Backdoor

Hallo Gabriel!

Ich habe z. B. das Admin-Verzeichnis meines Joomlas mit einer Extra-htaccess geschützt.

Dann habe ich noch eine Komponente namens eysite installiert, welche Veränderungen an den Dateien überwacht / überwachen soll.

Das sind so im ganz groben meine Schutzmassnahmen, die ich als Laie verwende.

Gruß

Marcus

Mein Mitgefühl!

Das mit der Sicherheit ist immer so ne Sache. Solange Du nicht weisst wie die "Evil-File" auf deinen Webspace gelangt ist, kann man es nicht genau sagen.

Dein Hoster sollte auf jeden Fall die Server-Logbücher durchblättern, und schauen wie das passieren konnte. Mit "löschen" abgespeist zu werden, das langt nicht!!!

Auf jeden Fall nachhaken, das passiert sonst wieder. Sollte der Hägga Deinen Post lesen, fährt er am Wochenende gleich noch mal ne Extrarunde über deinen Server.

Hallo,

vielen Dank für Euer Feedback und Mitgefühl!

Die Datei la im Rootverzeichnis und das ist eigentlich schon via .htaccess geschützt - soweit man das sagen kann. - Mit dieser Backdoor hat man zugriff auf den ganzen Account, egal auf welchen Webspace und was für dateien herumlungern. - Es wurden konkret einfach Dateien gelöscht. - drei Komplette Webspaces und einer zur Hälfte, weil ich sozusagen den Vorgang bemerkt habe. - Ich habe dann selbst den rest gelöscht.

Die Löschung der Datei habe ich selbst vorgebommen. - Der Hoster hat die Logfiles durchgesehen und nichts auffälliges bemerkt. - Es kann wohl ein zugriff via ftp aufgeschlossen werden. - Vermutlich wurde eien sicherheitslück von Joomla ausgenutzt.

Die Extre-Runde kann er haben, ich habe alles gesichert und kann also auch alles wieder hochladen. - Ãœbrigens war die Datenbank nicht betroffen.

Was kann ich sonst aktiv tun??? - Ich will mich auch nicht auf den Hoster verlassen. - Es ist für mich kein erhöhtes Sicherheitsgefühl mich auf jemanden verlassen zu müssen.

Ich schau\' mir auf jeden Fall mal Eyesite an. - Vielen dank für den Tip!

Viele Grüße,

Gabriel

Hallo Gabriel,

Wie Du schilderst, sind mehrere Accounts(von anderen Usern ebenso) betroffen.
Ich verstehe das so, als wenn der Hägga eine offene Tür gefunden hat und locker Flockig auf dem Server spazieren gegangen ist.
Ohne da Deinen Hoster in Misskredit bringen zu wollen, FTP ist das Eine. Andere Methoden sind ganz simpel via Http als normaler Upload.

Wenn der Angriff auf einen anderen Account zielte und sich der Bösewicht von Account zu Account hangelte kann die .htaccess nicht helfen.

Joomla Standartsicherheit.: nach der Installation einen weiteren Superadmin anlegen. Benutzername für den 2. Super Admin "x23Rqx", also Passwortähnlich.
1. Superadmin löschen.

Für das Verzeichnis /administrator eine extra .htaccess mit Passwort anlegen, so kommt man ohne PW schwer an das Admin-Login.

Alle Dateien dem Recht "0644" ausstatten(geht prima mit Filezilla).

Joomla-Teile über das Backend installieren. Am besten mit dem FTP-Layer. Nach der Installation einer Komponente. Den Layer abschalten und auch kein Passwort speichern.

über die Standart .htaccess den Aufruf von xml Dateien über den Browser verhindern. Hat nen Hägga wissen von einer anfälligen Komponente muss er nur die .xml suchen und weiß ob es sich bei Dir lohnt.

docs.joomla.org/Category:Security_Checklist //docs.joomla.org ist immer ein Besuch wert

developer.joomla.org/security.html // Dort sind fehlerhaft gemeldete Komponenten gelistet. Garantiert lesen diese Seite auch die Häggas.

www.jgerman.de/faq/joomla-sicherheit/

Hallo Gabriel,

was mich an den bisherigen geschilderten Erkenntnissen stutzig macht, ist dass keine gesicherte Aussage getroffen werden kann woher der Angriff erfolgte.
Den Bisherigen Aussagen entnehme ich, dass vermutlich der Zugang eines anderen Accounts auf dem selben Server gebrochen wurde. Wenn sich der Eindringling dann via Directoty Traversal durch den Server hangeln kann, läuft in der Security Konfiguration deines Hosters einiges falsch. Wenn dem so ist und die Verzeichnisrechte so lasch gesetzt sind, würde ich meine Konsequenzen ziehen und mich von diesem Anbieter trennen.
Es kann nicht sein, dass ein missbrauchter Benutzeraccount das Recht hat, seinen Verzeichnisbereich zu verlassen. Wenn gesichert werden kann, dass der Angriff auf diesem Wege erfolgte, ist das kein Angriff mehr sondern eine Einladung.

Just my 2 cents.

Servus,
Klaus

klaus_b@.NET über alles was an .NET und C# Spass macht.

Hallo,

vielen Dank für Euer Feedback!

Bezüglich des Ausmaßes habe ich mich wohl missverständlich ausgedrückt. - Es betrifft nur meinen Account. - Auf diesem Account habe ich mehrere Domains.
Die "böse" Datei lag im root-Verzeichnis einer Domain von mir und hat von da aus auf die Rootverzeichnisse drei weiterer Domains von mir zugegriffen.

Mit dieser Backdoor konnte/kann man also nur auf meinem Account spazieren gehen, aber auf allen Verzeichnissen innerhalb des Acounts.

Die Security des Servers funktioniert soweit offensichtlich.

Ich nehme auch an, dass der Zugriff via http erfolgte und ine Lück in Joomla ausgenutzt hat.

Ich glaube nicht dass irgendein Passwort dafür von nöten war oder sonst etwas. - Ich glaube auch nicht, das eine andere Rechteeinstellung, denn mit dem Script konnte alles gemacht werden, selbst komplette www-Verzeichnisse löschen, die ich über den ftp-client nicht löschen kann... - Wenn man die "böse" Datei selbst aufgerufen hat (habe ich zum Spaß ausprobiert) konnte man sich über ein Passwort einloggen... - Witzig!!!!!

Ich werde Eure Tips beherzigen und freue mich übr weiteres Feedback!

Viele Grüße,

Gabriel

Hast du die Möglichkeit, dir die Server-Logs selbst anzuschauen? Es lohnt sich manchmal, dort nach verdächtigen Aufrufen zu suchen.
Wie sieht die PHP-Einstellung register_globals aus?

UFOMelkor schrieb:

Hast du die Möglichkeit, dir die Server-Logs selbst anzuschauen? Es lohnt sich manchmal, dort nach verdächtigen Aufrufen zu suchen.
Wie sieht die PHP-Einstellung register_globals aus?

Hallo Oskar,

ich hab Zugriff auf die Access Logs auf meinem Account. - Allerdings nur für die letzten 10 Tage. - Da habe ich nichts auffälliges festgestellt.

Und die Einstellung is "Register-Globals: An "

Viele Grüße,

Gabriel

Hast du eine Möglichkeit, register_globals auf Off zu setzen?
Register_globals sind eine der einfachsten Möglichkeiten, sich in ein fremdes System einzuhacken.
Ich hatte vor kurzem selbst einen Angriff auf eine veraltete Software die die register_globals emuliert hat, es war jede Menge Arbeit diese Lücke zu schließen und die Schäden zu reparieren.

Hier findest du noch eine Erklärung zu den register_globals und warum Sie so gefährlich sind:
http://www.webmasterpro.de/coding/article/php-sicherheit-register-globals.html

Hallo Oskar,

vielen Dank für den Hinweis! - Daran hatte ich gar nicht gadacht!!!!!

Ich habe glaueb ich keine direkten Zugriff auf die php.ini - ich muss mal schauen. - Ansonsten wird das mein Hoster für mich machen. - Ich denke das ist kein Problem.

----------------------
Nachtrag - ich bin sooo blöd!

Natürlich ist das mit der php.ini kein Problem! - regiaster-globals ist jetzt "off"!

Weitere Maßnahmen werden zudem ergriffen! - Ich denke ich bekomm ds schon wieder Safe!

Viele Grüße,

Gabriel