Update zu dem ESET-Post:
Der IT-Dienstleister des Kunden hat auf dem PC zusätzlich zum ESET auch noch einen AVAST gefunden. Und nach dessen Deaktivierung hat es dann auch wieder funktioniert. Bleibt also, zumindest bei uns, ein auf Avast zurückzuführendes Problem.
Beiträge von monderka
-
-
Heute haben wir einen ersten Fall eines Kunden der lt. Aussage seines ITlers ESET einsetzt.
Die Fehlermeldung ist aber die gleiche mit dem pobox.com 451.Hat das noch jemand?
-
Da ist was selbst gebautes. Danke für die Input, das hier der Referer manipuliert ist war mir trotz anstarren des Logs irgendwie nicht klar. Aber natürlich. Ich habe mal alles durchgeschaut, sehe zwar nicht wo das was abgeflossen ist, aber das da die usrdb-Datenbank mit im String steht sorgt mich schon, das muss ich unbedingt nochmal stärker prüfen wie das sein kann.
Danke wieder mal an das tolle Forum und die Hilfe.
-
Hallo,
ich wende mich heute mal an euch weil ich auf einigen meiner PD-Admin-System derzeit folgende und ähnliche Zugriffe sehe, ich ich aber nicht weiß die die vonstatten gehen, denn die normale URL wird ja regulär aufgerufen:
Beispiel-access-log eintrag:
/usr/local/pd-admin2/logs/access_log.1656822901:www.************.de 185.7.214.179 - - [03/Jul/2022:06:29:23 +0200] "GET /presse/presseartikel-PVC.html HTTP/1.1" 200 118 "https://www.***********.de:443/showpage.php' RLIKE (SELECT (CASE WHEN (ORD(MID((SELECT IFNULL(CAST(CHAR_LENGTH(target_email) AS NCHAR),0x20) FROM usrdb_********_***.tbl_****** ORDER BY target_email LIMIT 26,1),2,1))>9) THEN 0x68747470733a2f2f7777772e6665756572626163682d616b6164656d69652e64653a3434332f73686f77706167652e706870 ELSE 0x28 END)) AND 'etDS'='etDS" "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.8.1.17) Gecko/20080829 Firefox/2.0.0.17"
Wie wird denn da versucht der SQL-INJECTION-Code unterzuschieben? würde das gerne mal nachstellen um zu sehen ob da wirklich eine Gefahrt droht.
Das ärgerlich dabei ist das die damit aktuelle sehr viel traffic für nix erzeugen.
Vielleicht hat ja jemand eine Idee oder kann mir auf die sprünge helfen.
Manfred
-
Bei mir kommt da NIE nur eine Zeile raus. mindestens 2-3 Zeilen und immer auch " bypassed: SPF ok."
Deutet auch darauf hin das die Mails irgendwie durch kommen finde ich.
-
Erstmal danke für die Anleitung. Ich wollte das Thema nochmal aufgreifen wie ihr mit dem Wechsel von CentOS8 auf ein neues System umgegangen seit. Gibt es jemanden der auch auf CentOS Stream gewechselt ist und damit Erfahrungen mit PD-Admin gemacht hat. Oder ist es sinnvoller auf Alma zu wechseln? Wir haben einen einzigen CentOS8 Server und müssen uns da mal gedanken machen wie wir den sicher auf eine aktuelle Distribution bekommen.
-
Hallo,
bei mehreren SE-Updates und jetzt auch beim PD-Admin Update habe ich immer folgende Meldung:
Writing /usr/local/pd-admin2/conf/httpd.conf
Writing /usr/local/pd-admin2/httpd-2.4/conf/httpd.conf
webserver = <AP24>
Apache 24 is already selected
AP24: creating run-v2, symlinking to run
(98)Address already in use: AH00072: make_sock: could not bind to address [::]:80
(98)Address already in use: AH00072: make_sock: could not bind to address 0.0.0.0:80
no listening sockets available, shutting down
AH00015: Unable to open logs
httpd not running, trying to start
Danach fängt sich aber der apache irgendwie und wird doch gestartet.
In der httpd.conf finde ich aber keinen Hinweis auf die 0.0.0.0 Adresse.
Habt ihr eine Idee woher das kommt?
Nachtrag: das hier ist im readproc zu sehen: (das System ist hier noch debian9)
grep readproc
567 ? S 0:09 readproctitle service errors: ...ort enabled. ELF support enabled. Mail files support enabled. OLE2 support enabled. PDF support enabled. SWF support enabled. HTML support enabled. XMLDOCS support enabled. HWP3 support enabled. Self checking every 600 seconds. ./run: line 12: test: : integer expression expected httpd: no process found rm: cannot remove '/usr/local/pd-admin2/httpd-2.4/logs/httpd.pid': No such file or directory
viele Grüße
Manfred
-
Eben ist auf heise eine neue linux-Lücke benannt:
Root-Zugriff unter Linux durch Polkit-LückeSicherheitsforscher haben eine Schwachstelle in Polkit entdeckt, die Rechteausweitung ermöglicht. Für viele Distributionen sind bereits Patches verfügbar.www.heise.dekomischerweise existiert bei allen unseren PD-Admin-System die pkexec nur auf CentOS8.1. Alle Debian-Systeme haben die Datei gar nicht.
Wie ist das bei euch?
-
PDA: v4.83_64
SE: 4-0.395
Seit langem habe ich mir mal wieder eine awstats Statistik angeschaut weil ein Kunde meinte ob man auch mehr als den aktuellen Monat anschauen kann.
Irgendwie ist da aber keine awstats.conf Datei mehr drin und in /opt/pdadmin/etc ist ein master für Version 5.5
Alte awstats hatten auch einen CGI iframe, aber das ist da auch anders.
Wie kann man denn wieder mehr zuschalten als den aktuellen Monat?
viele Grüße
Manfred
-
Im Error stehen bei Wordpress-Update oder Zugriffen solche Einträge. Und sperrt die Nutzer von ihrer Wordpress-Installation aus.
Kann man das irgendwie feintunen?
Code[Tue Oct 26 05:58:55.734451 2021] [:error] [pid 3762892:tid 140422324303616] [client 80.138.154.31:54565] [client 80.138.154.31] ModSecurity: Access denied with code 403 (phase 2). detected SQLi using libinjection with fingerprint 'n&1' [file "/usr/local/pd-admin2/httpd-2.4/conf/coreruleset-current/rules/REQUEST-942-APPLICATION-ATTACK-SQLI.conf"] [line "65"] [id "942100"] [msg "SQL Injection Attack Detected via libinjection"] [data "Matched Data: n&1 found within REQUEST_COOKIES:super_session: e51722d7ed47f04f89549d213e409239||1635221170||1635220810"] [severity "CRITICAL"] [ver "OWASP_CRS/3.3.2"] [tag "application-multi"] [tag "language-multi"] [tag "platform-multi"] [tag "attack-sqli"] [tag "paranoia-level/1"] [tag "OWASP_CRS"] [tag "capec/1000/152/248/66"] [tag "PCI/6.5.2"] [hostname "www.xxxx.de"] [uri "/wp-admin/admin-ajax.php"] [unique_id "YXd8_1ajfXgpdtscR7mymAAEChI"], referer: https://www.xxxx.de/wp-admin/themes.php?page=avada_options [Tue Oct 26 05:59:26.765206 2021] [:error] [pid 3762893:tid 140422223591168] [client 80.138.154.31:50211] [client 80.138.154.31] ModSecurity: Access denied with code 403 (phase 2). detected SQLi using libinjection with fingerprint 'n&1' [file "/usr/local/pd-admin2/httpd-2.4/conf/coreruleset-current/rules/REQUEST-942-APPLICATION-ATTACK-SQLI.conf"] [line "65"] [id "942100"] [msg "SQL Injection Attack Detected via libinjection"] [data "Matched Data: n&1 found within REQUEST_COOKIES:super_session: e51722d7ed47f04f89549d213e409239||1635221170||1635220810"] [severity "CRITICAL"] [ver "OWASP_CRS/3.3.2"] [tag "application-multi"] [tag "language-multi"] [tag "platform-multi"] [tag "attack-sqli"] [tag "paranoia-level/1"] [tag "OWASP_CRS"] [tag "capec/1000/152/248/66"] [tag "PCI/6.5.2"] [hostname "www.xxxx.de"] [uri "/wp-admin/admin-ajax.php"] [unique_id "YXd9Hr8R0hcBCUJM9XPFVAAEggY"], referer: https://www.xxxx.de/wp-admin/admin-ajax.php?action=wp_service_worker [Tue Oct 26 06:00:56.745566 2021] [:error] [pid 3766392:tid 140422231983872] [client 80.138.154.31:53181] [client 80.138.154.31] ModSecurity: Access denied with code 403 (phase 2). detected SQLi using libinjection with fingerprint 'n&1' [file "/usr/local/pd-admin2/httpd-2.4/conf/coreruleset-current/rules/REQUEST-942-APPLICATION-ATTACK-SQLI.conf"] [line "65"] [id "942100"] [msg "SQL Injection Attack Detected via libinjection"] [data "Matched Data: n&1 found within REQUEST_COOKIES:super_session: e51722d7ed47f04f89549d213e409239||1635221170||1635220810"] [severity "CRITICAL"] [ver "OWASP_CRS/3.3.2"] [tag "application-multi"] [tag "language-multi"] [tag "platform-multi"] [tag "attack-sqli"] [tag "paranoia-level/1"] [tag "OWASP_CRS"] [tag "capec/1000/152/248/66"] [tag "PCI/6.5.2"] [hostname "www.xxxx.de"] [uri "/wp-admin/admin-ajax.php"] [unique_id "YXd9eHo3SZE2ch_ZSig-sAAFFwc"], referer: https://www.xxxx.de/wp-admin/themes.php?page=avada_options [Tue Oct 26 06:01:27.737897 2021] [:error] [pid 3766418:tid 140422265554688] [client 80.138.154.31:52938] [client 80.138.154.31] ModSecurity: Access denied with code 403 (phase 2). detected SQLi using libinjection with fingerprint 'n&1' [file "/usr/local/pd-admin2/httpd-2.4/conf/coreruleset-current/rules/REQUEST-942-APPLICATION-ATTACK-SQLI.conf"] [line "65"] [id "942100"] [msg "SQL Injection Attack Detected via libinjection"] [data "Matched Data: n&1 found within REQUEST_COOKIES:super_session: e51722d7ed47f04f89549d213e409239||1635221170||1635220810"] [severity "CRITICAL"] [ver "OWASP_CRS/3.3.2"] [tag "application-multi"] [tag "language-multi"] [tag "platform-multi"] [tag "attack-sqli"] [tag "paranoia-level/1"] [tag "OWASP_CRS"] [tag "capec/1000/152/248/66"] [tag "PCI/6.5.2"] [hostname "www.xxxx.de"] [uri "/wp-admin/admin-ajax.php"] [unique_id "YXd9l9UaQV851W6PHbtAvQAFkgs"], referer: https://www.xxxx.de/wp-admin/admin-ajax.php?action=wp_service_worker -
Ich hatte das Problem letzte Woche auch. Mit folgendem Workaround konnte ich mir behelfen:
Datei /usr/local/pd-admin2/etc/proftpd.conf die TLSProtokollzeile wie folgt geändert.
TLSProtocol TLSv1.2
Danach den proftpd dienst neu gestartet.
-
wurde mit PDA 4.87a eben behoben. Danke für das ultraschnelle Bugfix-Update! Klasse.
-
Nach dem Update sehen auf beiden geupdateten Server die Ergebnisse des nächtlichen letsencrypt-Jobs so aus:
/opt/pdadmin/bin/letsencrypt --all
PLEASE SEE THE PERL2EXE USER MANUAL UNDER "Can't locate somemodule.pm in @INC"
FOR AN EXPLANATION OF THE FOLLOWING MESSAGE:
Can't locate Tie/Hash/NamedCapture.pm in @INC (@INC contains: /opt/pdadmin/lib PERL2EXE_STORAGE /opt/pdadmin/bin) at PERL2EXE_STORAGE/English.pm line 148.
BEGIN failed--compilation aborted at PERL2EXE_STORAGE/English.pm line 148.
Compilation failed in require at PERL2EXE_STORAGE/ConsolidatedAdminAndCustomerCode.pm line 14.
BEGIN failed--compilation aborted at PERL2EXE_STORAGE/ConsolidatedAdminAndCustomerCode.pm line 14.
Compilation failed in require at /opt/pdadmin/bin/letsencrypt line 14.
BEGIN failed--compilation aborted at /opt/pdadmin/bin/letsencrypt line 14. -
Auf dem centos8 kam folgende komische Meldung beim PD-Admin Update.
SE vorher von 6-389 auf 6-391 war problemlos
Aendere Feld vhosts.id
Aendere Feld whitelist.id
mysql: [Warning] Using a password on the command line interface can be insecure.
mysql: [Warning] Using a password on the command line interface can be insecure.
mysql: [Warning] Using a password on the command line interface can be insecure.
mysql: [Warning] Using a password on the command line interface can be insecure.
mysql: [Warning] Using a password on the command line interface can be insecure.
mysql: [Warning] Using a password on the command line interface can be insecure.
mysql: [Warning] Using a password on the command line interface can be insecure.
mysql: [Warning] Using a password on the command line interface can be insecure.
mysql: [Warning] Using a password on the command line interface can be insecure.
mysql: [Warning] Using a password on the command line interface can be insecure.
Writing /usr/local/pd-admin2/conf/httpd.conf
Writing /usr/local/pd-admin2/httpd-2.4/conf/httpd.conf
webserver = <AP24>
Apache 24 is already selected
AP24: creating run-v2, symlinking to run
/usr/local/pd-admin2/httpd-2.4/bin/apachectl: line 79: 1432643 Killed $HTTPD -k $ARGV
Update erfolgreich.
Alle Dienste scheinen aber regulär gestartet zu sein.
Nachtrag:
im Verzeichnis /usr/local/pd-admin2/httpd-2.4/bin ist auf der maschine cur die apachectl drin, während auf anderen jede menge andere Dateien sind von ab bis suexec -
Hatte nach dem Update auch keine Probleme den Apache zu erreichen. War aber das erste mal das bei einem PD-Admin Update das passiert ist. Ich hatte direkt vorher das letzte SE-Update gemacht und da gab es kein Problem. Sei es drum, scheint ja zu laufen.
ZitatPID TTY STAT TIME COMMAND
9062 ? Sl 0:00 /usr/local/pd-admin2/httpd-2.4/bin/httpd -D NO_DETACH -DSSL
-
Das ist Debian11 beim Update von PDadmin 4.85_64 auf 4.86_64
....
Aendere Feld vhosts.id
Aendere Feld vhosts.php_sapi
Aendere Feld whitelist.id
mysql: [Warning] Using a password on the command line interface can be insecure.
mysql: [Warning] Using a password on the command line interface can be insecure.
mysql: [Warning] Using a password on the command line interface can be insecure.
mysql: [Warning] Using a password on the command line interface can be insecure.
mysql: [Warning] Using a password on the command line interface can be insecure.
mysql: [Warning] Using a password on the command line interface can be insecure.
mysql: [Warning] Using a password on the command line interface can be insecure.
mysql: [Warning] Using a password on the command line interface can be insecure.
mysql: [Warning] Using a password on the command line interface can be insecure.
ln: die symbolische Verknüpfung '/lib64/libssl.so.10' konnte nicht angelegt werden: Die Datei existiert bereits
ln: die symbolische Verknüpfung '/lib64/libcrypto.so.10' konnte nicht angelegt werden: Die Datei existiert bereits
mysql: [Warning] Using a password on the command line interface can be insecure.
mysql: [Warning] Using a password on the command line interface can be insecure.
Writing /usr/local/pd-admin2/conf/httpd.conf
Writing /usr/local/pd-admin2/httpd-2.4/conf/httpd.conf
webserver = <AP24>
Apache 24 is already selected
AP24: creating run-v2, symlinking to run
(98)Address already in use: AH00072: make_sock: could not bind to address [::]:80
(98)Address already in use: AH00072: make_sock: could not bind to address 0.0.0.0:80
no listening sockets available, shutting down
AH00015: Unable to open logs
httpd not running, trying to start
Update erfolgreich.
-
Ich habe nun versucht eine Datei mit folgendem Inhalt zu einem virtualhost-eintrag zu ergänzen, aber der unten stehen fehler meint das es zwei virtualhost-einträge gibt.
Apache Configuration
Alles anzeigen#httpd_vhost_module: incremental <VirtualHost 178.63.xxx.xxx:443 2a01:4f8:121:yyyy:yyyy:yyyy:443 178.63.xxy.xxy:443> ServerName dev-www.xxxxxxxxxx.de <IfModule mod_proxy_http.c> SSLProxyEngine on RewriteEngine on RewriteRule "^/test_test(.*)$" "https://module.kartenanbieter.tld/test_test$1" [P] ProxyPassReverse "/test_test" "https://module.kartenanbieter.tld/test_test" RewriteRule "^/_global(.*)$" "https://module.kartenanbieter.tld/_global$1" [P] ProxyPassReverse "/_global" "https://module.kartenanbieter.tld/_global" </IfModule> </VirtualHost>/opt/pdadmin/bin/httpd_vhosts.pl
Writing /usr/local/pd-admin2/conf/httpd.conf
Writing /usr/local/pd-admin2/httpd-2.4/conf/httpd.conf
webserver = <AP24>
Apache 24 is already selected
AH00526: Syntax error on line 476 of /usr/local/pd-admin2/httpd-2.4/conf/httpd.conf:
<VirtualHost> cannot occur within <VirtualHost> section
An welcher Stelle findet die Zuordnung zu einem bestimmten virtualhost-eintrag aus dem pdadmin statt?
-
An welcher Stelle muss denn die Konfigurationsvariable $httpd_vhost_module hinterlegt werden, die auf ein Script geht?
Ich würde zum Testen mal gerne eine TXT-Datei anlegen die die zusätzlichen Einstellungen hat und dann das Script die Textdatei mit cat auslesen lassen.
-
wow, hat das jemand schon mal probiert. Das wäre ja dann auch eine Lösung für die von mir gewünschte unterverzeichnis-Reverse-Proxy-Frage.
-
Hallo Michael,
das habe ich auch auf einer Maschine die noch unter Debian5 läuft und bis zur Migration aller Kunden noch am Netz bleiben muss. Ich löse das derzeit so das ich auf einem anderen Linuxsystem, kein PD-Admin Server, folgende Schritte mache:
1) wget --debug -O /opt/pdadmin/license.conf.neu "http://www.pd-admin.de/license/?action=get_licence&name=pd-admin-4&IP_ADDR=xxx.xxx.xxx.xxx"
2) grep -q "LICENSE PRODUCT: pd-admin" /opt/pdadmin/license.conf.neu && mv /opt/pdadmin/license.conf.neu /opt/pdadmin/license.conf
3) license.conf auf den PD-Admin Server kopiere
Das hält dann immer einen Monat.
Ich werde die Maschine zum Jahresende fertig migriert haben, aber solange muss dieser Workaround herhalten.