Hi
- Welche Version von pd-admin wird eingesetzt? 4.18
- Welche Version der Serverumgebung wird eingesetzt? 3-0.225
- Welche Fehlermeldung erhalten Sie? symlink auf root
- Wie sind die problematischen Dienste konfiguriert? standard
- Welche Logfile-Einträge (zB. Webserver- oder Mail-Logfile) gibt es? http Access_log
Ich betreibe für die Verwandtschaft einen kleinen Webserver (erst vor 1-2 Wochen frisch installiert da Upgrade des alten zu mühsam gewesen wäre) und letztens wurde eine nicht gepatchte Joomla Website defaced.
Was mich stutzig macht ist, dass ich unter /home/<userverzeichnis>/sym einen symlink auf / gefunden habe der (getestet mit phpshell) auch funktioniert. ich kann mich im filesystem frei bewegen und werde nur (fast überall) durch filesystem Berechtigungen aufgehalten. meistens aber erst beim öffnen von Dateien d.h. ich kann in die meisten Verzeichnisse hinein. im joomla rootverzeichnis gibt's die .htaccess und dort steht Options +FollowSymLinks drin, ich weiß jetzt nicht ob das bei joomla schon von haus aus so ist oder ob das ein teil des wegs zum defacement (oder zu schlimmerem) war.
das OS ist centos 6.4 mit deaktiviertem selinux (spielt das in dem zusammenhang eine rolle oder ist das nur so etwas wie die UAC unter Windows?).
Dass der Angreifer über eine Joomla Lücke reingekommen ist, davon geh ich jetzt mal aus. Was mir aber überhaupt nicht schmeckt ist, dass er theoretisch auch auf Teile des Servers zugegriffen haben könnte die eigentlich nicht zugänglich sein sollten - oder hab ich da was verpasst? Wenn ich einen shared Server betreibe mit 100en Kunden drauf kann ich die ja nicht zwingen ständig Joomla aktuell zu halten und so ein Hoster installiert sicher auch nicht alle paar Wochen seine Server neu...?
lg