Beiträge von monderka

wie macht man ein sauberes rollback? Die PD-Admin-Verzeichnisse einfach umbennen ?

Auf meinem Debian9 ist das auch so und der clamav Prozess hängt im zombie

clamd: error while loading shared libraries: libssl.so.3: cannot open shared object file: No such file or directory

ps ax | grep clamd

570 ? S 0:00 readproctitle service errors: ...en shared object file: No such file or directory clamd: error while loading shared libraries: libssl.so.3: cannot open shared object file: No such file or directory clamd: error while loading shared libraries: libssl.so.3: cannot open shared object file: No such file or directory clamd: error while loading shared libraries: libssl.so.3: cannot open shared object file: No such file or directory

583 ? S 0:00 supervise clamd

20062 ? Z 0:00 [clamd] <defunct>

20065 pts/0 S+ 0:00 grep clamd

Update zu dem ESET-Post:
Der IT-Dienstleister des Kunden hat auf dem PC zusätzlich zum ESET auch noch einen AVAST gefunden. Und nach dessen Deaktivierung hat es dann auch wieder funktioniert. Bleibt also, zumindest bei uns, ein auf Avast zurückzuführendes Problem.

Heute haben wir einen ersten Fall eines Kunden der lt. Aussage seines ITlers ESET einsetzt.
Die Fehlermeldung ist aber die gleiche mit dem pobox.com 451.

Hat das noch jemand?

Da ist was selbst gebautes. Danke für die Input, das hier der Referer manipuliert ist war mir trotz anstarren des Logs irgendwie nicht klar. Aber natürlich. Ich habe mal alles durchgeschaut, sehe zwar nicht wo das was abgeflossen ist, aber das da die usrdb-Datenbank mit im String steht sorgt mich schon, das muss ich unbedingt nochmal stärker prüfen wie das sein kann.

Danke wieder mal an das tolle Forum und die Hilfe.

Hallo,

ich wende mich heute mal an euch weil ich auf einigen meiner PD-Admin-System derzeit folgende und ähnliche Zugriffe sehe, ich ich aber nicht weiß die die vonstatten gehen, denn die normale URL wird ja regulär aufgerufen:

Beispiel-access-log eintrag:

/usr/local/pd-admin2/logs/access_log.1656822901:www.************.de 185.7.214.179 - - [03/Jul/2022:06:29:23 +0200] "GET /presse/presseartikel-PVC.html HTTP/1.1" 200 118 "https://www.***********.de:443/showpage.php' RLIKE (SELECT (CASE WHEN (ORD(MID((SELECT IFNULL(CAST(CHAR_LENGTH(target_email) AS NCHAR),0x20) FROM usrdb_********_***.tbl_****** ORDER BY target_email LIMIT 26,1),2,1))>9) THEN 0x68747470733a2f2f7777772e6665756572626163682d616b6164656d69652e64653a3434332f73686f77706167652e706870 ELSE 0x28 END)) AND 'etDS'='etDS" "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.8.1.17) Gecko/20080829 Firefox/2.0.0.17"

Wie wird denn da versucht der SQL-INJECTION-Code unterzuschieben? würde das gerne mal nachstellen um zu sehen ob da wirklich eine Gefahrt droht.

Das ärgerlich dabei ist das die damit aktuelle sehr viel traffic für nix erzeugen.

Vielleicht hat ja jemand eine Idee oder kann mir auf die sprünge helfen.

Manfred

Bei mir kommt da NIE nur eine Zeile raus. mindestens 2-3 Zeilen und immer auch " bypassed: SPF ok."

Deutet auch darauf hin das die Mails irgendwie durch kommen finde ich.

Erstmal danke für die Anleitung. Ich wollte das Thema nochmal aufgreifen wie ihr mit dem Wechsel von CentOS8 auf ein neues System umgegangen seit. Gibt es jemanden der auch auf CentOS Stream gewechselt ist und damit Erfahrungen mit PD-Admin gemacht hat. Oder ist es sinnvoller auf Alma zu wechseln? Wir haben einen einzigen CentOS8 Server und müssen uns da mal gedanken machen wie wir den sicher auf eine aktuelle Distribution bekommen.

Hallo,

bei mehreren SE-Updates und jetzt auch beim PD-Admin Update habe ich immer folgende Meldung:

Writing /usr/local/pd-admin2/conf/httpd.conf

Writing /usr/local/pd-admin2/httpd-2.4/conf/httpd.conf

webserver = <AP24>

Apache 24 is already selected

AP24: creating run-v2, symlinking to run

(98)Address already in use: AH00072: make_sock: could not bind to address [::]:80

(98)Address already in use: AH00072: make_sock: could not bind to address 0.0.0.0:80

no listening sockets available, shutting down

AH00015: Unable to open logs

httpd not running, trying to start

Danach fängt sich aber der apache irgendwie und wird doch gestartet.

In der httpd.conf finde ich aber keinen Hinweis auf die 0.0.0.0 Adresse.

Habt ihr eine Idee woher das kommt?

Nachtrag: das hier ist im readproc zu sehen: (das System ist hier noch debian9)

grep readproc

567 ? S 0:09 readproctitle service errors: ...ort enabled. ELF support enabled. Mail files support enabled. OLE2 support enabled. PDF support enabled. SWF support enabled. HTML support enabled. XMLDOCS support enabled. HWP3 support enabled. Self checking every 600 seconds. ./run: line 12: test: : integer expression expected httpd: no process found rm: cannot remove '/usr/local/pd-admin2/httpd-2.4/logs/httpd.pid': No such file or directory

viele Grüße

Manfred

Eben ist auf heise eine neue linux-Lücke benannt:

Root-Zugriff unter Linux durch Polkit-Lücke

Sicherheitsforscher haben eine Schwachstelle in Polkit entdeckt, die Rechteausweitung ermöglicht. Für viele Distributionen sind bereits Patches verfügbar.

www.heise.de

komischerweise existiert bei allen unseren PD-Admin-System die pkexec nur auf CentOS8.1. Alle Debian-Systeme haben die Datei gar nicht.

Wie ist das bei euch?

PDA: v4.83_64

SE: 4-0.395

Seit langem habe ich mir mal wieder eine awstats Statistik angeschaut weil ein Kunde meinte ob man auch mehr als den aktuellen Monat anschauen kann.

Irgendwie ist da aber keine awstats.conf Datei mehr drin und in /opt/pdadmin/etc ist ein master für Version 5.5

Alte awstats hatten auch einen CGI iframe, aber das ist da auch anders.

Wie kann man denn wieder mehr zuschalten als den aktuellen Monat?

viele Grüße

Manfred

Im Error stehen bei Wordpress-Update oder Zugriffen solche Einträge. Und sperrt die Nutzer von ihrer Wordpress-Installation aus.

Kann man das irgendwie feintunen?

[Tue Oct 26 05:58:55.734451 2021] [:error] [pid 3762892:tid 140422324303616] [client 80.138.154.31:54565] [client 80.138.154.31] ModSecurity: Access denied with code 403 (phase 2). detected SQLi using libinjection with fingerprint 'n&1' [file "/usr/local/pd-admin2/httpd-2.4/conf/coreruleset-current/rules/REQUEST-942-APPLICATION-ATTACK-SQLI.conf"] [line "65"] [id "942100"] [msg "SQL Injection Attack Detected via libinjection"] [data "Matched Data: n&1 found within REQUEST_COOKIES:super_session: e51722d7ed47f04f89549d213e409239||1635221170||1635220810"] [severity "CRITICAL"] [ver "OWASP_CRS/3.3.2"] [tag "application-multi"] [tag "language-multi"] [tag "platform-multi"] [tag "attack-sqli"] [tag "paranoia-level/1"] [tag "OWASP_CRS"] [tag "capec/1000/152/248/66"] [tag "PCI/6.5.2"] [hostname "www.xxxx.de"] [uri "/wp-admin/admin-ajax.php"] [unique_id "YXd8_1ajfXgpdtscR7mymAAEChI"], referer: https://www.xxxx.de/wp-admin/themes.php?page=avada_options
[Tue Oct 26 05:59:26.765206 2021] [:error] [pid 3762893:tid 140422223591168] [client 80.138.154.31:50211] [client 80.138.154.31] ModSecurity: Access denied with code 403 (phase 2). detected SQLi using libinjection with fingerprint 'n&1' [file "/usr/local/pd-admin2/httpd-2.4/conf/coreruleset-current/rules/REQUEST-942-APPLICATION-ATTACK-SQLI.conf"] [line "65"] [id "942100"] [msg "SQL Injection Attack Detected via libinjection"] [data "Matched Data: n&1 found within REQUEST_COOKIES:super_session: e51722d7ed47f04f89549d213e409239||1635221170||1635220810"] [severity "CRITICAL"] [ver "OWASP_CRS/3.3.2"] [tag "application-multi"] [tag "language-multi"] [tag "platform-multi"] [tag "attack-sqli"] [tag "paranoia-level/1"] [tag "OWASP_CRS"] [tag "capec/1000/152/248/66"] [tag "PCI/6.5.2"] [hostname "www.xxxx.de"] [uri "/wp-admin/admin-ajax.php"] [unique_id "YXd9Hr8R0hcBCUJM9XPFVAAEggY"], referer: https://www.xxxx.de/wp-admin/admin-ajax.php?action=wp_service_worker
[Tue Oct 26 06:00:56.745566 2021] [:error] [pid 3766392:tid 140422231983872] [client 80.138.154.31:53181] [client 80.138.154.31] ModSecurity: Access denied with code 403 (phase 2). detected SQLi using libinjection with fingerprint 'n&1' [file "/usr/local/pd-admin2/httpd-2.4/conf/coreruleset-current/rules/REQUEST-942-APPLICATION-ATTACK-SQLI.conf"] [line "65"] [id "942100"] [msg "SQL Injection Attack Detected via libinjection"] [data "Matched Data: n&1 found within REQUEST_COOKIES:super_session: e51722d7ed47f04f89549d213e409239||1635221170||1635220810"] [severity "CRITICAL"] [ver "OWASP_CRS/3.3.2"] [tag "application-multi"] [tag "language-multi"] [tag "platform-multi"] [tag "attack-sqli"] [tag "paranoia-level/1"] [tag "OWASP_CRS"] [tag "capec/1000/152/248/66"] [tag "PCI/6.5.2"] [hostname "www.xxxx.de"] [uri "/wp-admin/admin-ajax.php"] [unique_id "YXd9eHo3SZE2ch_ZSig-sAAFFwc"], referer: https://www.xxxx.de/wp-admin/themes.php?page=avada_options
[Tue Oct 26 06:01:27.737897 2021] [:error] [pid 3766418:tid 140422265554688] [client 80.138.154.31:52938] [client 80.138.154.31] ModSecurity: Access denied with code 403 (phase 2). detected SQLi using libinjection with fingerprint 'n&1' [file "/usr/local/pd-admin2/httpd-2.4/conf/coreruleset-current/rules/REQUEST-942-APPLICATION-ATTACK-SQLI.conf"] [line "65"] [id "942100"] [msg "SQL Injection Attack Detected via libinjection"] [data "Matched Data: n&1 found within REQUEST_COOKIES:super_session: e51722d7ed47f04f89549d213e409239||1635221170||1635220810"] [severity "CRITICAL"] [ver "OWASP_CRS/3.3.2"] [tag "application-multi"] [tag "language-multi"] [tag "platform-multi"] [tag "attack-sqli"] [tag "paranoia-level/1"] [tag "OWASP_CRS"] [tag "capec/1000/152/248/66"] [tag "PCI/6.5.2"] [hostname "www.xxxx.de"] [uri "/wp-admin/admin-ajax.php"] [unique_id "YXd9l9UaQV851W6PHbtAvQAFkgs"], referer: https://www.xxxx.de/wp-admin/admin-ajax.php?action=wp_service_worker

Ich hatte das Problem letzte Woche auch. Mit folgendem Workaround konnte ich mir behelfen:

Datei /usr/local/pd-admin2/etc/proftpd.conf die TLSProtokollzeile wie folgt geändert.

TLSProtocol TLSv1.2

Danach den proftpd dienst neu gestartet.

wurde mit PDA 4.87a eben behoben. Danke für das ultraschnelle Bugfix-Update! Klasse.

Nach dem Update sehen auf beiden geupdateten Server die Ergebnisse des nächtlichen letsencrypt-Jobs so aus:

/opt/pdadmin/bin/letsencrypt --all

Auf dem centos8 kam folgende komische Meldung beim PD-Admin Update.

SE vorher von 6-389 auf 6-391 war problemlos

Aendere Feld vhosts.id

Aendere Feld whitelist.id

mysql: [Warning] Using a password on the command line interface can be insecure.

mysql: [Warning] Using a password on the command line interface can be insecure.

mysql: [Warning] Using a password on the command line interface can be insecure.

mysql: [Warning] Using a password on the command line interface can be insecure.

mysql: [Warning] Using a password on the command line interface can be insecure.

mysql: [Warning] Using a password on the command line interface can be insecure.

mysql: [Warning] Using a password on the command line interface can be insecure.

mysql: [Warning] Using a password on the command line interface can be insecure.

mysql: [Warning] Using a password on the command line interface can be insecure.

mysql: [Warning] Using a password on the command line interface can be insecure.

Writing /usr/local/pd-admin2/conf/httpd.conf

Writing /usr/local/pd-admin2/httpd-2.4/conf/httpd.conf

webserver = <AP24>

Apache 24 is already selected

AP24: creating run-v2, symlinking to run

/usr/local/pd-admin2/httpd-2.4/bin/apachectl: line 79: 1432643 Killed $HTTPD -k $ARGV

Update erfolgreich.

Alle Dienste scheinen aber regulär gestartet zu sein.

Nachtrag:
im Verzeichnis /usr/local/pd-admin2/httpd-2.4/bin ist auf der maschine cur die apachectl drin, während auf anderen jede menge andere Dateien sind von ab bis suexec

Hatte nach dem Update auch keine Probleme den Apache zu erreichen. War aber das erste mal das bei einem PD-Admin Update das passiert ist. Ich hatte direkt vorher das letzte SE-Update gemacht und da gab es kein Problem. Sei es drum, scheint ja zu laufen.

Zitat

PID TTY STAT TIME COMMAND

9062 ? Sl 0:00 /usr/local/pd-admin2/httpd-2.4/bin/httpd -D NO_DETACH -DSSL

Das ist Debian11 beim Update von PDadmin 4.85_64 auf 4.86_64

....

Aendere Feld vhosts.id

Aendere Feld vhosts.php_sapi

Aendere Feld whitelist.id

mysql: [Warning] Using a password on the command line interface can be insecure.

mysql: [Warning] Using a password on the command line interface can be insecure.

mysql: [Warning] Using a password on the command line interface can be insecure.

mysql: [Warning] Using a password on the command line interface can be insecure.

mysql: [Warning] Using a password on the command line interface can be insecure.

mysql: [Warning] Using a password on the command line interface can be insecure.

mysql: [Warning] Using a password on the command line interface can be insecure.

mysql: [Warning] Using a password on the command line interface can be insecure.

mysql: [Warning] Using a password on the command line interface can be insecure.

ln: die symbolische Verknüpfung '/lib64/libssl.so.10' konnte nicht angelegt werden: Die Datei existiert bereits

ln: die symbolische Verknüpfung '/lib64/libcrypto.so.10' konnte nicht angelegt werden: Die Datei existiert bereits

mysql: [Warning] Using a password on the command line interface can be insecure.

mysql: [Warning] Using a password on the command line interface can be insecure.

Writing /usr/local/pd-admin2/conf/httpd.conf

Writing /usr/local/pd-admin2/httpd-2.4/conf/httpd.conf

webserver = <AP24>

Apache 24 is already selected

AP24: creating run-v2, symlinking to run

(98)Address already in use: AH00072: make_sock: could not bind to address [::]:80

(98)Address already in use: AH00072: make_sock: could not bind to address 0.0.0.0:80

no listening sockets available, shutting down

AH00015: Unable to open logs

httpd not running, trying to start

Update erfolgreich.

Ich habe nun versucht eine Datei mit folgendem Inhalt zu einem virtualhost-eintrag zu ergänzen, aber der unten stehen fehler meint das es zwei virtualhost-einträge gibt.

#httpd_vhost_module: incremental
<VirtualHost 178.63.xxx.xxx:443 2a01:4f8:121:yyyy:yyyy:yyyy:443 178.63.xxy.xxy:443>
ServerName dev-www.xxxxxxxxxx.de
<IfModule mod_proxy_http.c>
SSLProxyEngine on
RewriteEngine on
RewriteRule "^/test_test(.*)$" "https://module.kartenanbieter.tld/test_test$1" [P]
ProxyPassReverse "/test_test" "https://module.kartenanbieter.tld/test_test"
RewriteRule "^/_global(.*)$" "https://module.kartenanbieter.tld/_global$1" [P]
ProxyPassReverse "/_global" "https://module.kartenanbieter.tld/_global"
</IfModule>
</VirtualHost>

/opt/pdadmin/bin/httpd_vhosts.pl

Writing /usr/local/pd-admin2/conf/httpd.conf

Writing /usr/local/pd-admin2/httpd-2.4/conf/httpd.conf

webserver = <AP24>

Apache 24 is already selected

AH00526: Syntax error on line 476 of /usr/local/pd-admin2/httpd-2.4/conf/httpd.conf:

<VirtualHost> cannot occur within <VirtualHost> section

An welcher Stelle findet die Zuordnung zu einem bestimmten virtualhost-eintrag aus dem pdadmin statt?

An welcher Stelle muss denn die Konfigurationsvariable $httpd_vhost_module hinterlegt werden, die auf ein Script geht?

Ich würde zum Testen mal gerne eine TXT-Datei anlegen die die zusätzlichen Einstellungen hat und dann das Script die Textdatei mit cat auslesen lassen.