neitzelsecuweb
Avatar neitzelsecuweb
Themenersteller
Content Meister (278 Beiträge)

Backdoor

am 09.05.2010, 10:26 Uhr eröffnete neitzelsecuweb folgenden Thread
Sicherheitslücken    7543 mal gelesen    21 Antwort(en).

Guten Morgen an alle!

Ich hatte ein kleines Backdoorproblem und bin mir nicht sicher ob die Vergangenheitsform korrekt ist.

Ich nutze gerne Joomla als CMS. - Ich mache eignetlich regelmäßig die Updates, manchmal mit 2-3 Tagen Delay, weil ich nicht immer alles sofort mitbekomme.
Es wurden einige Domains auf meinem Accoubt leergeräumt und ich habe eine default.php im rootverzeichnis entdeckt, die dort nichts zu suchen hat. - Beim FTP-Download hat mein Virenscanner sofort Alarmgeschlagen und mit mitgeteilt dass es sich um ein Backdoorscript (PHP/C99shell.E) hadelt.
Was amit angestellt werden kann ist mir jetzt so in groben zügen klar.
Nachdem ich die default.php gelöscht hatte, konnte auch mein Hoster keine verdächtigen Dateien mehr sacennen. - Ich habe alle daten heruntergeladen und gesacennt - die scheinen sauber zu sein.
Mein Hoster hat mir eine Intrusiondetection angeboten, die sich aber noch im Beta-Stadium befindet. - Das werde ich natürlich annehmen.
Ich habe übrigens einen ganz normalen Webspace. - Keinen Rootzugriff, keinen eigen Server oder V-Server. Ich glaube aber das ich alle möglichkeiten habe, die man innerhalb eines webaccounts haben kann (Professional Large bei Artfiles).

Nun meine Fragen:
1. Habt Ihr Erfahrungen mit Backdoors?
2. Glaubt Ihr, dass die Sache bei mir damit behoben ist?
3. Was kann man aktiv dagegen tun ohne die Funtionalität einzuschränken und ohne ständig "Sicherheitsstress" zu haben?
4. Gibt es einen Scanner, mit dem ich meinen Webspace selbst durchluchten kann?

Ich würde mich über Eure Erfahrungen, Tips und Hilfe sehr freuen!

Viele Grüße,

Gabriel


G.K. Neitzel
Webdesign, Joomla Websites, Magento Onlineshops und Suchmaschinenoptimierung


gelöschter Benutzer
am 09.05.2010, 10:39 Uhr schrieb

Hallo Gabriel!

Ich habe z. B. das Admin-Verzeichnis meines Joomlas mit einer Extra-htaccess geschützt.

Dann habe ich noch eine Komponente namens eysite installiert, welche Veränderungen an den Dateien überwacht / überwachen soll.

Das sind so im ganz groben meine Schutzmassnahmen, die ich als Laie verwende.

Gruß

Marcus


romacron
JDev Xer
Content Gott (1224 Beiträge)
am 09.05.2010, 10:45 Uhr schrieb romacron

Mein Mitgefühl!

Das mit der Sicherheit ist immer so ne Sache. Solange Du nicht weisst wie die "Evil-File" auf deinen Webspace gelangt ist, kann man es nicht genau sagen.

Dein Hoster sollte auf jeden Fall die Server-Logbücher durchblättern, und schauen wie das passieren konnte. Mit "löschen" abgespeist zu werden, das langt nicht!!!

Auf jeden Fall nachhaken, das passiert sonst wieder. Sollte der Hägga Deinen Post lesen, fährt er am Wochenende gleich noch mal ne Extrarunde über deinen Server.


neitzelsecuweb
Avatar neitzelsecuweb
Content Meister (278 Beiträge)
am 09.05.2010, 11:03 Uhr schrieb neitzelsecuweb

Hallo,

vielen Dank für Euer Feedback und Mitgefühl!

Die Datei la im Rootverzeichnis und das ist eigentlich schon via .htaccess geschützt - soweit man das sagen kann. - Mit dieser Backdoor hat man zugriff auf den ganzen Account, egal auf welchen Webspace und was für dateien herumlungern. - Es wurden konkret einfach Dateien gelöscht. - drei Komplette Webspaces und einer zur Hälfte, weil ich sozusagen den Vorgang bemerkt habe. - Ich habe dann selbst den rest gelöscht.

Die Löschung der Datei habe ich selbst vorgebommen. - Der Hoster hat die Logfiles durchgesehen und nichts auffälliges bemerkt. - Es kann wohl ein zugriff via ftp aufgeschlossen werden. - Vermutlich wurde eien sicherheitslück von Joomla ausgenutzt.

Die Extre-Runde kann er haben, ich habe alles gesichert und kann also auch alles wieder hochladen. - Ãœbrigens war die Datenbank nicht betroffen.

Was kann ich sonst aktiv tun??? - Ich will mich auch nicht auf den Hoster verlassen. - Es ist für mich kein erhöhtes Sicherheitsgefühl mich auf jemanden verlassen zu müssen.

Ich schau\' mir auf jeden Fall mal Eyesite an. - Vielen dank für den Tip!

Viele Grüße,

Gabriel


G.K. Neitzel
Webdesign, Joomla Websites, Magento Onlineshops und Suchmaschinenoptimierung

romacron
JDev Xer
Content Gott (1224 Beiträge)
am 09.05.2010, 11:24 Uhr schrieb romacron

Hallo Gabriel,

Wie Du schilderst, sind mehrere Accounts(von anderen Usern ebenso) betroffen.
Ich verstehe das so, als wenn der Hägga eine offene Tür gefunden hat und locker Flockig auf dem Server spazieren gegangen ist.
Ohne da Deinen Hoster in Misskredit bringen zu wollen, FTP ist das Eine. Andere Methoden sind ganz simpel via Http als normaler Upload.

Wenn der Angriff auf einen anderen Account zielte und sich der Bösewicht von Account zu Account hangelte kann die .htaccess nicht helfen.

Joomla Standartsicherheit.: nach der Installation einen weiteren Superadmin anlegen. Benutzername für den 2. Super Admin "x23Rqx", also Passwortähnlich.
1. Superadmin löschen.

Für das Verzeichnis /administrator eine extra .htaccess mit Passwort anlegen, so kommt man ohne PW schwer an das Admin-Login.

Alle Dateien dem Recht "0644" ausstatten(geht prima mit Filezilla).

Joomla-Teile über das Backend installieren. Am besten mit dem FTP-Layer. Nach der Installation einer Komponente. Den Layer abschalten und auch kein Passwort speichern.

über die Standart .htaccess den Aufruf von xml Dateien über den Browser verhindern. Hat nen Hägga wissen von einer anfälligen Komponente muss er nur die .xml suchen und weiß ob es sich bei Dir lohnt.

docs.joomla.org/Category:Security_Checklist //docs.joomla.org ist immer ein Besuch wert
developer.joomla.org/security.html // Dort sind fehlerhaft gemeldete Komponenten gelistet. Garantiert lesen diese Seite auch die Häggas.

www.jgerman.de/faq/joomla-sicherheit/


klaus_b
Avatar klaus_b
Er ernährt mich ;-)
Content Meister (328 Beiträge)
am 09.05.2010, 12:46 Uhr schrieb klaus_b

Hallo Gabriel,

was mich an den bisherigen geschilderten Erkenntnissen stutzig macht, ist dass keine gesicherte Aussage getroffen werden kann woher der Angriff erfolgte.
Den Bisherigen Aussagen entnehme ich, dass vermutlich der Zugang eines anderen Accounts auf dem selben Server gebrochen wurde. Wenn sich der Eindringling dann via Directoty Traversal durch den Server hangeln kann, läuft in der Security Konfiguration deines Hosters einiges falsch. Wenn dem so ist und die Verzeichnisrechte so lasch gesetzt sind, würde ich meine Konsequenzen ziehen und mich von diesem Anbieter trennen.
Es kann nicht sein, dass ein missbrauchter Benutzeraccount das Recht hat, seinen Verzeichnisbereich zu verlassen. Wenn gesichert werden kann, dass der Angriff auf diesem Wege erfolgte, ist das kein Angriff mehr sondern eine Einladung.

Just my 2 cents.

Servus,
Klaus


klaus_b@.NET über alles was an .NET und C# Spass macht.

neitzelsecuweb
Avatar neitzelsecuweb
Content Meister (278 Beiträge)
am 09.05.2010, 13:09 Uhr schrieb neitzelsecuweb

Hallo,

vielen Dank für Euer Feedback!

Bezüglich des Ausmaßes habe ich mich wohl missverständlich ausgedrückt. - Es betrifft nur meinen Account. - Auf diesem Account habe ich mehrere Domains.
Die "böse" Datei lag im root-Verzeichnis einer Domain von mir und hat von da aus auf die Rootverzeichnisse drei weiterer Domains von mir zugegriffen.

Mit dieser Backdoor konnte/kann man also nur auf meinem Account spazieren gehen, aber auf allen Verzeichnissen innerhalb des Acounts.

Die Security des Servers funktioniert soweit offensichtlich.

Ich nehme auch an, dass der Zugriff via http erfolgte und ine Lück in Joomla ausgenutzt hat.

Ich glaube nicht dass irgendein Passwort dafür von nöten war oder sonst etwas. - Ich glaube auch nicht, das eine andere Rechteeinstellung, denn mit dem Script konnte alles gemacht werden, selbst komplette www-Verzeichnisse löschen, die ich über den ftp-client nicht löschen kann... - Wenn man die "böse" Datei selbst aufgerufen hat (habe ich zum Spaß ausprobiert) konnte man sich über ein Passwort einloggen... - Witzig!!!!!

Ich werde Eure Tips beherzigen und freue mich übr weiteres Feedback!

Viele Grüße,

Gabriel


G.K. Neitzel
Webdesign, Joomla Websites, Magento Onlineshops und Suchmaschinenoptimierung

UFOMelkor
Avatar UFOMelkor
Student
Content Meister (350 Beiträge)
am 09.05.2010, 13:56 Uhr schrieb UFOMelkor

Hast du die Möglichkeit, dir die Server-Logs selbst anzuschauen? Es lohnt sich manchmal, dort nach verdächtigen Aufrufen zu suchen.
Wie sieht die PHP-Einstellung register_globals aus?


Naturkosmetik in Bochum

Steppenhahn Ultramarathon-Community

neitzelsecuweb
Avatar neitzelsecuweb
Content Meister (278 Beiträge)
am 09.05.2010, 14:31 Uhr schrieb neitzelsecuweb

UFOMelkor schrieb:

Hast du die Möglichkeit, dir die Server-Logs selbst anzuschauen? Es lohnt sich manchmal, dort nach verdächtigen Aufrufen zu suchen.
Wie sieht die PHP-Einstellung register_globals aus?



Hallo Oskar,

ich hab Zugriff auf die Access Logs auf meinem Account. - Allerdings nur für die letzten 10 Tage. - Da habe ich nichts auffälliges festgestellt.

Und die Einstellung is "Register-Globals: An "

Viele Grüße,

Gabriel


G.K. Neitzel
Webdesign, Joomla Websites, Magento Onlineshops und Suchmaschinenoptimierung

UFOMelkor
Avatar UFOMelkor
Student
Content Meister (350 Beiträge)
am 09.05.2010, 14:53 Uhr schrieb UFOMelkor

Hast du eine Möglichkeit, register_globals auf Off zu setzen?
Register_globals sind eine der einfachsten Möglichkeiten, sich in ein fremdes System einzuhacken.
Ich hatte vor kurzem selbst einen Angriff auf eine veraltete Software die die register_globals emuliert hat, es war jede Menge Arbeit diese Lücke zu schließen und die Schäden zu reparieren.

Hier findest du noch eine Erklärung zu den register_globals und warum Sie so gefährlich sind:
http://www.webmasterpro.de/coding/article/php-sicherheit-register-globals.html


Naturkosmetik in Bochum

Steppenhahn Ultramarathon-Community

neitzelsecuweb
Avatar neitzelsecuweb
Content Meister (278 Beiträge)
am 09.05.2010, 15:43 Uhr schrieb neitzelsecuweb

Hallo Oskar,

vielen Dank für den Hinweis! - Daran hatte ich gar nicht gadacht!!!!!

Ich habe glaueb ich keine direkten Zugriff auf die php.ini - ich muss mal schauen. - Ansonsten wird das mein Hoster für mich machen. - Ich denke das ist kein Problem.

----------------------
Nachtrag - ich bin sooo blöd!

Natürlich ist das mit der php.ini kein Problem! - regiaster-globals ist jetzt "off"!

Weitere Maßnahmen werden zudem ergriffen! - Ich denke ich bekomm ds schon wieder Safe!

Viele Grüße,

Gabriel


G.K. Neitzel
Webdesign, Joomla Websites, Magento Onlineshops und Suchmaschinenoptimierung



« zurück zu: Sicherheitslücken

Das Seitenreport Forum hat aktuell 5267 Themen und 36089 Beiträge.
Insgesamt sind 48167 Mitglieder registriert.