[TYPO3-german] Sicherheitslücke aufspüren

ulrich good945 at gmail.com
Fri Jun 21 12:47:36 CEST 2013


Am 19. Juni 2013 18:56 schrieb Philipp Gampe <philipp.gampe at typo3.org>:

> Hi ulrich,
>
> ulrich wrote:
>
> > Der Angreifer hat der index.php und 2-3 anderen HTML-Dateien einen IFRAME
> > hinzugefügt.
>
> Das schaue eher nach einen Skript, denn nach einem gezielten Angriff aus.
>
> I.d.R. erfolgen solche Angriffe über gehackte (Trojaner, o.ä.) Zugangsdaten
> von dir oder jemand anderem auf dem Server.
> Evtl. hat auch jemand ein schwaches Passwort und einen erratenen
> Benutzernamen.
> Wenn auf dem Server die Accounts nicht untereinander abgeschottet sind
> (chroot, o.ä.), dann kann es von jedem Account aus losgegangen sein.
>
Wieso ich denke, dass der Angriff nicht über ssh/ftp kam:
Hätte der Angreifer auf diesem Weg Zugriff aufs System gehabt, warum hat
er dann nur bei ein paar Dateien was verändert?
Und dann auch nur welche die leicht zu erraten sind (index/default
.php/.html).
Wenn ich auf einem System eine shell hätte, dann würde ich bestimmt mehr
Zeit
auf dem System verbringen... noch dazu liegen auf dem System hunderte
andere
.html files an denen nichts manipuliert wurde.
Mit einer shell wäre es doch ein leichtes gewesen über find und sed oder
awk
zusätzlichen code in alle auf dem System vorhanden html/php files was zu
schreiben.


> Oder es wurde ein bekannte, automatisch ausnutzbare Lücke von einem der
> eingesetzten Softwaremodulen verwendet.
>
> Typisch sind dann ein automatischer Scan nach index.html und index.php und
> das Einfügen von Schadecode in diese.
>
> Die eigentliche Schwierigkeit besteht daran, die Lücke zu finden, wodurch
> der Angreifer Zugriff auf den Server erhalten hat.
>
Genau. Ich hab ja bisher versucht mit tools wie apache-scalp die logs zu
analysieren,
bin aber noch nicht fündig geworden...


>
> Außerdem werden oft Hintertüren eingebaut, wodurch eine erneute Infektionen
> sehr wahrscheinlich wird.
>
Bisher noch keine erneute Infektion. Was meine Theorie von oben unterstützt.
Allerdings werde ich mir wohl den Wahnsinn antun und tripwire einrichten um
halbwegs angenehm schlafen zu können ;)


>
> Du solltest eine Experten engagieren oder den Hoster wechseln und alles
> PHP,
> JS und HTML Dateien aus sauberen Quellen neu aufsetzen.
>
Ja. Der Experte bin dann in dem Fall ich.
Es kommt ja immer auf den Umfang des Projekts an.


>
> Viele Grüße
> --
>
Ebenso
Ulrich


More information about the TYPO3-german mailing list