Apache2 3index.php (Sicherheitsbruch)

[Kejax]

Hallo Forum, ich bräuchte da mal ganz dringend Hilfe was mein Apache2 angeht, sowie phpMyAdmin.

Das Problem ist folgendes:
Der Apache User hat eine Datei namens "3index.php" erstellt. wenn ich versuche auf die normal funktionierende Wordpress Seite zu gehen, klappt alles.
Versuche ich jedoch phpMyAdmin aufzurufen, werde ich mit einer knapp 90%-igen Wahrscheinlichkeit auf eine P*rn*seite weitergeleitet.
Ich habe die Datei bereits mehrmals gelöscht, allerdings wird sie immer wieder erstellt. Das Problem besteht knapp seit Anfang Dezember als der Log4J Exploit groß rauskam.
Es wurde auch schon versucht Apache2 zu updaten, allerdings wird uns gesagt, dass Apache2 kein Update hätte (Version installiert: 2.4.38 / 2021-12-21T16:50:43)
Deswegen bräuchte ich unbedingt Hilfe dabei, diese Datei zu entfernen. Ich denke, dass es an Log4J liegt allerdings finde ich keine Hinweise darauf, wie ich das hinbekomme.

Liebe Grüße,
Kejax

PS:
Danke an alle, die mir versuchen wollen zu helfen

[DeletedUserReAsG]

Wenn dein System aufgemacht worden ist, ist die sinnvollste Option eigentlich eine Neuinstallation – mit eine der ersten Sachen, die ernsthafte Angreifer machen, ist die Installation einer Backdoor. Da du auf log4j verweist – hast du’s denn überhaupt installiert und nutzt es? Denn Wordpress selbst ist ja auch recht intensiv zu pflegen, und spätestens bei vielen Plugins hat man ’ne gute Chance, darüber aufgemacht zu werden – dafür spricht, dass das Fehlerbild sich auf deine WP-Installation zu beschränken scheint.

Du könntest die Gelegenheit nutzen, gleich die aktuelle Debianversion zu installieren

[debilian]

In der Regel wird Wordpress über ein Modul/Plugin gehackt
- darum erstmal alle abschalten.

in den Logfiles findest du in der Regel "POST" Aufrufe, die den Moment des Uploads der Schadsoftware dokumentieren.
Oftmals legt der Hacker /das Sciptkiddie mit der Schadsoftware einen Benutzer in der WP Datenbank an, der muss auch weg.
Falls er ins System also das UNIX-Usersystem eingebrochen ist, wirds spannend.

Wordpress ist, da zuviele Ahnungslose Module und Plugins schreiben, alles andere als sicher, hab schon viele gehackte erlebt...

Kommtentarfunktionen, Fremdplattformplugins und solche Dinge öffnen dem Angreifer meist Tür und Tor.
fail2ban kann auch Wordpress absichern.

Viel Erfolg!

gruss

[Kejax]

In der Regel wird Wordpress über ein Modul/Plugin gehackt
- darum erstmal alle abschalten.

in den Logfiles findest du in der Regel "POST" Aufrufe, die den Moment des Uploads der Schadsoftware dokumentieren.
Oftmals legt der Hacker /das Sciptkiddie mit der Schadsoftware einen Benutzer in der WP Datenbank an, der muss auch weg.
Falls er ins System also das UNIX-Usersystem eingebrochen ist, wirds spannend.

Wordpress ist, da zuviele Ahnungslose Module und Plugins schreiben, alles andere als sicher, hab schon viele gehackte erlebt...

Kommtentarfunktionen, Fremdplattformplugins und solche Dinge öffnen dem Angreifer meist Tür und Tor.
fail2ban kann auch Wordpress absichern.

Viel Erfolg!

gruss

Ich hab in den Logfiles nachgeschaut, allein von heute sind viele POST Aktionen drin.
die Posts gehen alle auf verschiedene Dateien des Wordpress Verzeichnisses.

In der Wordpress datenbank habe ich allerdings nur User gefunden die dort hingehören.

[eggy]

Wenn andere Leute auf Deinem System Dateien anlegen können, solltest Du davon ausgehen, dass man dem, was in den Logfiles steht, nicht trauen kann.

[debilian]

Wenn andere Leute auf Deinem System Dateien anlegen können, solltest Du davon ausgehen, dass man dem, was in den Logfiles steht, nicht trauen kann.

Kann sein, muss aber nicht. Es wird sicher viele "normale" POST Einträge im Logfile geben aber um zu analysieren, wann der Einbruch und wie stattfand,
können die Logfiles helfen.
Bisher habe ich es in 25 Jahren Hosting nicht erlebt, dass jemand weiter kam als das CMS zu "hacken" bzw. Schadcode dort zu hinterlassen, was meist über Kommentarfunktion, Upload-Module oder Fremdmodule geschah. In all diesen Fällen war es kein wirkliches Problem, das System bzw. das CMS wieder sauber zu bekommmen und die Webseite zu erhalten.

Klar kannst du nun das WP löschen, den Server neu aufsetzen usw. Wenn du aber der Weg des Einbruchs nicht nachvollziehen kannst und die Schwachstelle nicht identifizierst, wird es wieder passieren...

gruss

[DeletedUserReAsG]

Bisher habe ich es in 25 Jahren Hosting nicht erlebt, dass jemand weiter kam als das CMS zu "hacken"

Erinnert mich an die Leute, die mit „aber da ist noch nie was passiert!“ kommen, wenn man den Mängelschein ausfüllt. In den allermeisten Schadensfällen ist natürlich „noch sie sowas passiert”, bevor es dann tatsächlich mal knallt, und nur noch rauchende Asche übrig bleibt. Dann heißt es „ist ja komisch – wie konnte das passieren? Das ist doch vorher noch nie passiert …“.
Erinnert sich noch jemand an die „hier ist dein Schild“-Seite? Die kommt mir zu solchen Gelegenheiten immer in den Sinn.

Hast du mal die Chronologien von tatsächlich durchgezogenen Angriffen angeschaut, debialian? Erstaunlich häufig ist da eine Lücke, die üblicherweise allenfalls ein Ärgernis darstellt – über die vielleicht ’n Mining-Script von ’nem Scriptkid-Bot über ’n WP-Plugin draufgeschaufelt wird – das initiale Einfallstor. Und dann wird sich langgehangelt, bis die entsprechenden Rechte für die Manipulation der Logs und das Verstecken von Backdoors erreicht worden sind. Und ohne dir was unterstellen zu wollen: dass du das nicht erlebt hast, also dass du nichts gefunden hast, sagt rein nichts darüber aus, dass da nichts gewesen ist.

Ich bleibe dabei: wenn jemand so fragen muss, dann ist’s schlicht das Beste, die Kiste neu aufzusetzen. Und, wie gesagt, bietet sich hier an, dabei gleich auf eine aktuelle Version zu setzen.

[debilian]

sagt rein nichts darüber aus, dass da nichts gewesen ist.

@niemand

ok, grundsätzlich kann ich dir folgen aber
heutzutage dauert es nicht lange, dann merkst du es, dass da jemand mit deinem Server Schindluder treibt...



ausserdem geht das Wissen der Script Kiddies/Bots nicht über diesen Einbruch ins WP hinaus, meistens.
Sicherheit gibt das nicht aber die Erfahrung zeigt es...

gruss

[debilian]

@niemand

Das war eigentlich eine meiner Hauptaussagen:

Klar kannst du nun das WP löschen, den Server neu aufsetzen usw. Wenn du aber der Weg des Einbruchs nicht nachvollziehen kannst und die Schwachstelle nicht identifizierst, wird es wieder passieren...

da kannst du oft neu installieren...

[DeletedUserReAsG]

aber heutzutage dauert es nicht lange, dann merkst du es, dass da jemand mit deinem Server Schindluder treibt...

Nix für ungut, aber das ist dann doch ziemlich naiv. Das merkt man eigentlich nur dann lediglich anhand der Auswirkungen oder Logeinträge, wenn tatsächlich ’n Scriptkid irgendwo ’nen Exploit geladen und gestartet hat, dadurch mit der Tür ins Haus fällt, und sich dort wie’n Elephant im Porzellanladen bewegt. Wenn’s ein tatsächlicher Angreifer ist, muss man schon ’n Auge auf seinem System haben, und selbst dann ist nicht garantiert, dass man es mitbekommt.

da kannst du oft neu installieren...

Stimmt schon, aber bei einer Neuinstallation mit einem aktuellen System würden hier auch aktuellere Softwareversionen zum Einsatz kommen. Das würde schon einen Unterschied bedeuten, denke ich.

[debilian]

Moin,
alles gut, du hast Recht. Ich bin da zu sehr von meinen Erfahrungen geprägt und kann nicht von mir auf andere schliessen.
Es gibt ja Dinge wie Icinga/Nagios aber klar, für so einen Server lohnt sich solch ein Aufwand eventuell nicht....

Wenn ich ein Kunden Wordpress wieder sauber mache, dann hab ich ja Backups, sehe anhand der Log files, was passiert ist und kann das System untersuchen,
merke, was nachgeladen wurde usw... und der Kunde will meist nicht unbedingt neu installieren. Wordpress ohne zweifelhafte Module, aktuell gehalten, ist schon ok.....

gruss

[eggy]

Moin,
Wordpress ohne zweifelhafte Module, aktuell gehalten, ist schon ok.....

Leider nein: https://wordpress.org/support/wordpress ... ion-5-8-3/

[debilian]

jetzt wollte ich einmal nicht schreiben, dass der ganze CMS Kram Dreck ist und dann kommst du, eggy....

;-P