rdombach
Avatar rdombach
Themenersteller
Security-Admin
Content Halbgott (608 Beiträge)

Jommla - SEP-Attack

am 01.12.2012, 16:01 Uhr eröffnete rdombach folgenden Thread
Sicherheit    1719 mal gelesen    6 Antwort(en).

Hallo alle miteinander,

auf SUCURI gibt es einen interessanteen (englischsprachigen) Artikel zum Thema SEP bei/mit Jommla. Gutes Lesevergnügen!

Mit besten Grüße
Ralph

blog.sucuri.net/2012/11/website-malware-joomla-sep-attack-pharma-injection.html


Bitte nicht vergessen, Virenscanner und Co. zu aktualisieren!
SecuTipp: GRATIS Security-Informationen für die eigene Webseite und [url="http://twitter.com/secuteach"][img]http://w

romacron
JDev Xer
Content Gott (1224 Beiträge)
am 02.12.2012, 03:02 Uhr schrieb romacron

Hallo Ralph,

nach mehrmaligem Lesen habe ich nicht verstanden was der Autor damit sagen möchte.
Kannst du das ggf. erläutern?


rdombach
Avatar rdombach
Security-Admin
Content Halbgott (608 Beiträge)
am 02.12.2012, 18:46 Uhr schrieb rdombach

Hallo Roman,

grins - Du hast recht, die eigentliche Nachricht ist nicht leicht zu verstehen!! Der Autor ist zwar ein guter Techniker, aber nicht unbedingt ein verständlicher Schreiber.

Prinzipiell geht es ihm darum, dasss bei Joomla (und ich vermute auch bei vielen anderen Content-Management-Systemen), man nicht umhin kommt, gewisse Codesegmente einzubinden und sich auf Subprozesse zu verlassen.

Ãœber einem @include wird eiene Datei eingebunden, die harmlos aussieht aber dern Inhalt es nicht ist und Schadscode enthält. Bemerkenswert dabei, das die Ablage des Codes nicht in der unmittelbaren Root-Umgebung ist, sondern in einem "normalerwese" unsichtbaren Folder (bzw. einem der ausgeblendet wird).

Die nicht eplizit ausgesproche Empfehlung, so wie ich es interpretiere, wäre:

1. Schau Dir an, was Du einbindest
2. Achte darauf, das Du ALLE Files & Foldes siehst
3. Sei ein klein wenig paranoid

Beste Grüße
Ralph

PS: Wobei ein "netter Effekt" der ist, dass der Code wohl erst durch eine bestimmte Aktion ausgelöst wird (zweimaliges aktivieren) - das bedeutet, ein Malware-Scanner wird das Teil u.U. nie entdecken, aber der User, der ggf. (wild) klickt, aktiviert einen Schadcode und wird selbst infiziert. Clevere Ttechnik!


Bitte nicht vergessen, Virenscanner und Co. zu aktualisieren!
SecuTipp: GRATIS Security-Informationen für die eigene Webseite und [url="http://twitter.com/secuteach"][img]http://w

webart_workers
Avatar webart_workers
Mediengestalter
Content Halbgott (512 Beiträge)
am 03.12.2012, 07:01 Uhr schrieb webart_workers

@Ralph: ..erwischt..:haha:..Volltreffer!

Das Strafmaß wär interessant zu wissen..


Joomla Webdesign Freiburg, Lörrach, Basel - SEO/SEM - Support - Security - Schulungen: webart-workers | joomla services
Joomla Portfolio: [url="http://www.webart-workers.de/portfolio/webdesi

RAdietrich
Avatar RAdietrich
Beginner (20 Beiträge)
am 03.12.2012, 20:38 Uhr schrieb RAdietrich

webart_workers schrieb:

Das Strafmaß wär interessant zu wissen..



Je nach dem, was mit dem Code angestellt wird.

Wenn Daten ausgespäht werden: § 202a StGB bis zu drei Jahre oder Geldstrafe oder § 202b StGB bis zu zwei Jahre oder Geldstrafe. Es kann auch eine Sachbeschädigung sein, § 303 StGB bis zu zwei Jahre oder Geldstrafe. Das installieren des Codes: § 202c StGB bis zu einem Jahr oder Geldstrafe. Wenn dann erspähte Daten verwendet werden, kommt ein Betrug in Betracht § 263 StGB, bis zu 5 Jahre Freiheitsstrafe oder Geldstrafe. Für den Fall der erwerbsmäßigkeit, sechs Monate bis zehn Jahre.

Daneben kommen für den Betroffenen Schadensersatzansprüche wegen Eingriffs in den eingerichteten und ausgeübten Gewerbebetrieb in Betracht, § 823 BGB i.V.m. mit der entprechenden Strafvorschrift, wenn eine gewerbliche Seite oder ein gewerblicher Rechner betroffen sind. Es gibt auch einen Unterlassungsanspruch nach § 1007 BGB analog.


Webaffin und SEO interessiert.

webart_workers
Avatar webart_workers
Mediengestalter
Content Halbgott (512 Beiträge)
am 05.12.2012, 08:43 Uhr schrieb webart_workers

hallo RAdietrich,
da kommt ja ganz schön was zusammen..

RAdietrich schrieb:

... Das installieren des Codes: § 202c StGB bis zu einem Jahr ...



ist das gleichbedeutend mit dem unerlaubten Zugriff auf den Server und/oder Datenbank?


Joomla Webdesign Freiburg, Lörrach, Basel - SEO/SEM - Support - Security - Schulungen: webart-workers | joomla services
Joomla Portfolio: [url="http://www.webart-workers.de/portfolio/webdesi

webart_workers
Avatar webart_workers
Mediengestalter
Content Halbgott (512 Beiträge)
am 15.02.2013, 08:53 Uhr schrieb webart_workers

Backdoor:PHP/WebShell.A ist nun gedockt.

IP, Einwahlknoten ermittelt
+ Strafanzeige gestellt, die Kavallerie hat sehr gute Tools!


Joomla Webdesign Freiburg, Lörrach, Basel - SEO/SEM - Support - Security - Schulungen: webart-workers | joomla services
Joomla Portfolio: [url="http://www.webart-workers.de/portfolio/webdesi

  • 1


« zurück zu: Sicherheit

Das Seitenreport Forum hat aktuell 5276 Themen und 36111 Beiträge.
Insgesamt sind 48364 Mitglieder registriert.