Beiträge von monderka

    Auf meinem Debian9 ist das auch so und der clamav Prozess hängt im zombie

    clamd: error while loading shared libraries: libssl.so.3: cannot open shared object file: No such file or directory


    ps ax | grep clamd

    570 ? S 0:00 readproctitle service errors: ...en shared object file: No such file or directory clamd: error while loading shared libraries: libssl.so.3: cannot open shared object file: No such file or directory clamd: error while loading shared libraries: libssl.so.3: cannot open shared object file: No such file or directory clamd: error while loading shared libraries: libssl.so.3: cannot open shared object file: No such file or directory

    583 ? S 0:00 supervise clamd

    20062 ? Z 0:00 [clamd] <defunct>

    20065 pts/0 S+ 0:00 grep clamd

    Da ist was selbst gebautes. Danke für die Input, das hier der Referer manipuliert ist war mir trotz anstarren des Logs irgendwie nicht klar. Aber natürlich. Ich habe mal alles durchgeschaut, sehe zwar nicht wo das was abgeflossen ist, aber das da die usrdb-Datenbank mit im String steht sorgt mich schon, das muss ich unbedingt nochmal stärker prüfen wie das sein kann.

    Danke wieder mal an das tolle Forum und die Hilfe.

    Hallo,


    ich wende mich heute mal an euch weil ich auf einigen meiner PD-Admin-System derzeit folgende und ähnliche Zugriffe sehe, ich ich aber nicht weiß die die vonstatten gehen, denn die normale URL wird ja regulär aufgerufen:


    Beispiel-access-log eintrag:


    /usr/local/pd-admin2/logs/access_log.1656822901:www.************.de 185.7.214.179 - - [03/Jul/2022:06:29:23 +0200] "GET /presse/presseartikel-PVC.html HTTP/1.1" 200 118 "https://www.***********.de:443/showpage.php' RLIKE (SELECT (CASE WHEN (ORD(MID((SELECT IFNULL(CAST(CHAR_LENGTH(target_email) AS NCHAR),0x20) FROM usrdb_********_***.tbl_****** ORDER BY target_email LIMIT 26,1),2,1))>9) THEN 0x68747470733a2f2f7777772e6665756572626163682d616b6164656d69652e64653a3434332f73686f77706167652e706870 ELSE 0x28 END)) AND 'etDS'='etDS" "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.8.1.17) Gecko/20080829 Firefox/2.0.0.17"


    Wie wird denn da versucht der SQL-INJECTION-Code unterzuschieben? würde das gerne mal nachstellen um zu sehen ob da wirklich eine Gefahrt droht.

    Das ärgerlich dabei ist das die damit aktuelle sehr viel traffic für nix erzeugen.


    Vielleicht hat ja jemand eine Idee oder kann mir auf die sprünge helfen.

    Manfred

    Erstmal danke für die Anleitung. Ich wollte das Thema nochmal aufgreifen wie ihr mit dem Wechsel von CentOS8 auf ein neues System umgegangen seit. Gibt es jemanden der auch auf CentOS Stream gewechselt ist und damit Erfahrungen mit PD-Admin gemacht hat. Oder ist es sinnvoller auf Alma zu wechseln? Wir haben einen einzigen CentOS8 Server und müssen uns da mal gedanken machen wie wir den sicher auf eine aktuelle Distribution bekommen.

    Hallo,


    bei mehreren SE-Updates und jetzt auch beim PD-Admin Update habe ich immer folgende Meldung:


    Writing /usr/local/pd-admin2/conf/httpd.conf

    Writing /usr/local/pd-admin2/httpd-2.4/conf/httpd.conf

    webserver = <AP24>

    Apache 24 is already selected

    AP24: creating run-v2, symlinking to run

    (98)Address already in use: AH00072: make_sock: could not bind to address [::]:80

    (98)Address already in use: AH00072: make_sock: could not bind to address 0.0.0.0:80

    no listening sockets available, shutting down

    AH00015: Unable to open logs

    httpd not running, trying to start



    Danach fängt sich aber der apache irgendwie und wird doch gestartet.

    In der httpd.conf finde ich aber keinen Hinweis auf die 0.0.0.0 Adresse.


    Habt ihr eine Idee woher das kommt?


    Nachtrag: das hier ist im readproc zu sehen: (das System ist hier noch debian9)

    grep readproc

    567 ? S 0:09 readproctitle service errors: ...ort enabled. ELF support enabled. Mail files support enabled. OLE2 support enabled. PDF support enabled. SWF support enabled. HTML support enabled. XMLDOCS support enabled. HWP3 support enabled. Self checking every 600 seconds. ./run: line 12: test: : integer expression expected httpd: no process found rm: cannot remove '/usr/local/pd-admin2/httpd-2.4/logs/httpd.pid': No such file or directory





    viele Grüße

    Manfred

    Eben ist auf heise eine neue linux-Lücke benannt:

    Root-Zugriff unter Linux durch Polkit-Lücke
    Sicherheitsforscher haben eine Schwachstelle in Polkit entdeckt, die Rechteausweitung ermöglicht. Für viele Distributionen sind bereits Patches verfügbar.
    www.heise.de


    komischerweise existiert bei allen unseren PD-Admin-System die pkexec nur auf CentOS8.1. Alle Debian-Systeme haben die Datei gar nicht.

    Wie ist das bei euch?

    PDA: v4.83_64

    SE: 4-0.395


    Seit langem habe ich mir mal wieder eine awstats Statistik angeschaut weil ein Kunde meinte ob man auch mehr als den aktuellen Monat anschauen kann.

    Irgendwie ist da aber keine awstats.conf Datei mehr drin und in /opt/pdadmin/etc ist ein master für Version 5.5

    Alte awstats hatten auch einen CGI iframe, aber das ist da auch anders.


    Wie kann man denn wieder mehr zuschalten als den aktuellen Monat?


    viele Grüße

    Manfred

    Im Error stehen bei Wordpress-Update oder Zugriffen solche Einträge. Und sperrt die Nutzer von ihrer Wordpress-Installation aus.

    Kann man das irgendwie feintunen?


    Code
    [Tue Oct 26 05:58:55.734451 2021] [:error] [pid 3762892:tid 140422324303616] [client 80.138.154.31:54565] [client 80.138.154.31] ModSecurity: Access denied with code 403 (phase 2). detected SQLi using libinjection with fingerprint 'n&1' [file "/usr/local/pd-admin2/httpd-2.4/conf/coreruleset-current/rules/REQUEST-942-APPLICATION-ATTACK-SQLI.conf"] [line "65"] [id "942100"] [msg "SQL Injection Attack Detected via libinjection"] [data "Matched Data: n&1 found within REQUEST_COOKIES:super_session: e51722d7ed47f04f89549d213e409239||1635221170||1635220810"] [severity "CRITICAL"] [ver "OWASP_CRS/3.3.2"] [tag "application-multi"] [tag "language-multi"] [tag "platform-multi"] [tag "attack-sqli"] [tag "paranoia-level/1"] [tag "OWASP_CRS"] [tag "capec/1000/152/248/66"] [tag "PCI/6.5.2"] [hostname "www.xxxx.de"] [uri "/wp-admin/admin-ajax.php"] [unique_id "YXd8_1ajfXgpdtscR7mymAAEChI"], referer: https://www.xxxx.de/wp-admin/themes.php?page=avada_options
    [Tue Oct 26 05:59:26.765206 2021] [:error] [pid 3762893:tid 140422223591168] [client 80.138.154.31:50211] [client 80.138.154.31] ModSecurity: Access denied with code 403 (phase 2). detected SQLi using libinjection with fingerprint 'n&1' [file "/usr/local/pd-admin2/httpd-2.4/conf/coreruleset-current/rules/REQUEST-942-APPLICATION-ATTACK-SQLI.conf"] [line "65"] [id "942100"] [msg "SQL Injection Attack Detected via libinjection"] [data "Matched Data: n&1 found within REQUEST_COOKIES:super_session: e51722d7ed47f04f89549d213e409239||1635221170||1635220810"] [severity "CRITICAL"] [ver "OWASP_CRS/3.3.2"] [tag "application-multi"] [tag "language-multi"] [tag "platform-multi"] [tag "attack-sqli"] [tag "paranoia-level/1"] [tag "OWASP_CRS"] [tag "capec/1000/152/248/66"] [tag "PCI/6.5.2"] [hostname "www.xxxx.de"] [uri "/wp-admin/admin-ajax.php"] [unique_id "YXd9Hr8R0hcBCUJM9XPFVAAEggY"], referer: https://www.xxxx.de/wp-admin/admin-ajax.php?action=wp_service_worker
    [Tue Oct 26 06:00:56.745566 2021] [:error] [pid 3766392:tid 140422231983872] [client 80.138.154.31:53181] [client 80.138.154.31] ModSecurity: Access denied with code 403 (phase 2). detected SQLi using libinjection with fingerprint 'n&1' [file "/usr/local/pd-admin2/httpd-2.4/conf/coreruleset-current/rules/REQUEST-942-APPLICATION-ATTACK-SQLI.conf"] [line "65"] [id "942100"] [msg "SQL Injection Attack Detected via libinjection"] [data "Matched Data: n&1 found within REQUEST_COOKIES:super_session: e51722d7ed47f04f89549d213e409239||1635221170||1635220810"] [severity "CRITICAL"] [ver "OWASP_CRS/3.3.2"] [tag "application-multi"] [tag "language-multi"] [tag "platform-multi"] [tag "attack-sqli"] [tag "paranoia-level/1"] [tag "OWASP_CRS"] [tag "capec/1000/152/248/66"] [tag "PCI/6.5.2"] [hostname "www.xxxx.de"] [uri "/wp-admin/admin-ajax.php"] [unique_id "YXd9eHo3SZE2ch_ZSig-sAAFFwc"], referer: https://www.xxxx.de/wp-admin/themes.php?page=avada_options
    [Tue Oct 26 06:01:27.737897 2021] [:error] [pid 3766418:tid 140422265554688] [client 80.138.154.31:52938] [client 80.138.154.31] ModSecurity: Access denied with code 403 (phase 2). detected SQLi using libinjection with fingerprint 'n&1' [file "/usr/local/pd-admin2/httpd-2.4/conf/coreruleset-current/rules/REQUEST-942-APPLICATION-ATTACK-SQLI.conf"] [line "65"] [id "942100"] [msg "SQL Injection Attack Detected via libinjection"] [data "Matched Data: n&1 found within REQUEST_COOKIES:super_session: e51722d7ed47f04f89549d213e409239||1635221170||1635220810"] [severity "CRITICAL"] [ver "OWASP_CRS/3.3.2"] [tag "application-multi"] [tag "language-multi"] [tag "platform-multi"] [tag "attack-sqli"] [tag "paranoia-level/1"] [tag "OWASP_CRS"] [tag "capec/1000/152/248/66"] [tag "PCI/6.5.2"] [hostname "www.xxxx.de"] [uri "/wp-admin/admin-ajax.php"] [unique_id "YXd9l9UaQV851W6PHbtAvQAFkgs"], referer: https://www.xxxx.de/wp-admin/admin-ajax.php?action=wp_service_worker

    Ich hatte das Problem letzte Woche auch. Mit folgendem Workaround konnte ich mir behelfen:


    Datei /usr/local/pd-admin2/etc/proftpd.conf die TLSProtokollzeile wie folgt geändert.

    TLSProtocol TLSv1.2


    Danach den proftpd dienst neu gestartet.

    Nach dem Update sehen auf beiden geupdateten Server die Ergebnisse des nächtlichen letsencrypt-Jobs so aus:


    /opt/pdadmin/bin/letsencrypt --all

    PLEASE SEE THE PERL2EXE USER MANUAL UNDER "Can't locate somemodule.pm in @INC"
    FOR AN EXPLANATION OF THE FOLLOWING MESSAGE:
    Can't locate Tie/Hash/NamedCapture.pm in @INC (@INC contains: /opt/pdadmin/lib PERL2EXE_STORAGE /opt/pdadmin/bin) at PERL2EXE_STORAGE/English.pm line 148.
    BEGIN failed--compilation aborted at PERL2EXE_STORAGE/English.pm line 148.
    Compilation failed in require at PERL2EXE_STORAGE/ConsolidatedAdminAndCustomerCode.pm line 14.
    BEGIN failed--compilation aborted at PERL2EXE_STORAGE/ConsolidatedAdminAndCustomerCode.pm line 14.
    Compilation failed in require at /opt/pdadmin/bin/letsencrypt line 14.
    BEGIN failed--compilation aborted at /opt/pdadmin/bin/letsencrypt line 14.

    Auf dem centos8 kam folgende komische Meldung beim PD-Admin Update.

    SE vorher von 6-389 auf 6-391 war problemlos


    Aendere Feld vhosts.id

    Aendere Feld whitelist.id

    mysql: [Warning] Using a password on the command line interface can be insecure.

    mysql: [Warning] Using a password on the command line interface can be insecure.

    mysql: [Warning] Using a password on the command line interface can be insecure.

    mysql: [Warning] Using a password on the command line interface can be insecure.

    mysql: [Warning] Using a password on the command line interface can be insecure.

    mysql: [Warning] Using a password on the command line interface can be insecure.

    mysql: [Warning] Using a password on the command line interface can be insecure.

    mysql: [Warning] Using a password on the command line interface can be insecure.

    mysql: [Warning] Using a password on the command line interface can be insecure.

    mysql: [Warning] Using a password on the command line interface can be insecure.

    Writing /usr/local/pd-admin2/conf/httpd.conf

    Writing /usr/local/pd-admin2/httpd-2.4/conf/httpd.conf

    webserver = <AP24>

    Apache 24 is already selected

    AP24: creating run-v2, symlinking to run

    /usr/local/pd-admin2/httpd-2.4/bin/apachectl: line 79: 1432643 Killed $HTTPD -k $ARGV


    Update erfolgreich.


    Alle Dienste scheinen aber regulär gestartet zu sein.


    Nachtrag:
    im Verzeichnis /usr/local/pd-admin2/httpd-2.4/bin ist auf der maschine cur die apachectl drin, während auf anderen jede menge andere Dateien sind von ab bis suexec

    Hatte nach dem Update auch keine Probleme den Apache zu erreichen. War aber das erste mal das bei einem PD-Admin Update das passiert ist. Ich hatte direkt vorher das letzte SE-Update gemacht und da gab es kein Problem. Sei es drum, scheint ja zu laufen.

    Zitat

    PID TTY STAT TIME COMMAND

    9062 ? Sl 0:00 /usr/local/pd-admin2/httpd-2.4/bin/httpd -D NO_DETACH -DSSL

    Das ist Debian11 beim Update von PDadmin 4.85_64 auf 4.86_64


    ....

    Aendere Feld vhosts.id

    Aendere Feld vhosts.php_sapi

    Aendere Feld whitelist.id

    mysql: [Warning] Using a password on the command line interface can be insecure.

    mysql: [Warning] Using a password on the command line interface can be insecure.

    mysql: [Warning] Using a password on the command line interface can be insecure.

    mysql: [Warning] Using a password on the command line interface can be insecure.

    mysql: [Warning] Using a password on the command line interface can be insecure.

    mysql: [Warning] Using a password on the command line interface can be insecure.

    mysql: [Warning] Using a password on the command line interface can be insecure.

    mysql: [Warning] Using a password on the command line interface can be insecure.

    mysql: [Warning] Using a password on the command line interface can be insecure.

    ln: die symbolische Verknüpfung '/lib64/libssl.so.10' konnte nicht angelegt werden: Die Datei existiert bereits

    ln: die symbolische Verknüpfung '/lib64/libcrypto.so.10' konnte nicht angelegt werden: Die Datei existiert bereits

    mysql: [Warning] Using a password on the command line interface can be insecure.

    mysql: [Warning] Using a password on the command line interface can be insecure.

    Writing /usr/local/pd-admin2/conf/httpd.conf

    Writing /usr/local/pd-admin2/httpd-2.4/conf/httpd.conf

    webserver = <AP24>

    Apache 24 is already selected

    AP24: creating run-v2, symlinking to run

    (98)Address already in use: AH00072: make_sock: could not bind to address [::]:80

    (98)Address already in use: AH00072: make_sock: could not bind to address 0.0.0.0:80

    no listening sockets available, shutting down

    AH00015: Unable to open logs

    httpd not running, trying to start


    Update erfolgreich.

    Ich habe nun versucht eine Datei mit folgendem Inhalt zu einem virtualhost-eintrag zu ergänzen, aber der unten stehen fehler meint das es zwei virtualhost-einträge gibt.



    /opt/pdadmin/bin/httpd_vhosts.pl

    Writing /usr/local/pd-admin2/conf/httpd.conf

    Writing /usr/local/pd-admin2/httpd-2.4/conf/httpd.conf

    webserver = <AP24>

    Apache 24 is already selected

    AH00526: Syntax error on line 476 of /usr/local/pd-admin2/httpd-2.4/conf/httpd.conf:

    <VirtualHost> cannot occur within <VirtualHost> section


    An welcher Stelle findet die Zuordnung zu einem bestimmten virtualhost-eintrag aus dem pdadmin statt?