Unbekannte Verzeichnisse in var/www

Beitrag von DeletedUserReAsG » 07.02.2017 19:18:41

Schade, dass mich hier kaum jemand ernst nimmt.
Keine konkreten Infos, dafür ’ne nebulöse Umschreibung, die alles Mögliche bedeuten kann, und natürlich das berüchtigte „ich hab’ keine Ahnung aber fahre ‘nen Server“ – was genau erwartest du?
Ich vermute mittlerweile, dass es sich bei dem Besitzer der TLD um den Vormieter des ded. Servers handelt.
Du übernimmst ’nen Server von $irgendwem und setzt ihn nicht neu auf? Warum? Eigentlich macht OVH die Platten der Kisten auch leer, bevor’s die weitervermietet – mal den Support fragen, warum du noch Daten vom Vormieter drauf hast?

Benutzeravatar
Lord_Carlos
Beiträge: 5578
Registriert: 30.04.2006 17:58:52
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Dänemark

Re: Server gehackt? Unbekannte Verzeichnisse in var/www

Beitrag von Lord_Carlos » 07.02.2017 19:35:58

Alte URL zeigt noch auf gleiche IP, CMS cached den namen.

Code: Alles auswählen

╔═╗┬ ┬┌─┐┌┬┐┌─┐┌┬┐╔╦╗
╚═╗└┬┘└─┐ │ ├┤ │││ ║║
╚═╝ ┴ └─┘ ┴ └─┘┴ ┴═╩╝ rockt das Forum!

DeletedUserReAsG

Re: Server gehackt? Unbekannte Verzeichnisse in var/www

Beitrag von DeletedUserReAsG » 07.02.2017 19:57:51

CMS sollte den nie zu sehen bekommen, wenn der httpd halbwegs sauber konfiguriert ist.

demur

Bitte löschen.

Beitrag von demur » 07.02.2017 20:06:28

Bitte löschen.
Zuletzt geändert von demur am 12.01.2021 04:49:47, insgesamt 1-mal geändert.

DeletedUserReAsG

Re: Server gehackt? Unbekannte Verzeichnisse in var/www

Beitrag von DeletedUserReAsG » 07.02.2017 20:29:27

Spar dir bitte weitere solcher Antworten. Du scheinst nämlich nicht zu merken, dass du hier gerade selbst ein Klischee erfüllst.
Statt hier wild rumzuunterstellen, wären konkrete Daten sinnvoller gewesen. Ganz nebenbei hätten die dann auch den Anfangsverdacht der versuchten Trollerei ausräumen können. Tipp für’s nächste Mal: spar‘ dir bitte dein Gelaber und leg’ konkrete Daten vor, dann wird auch ziemlich schnell geholfen werden können.

Benutzeravatar
TRex
Moderator
Beiträge: 8038
Registriert: 23.11.2006 12:23:54
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: KA

Re: Server gehackt? Unbekannte Verzeichnisse in var/www

Beitrag von TRex » 07.02.2017 20:38:17

Ich habs zwar nicht als Trollerei betrachtet, aber auch als recht hoffnungslos. Ich würde gerne wissen, was du und uname herausgefunden habt. Der Eingangspost war in etwa "Mein Auto klingt komisch", und wir wissen noch nicht einmal, obs ein Diesel-LKW oder ein Kadett ist. Oder was du zuletzt getan hast - Wasser in den Tank gekippt, zB. Um wieder zurück zum eigentlichen Problem zu kommen: interessante Fakten, die interessant gewesen wären:

* dass da überhaupt ein CMS läuft.
* um welches CMS es sich da handelt
* was du über die domains weißt, die da stehen ("Vormieter" ist eine sehr relevante Info)
* sonstige Metadaten der Verzeichnisse (wann angelegt, wiederkehrender Zugriff)

Ich hätte dir diese Liste zu Beginn nicht vorlegen können - hätte auch Plesk oder sowas sein können, und bei sowas komplexem betrachte ich alles hinter der WebUI als blackbox, in die ich nicht sinnvoll reingreifen kann. Es hätte alles mögliche sein können, und da du dich direkt als "ich administrier meinen Server mit der Maus" hingestellt hast, war es nicht einmal die Nachfrage wert.
Jesus saves. Buddha does incremental backups.
Windows ist doof, Linux funktioniert nichtDon't break debian!Wie man widerspricht

Benutzeravatar
Meillo
Moderator
Beiträge: 8782
Registriert: 21.06.2005 14:55:06
Wohnort: Balmora
Kontaktdaten:

Re: Server gehackt? Unbekannte Verzeichnisse in var/www

Beitrag von Meillo » 08.02.2017 07:49:30

... wir muessen doch zugeben, dass demur, im Gegensatz zu den meisten anderen der Kategorie ``Ich hab 'n Server aber keine Ahnung'', sehr bemueht ist zukuenftig Ahnung zu haben. Er will lernen und an dem Problem wachsen. Darum sollten wir uns in der Pflicht sehen, ihn dabei zu unterstuetzen.
Use ed once in a while!

guennid

Re: Server gehackt? Unbekannte Verzeichnisse in var/www

Beitrag von guennid » 08.02.2017 08:21:18

Ich habe keine Ahnung von ins Internet gehenden Servern und ich betreib' auch keinen (jedenfalls nicht wissentlich). :wink:
Möchte als tumber hier mitlesender Mensch dennoch anfügen: Es fällt einem kein Zacken aus der Krone, wenn man auch mal ein Stück weit zurückrudert. :wink:

***duck und weg***

uname
Beiträge: 12046
Registriert: 03.06.2008 09:33:02

Re: Server gehackt? Unbekannte Verzeichnisse in var/www

Beitrag von uname » 08.02.2017 09:01:13

Abschließend war es vor allem ein schlechter Eingangspost. Der Threadstarter hätte die Informationen zu dem CMS vom Eintrag " 07.02.2017 16:39:09" und die Tatsache, dass er den Code angepasst hat bereits am Anfang nennen sollen. Ihm war aber wahrscheinlich zu dem Zeitpunkt die Tragweite der Anwendung und der Anpassungen nicht bekannt.

Was lernen wir daraus?
- ein Threadstarter sollte immer die relevanten Daten liefern oder fragen welche Daten benötigt werden könnten
- ein Server wird weit seltener gehackt als angenommen
- vielleicht sollten wir bei Webservern öfter nach den genutzten Webanwendungen wie z.B. CMS, ... fragen
- Anpassungen an Webanwendungen führen nicht immer zu Sicherheitslücken, sondern teilweise zu einem fehlerhaften Verhalten der Anwendung

scientific
Beiträge: 3020
Registriert: 03.11.2009 13:45:23
Lizenz eigener Beiträge: Artistic Lizenz
Kontaktdaten:

Re: Server gehackt? Unbekannte Verzeichnisse in var/www

Beitrag von scientific » 08.02.2017 21:46:58

Ach was... Ich hab schon viele Fragen mit relevanten Infos und der Frage nach weiteren benötigten Infos hier gestellt... Je detaillierter ich war, desto weniger wurde überhaupt reagiert...

Das ist zumindest meine Erfahrung.
dann putze ich hier mal nur...

Eine Auswahl meiner Skripte und systemd-units.
https://github.com/xundeenergie

auch als Debian-Repo für Testing einbindbar:
deb http://debian.xundeenergie.at/xundeenergie testing main

DeletedUserReAsG

Re: Server gehackt? Unbekannte Verzeichnisse in var/www

Beitrag von DeletedUserReAsG » 09.02.2017 05:27:02

… allerdings kam dann auch keiner und hat gefragt, ob du nicht vielleicht nur trollen willst, oder?

Man muss halt differenzieren: will man ein konkretes Problem lösen? Dann stellt man die Infos zur Verfügung, so, dass möglichst keine Nachfragen nötig sind – was ggf. dazu führt, dass halt auch keiner nachfragt und eben auch keiner in den Thread schreibt, wenn er nicht direkt helfen kann. Oder sucht man nur Unterhaltung, aka will man trollen? Dann macht man einen möglichst vagen Eingangspost, packt noch den einen oder anderen Trigger hinzu und empört sich dann über die erwartungsgemäße Reaktion. Letzteres ist halt hier passiert – so what?

Antworten