Backdoor
| Verfasst am: 09. 05. 2010 [10:26] | |||
neitzelsecuweb Dabei seit: 06.11.2009  Themenersteller  302 Beiträge | Beitrag hilfreich? | ||
| Guten Morgen an alle! Ich hatte ein kleines Backdoorproblem und bin mir nicht sicher ob die Vergangenheitsform korrekt ist. Ich nutze gerne Joomla als CMS. - Ich mache eignetlich regelmäßig die Updates, manchmal mit 2-3 Tagen Delay, weil ich nicht immer alles sofort mitbekomme. Es wurden einige Domains auf meinem Accoubt leergeräumt und ich habe eine default.php im rootverzeichnis entdeckt, die dort nichts zu suchen hat. - Beim FTP-Download hat mein Virenscanner sofort Alarmgeschlagen und mit mitgeteilt dass es sich um ein Backdoorscript (PHP/C99shell.E) hadelt. Was amit angestellt werden kann ist mir jetzt so in groben zügen klar. Nachdem ich die default.php gelöscht hatte, konnte auch mein Hoster keine verdächtigen Dateien mehr sacennen. - Ich habe alle daten heruntergeladen und gesacennt - die scheinen sauber zu sein. Mein Hoster hat mir eine Intrusiondetection angeboten, die sich aber noch im Beta-Stadium befindet. - Das werde ich natürlich annehmen. Ich habe übrigens einen ganz normalen Webspace. - Keinen Rootzugriff, keinen eigen Server oder V-Server. Ich glaube aber das ich alle möglichkeiten habe, die man innerhalb eines webaccounts haben kann (Professional Large bei Artfiles). Nun meine Fragen: 1. Habt Ihr Erfahrungen mit Backdoors? 2. Glaubt Ihr, dass die Sache bei mir damit behoben ist? 3. Was kann man aktiv dagegen tun ohne die Funtionalität einzuschränken und ohne ständig "Sicherheitsstress" zu haben? 4. Gibt es einen Scanner, mit dem ich meinen Webspace selbst durchluchten kann? Ich würde mich über Eure Erfahrungen, Tips und Hilfe sehr freuen! Viele Grüße, Gabriel [Dieser Beitrag wurde 1mal bearbeitet, zuletzt am 09.05.2010 um 10:26.] | |||
| Verfasst am: 09. 05. 2010 [10:39] | |||
| Gelöschter Benutzer | Beitrag hilfreich? | ||
| Hallo Gabriel! Ich habe z. B. das Admin-Verzeichnis meines Joomlas mit einer Extra-htaccess geschützt. Dann habe ich noch eine Komponente namens eysite installiert, welche Veränderungen an den Dateien überwacht / überwachen soll. Das sind so im ganz groben meine Schutzmassnahmen, die ich als Laie verwende. Gruß Marcus | |||
| Verfasst am: 09. 05. 2010 [10:45] | |||
romacron Dabei seit: 01.11.2009   1143 Beiträge | Beitrag hilfreich? | ||
| Mein Mitgefühl! Das mit der Sicherheit ist immer so ne Sache. Solange Du nicht weisst wie die "Evil-File" auf deinen Webspace gelangt ist, kann man es nicht genau sagen. Dein Hoster sollte auf jeden Fall die Server-Logbücher durchblättern, und schauen wie das passieren konnte. Mit "löschen" abgespeist zu werden, das langt nicht!!! Auf jeden Fall nachhaken, das passiert sonst wieder. Sollte der Hägga Deinen Post lesen, fährt er am Wochenende gleich noch mal ne Extrarunde über deinen Server. | |||
| Verfasst am: 09. 05. 2010 [11:03] | |||
neitzelsecuweb Dabei seit: 06.11.2009 Themenersteller 302 Beiträge | Beitrag hilfreich? | ||
| Hallo, vielen Dank für Euer Feedback und Mitgefühl! Die Datei la im Rootverzeichnis und das ist eigentlich schon via .htaccess geschützt - soweit man das sagen kann. - Mit dieser Backdoor hat man zugriff auf den ganzen Account, egal auf welchen Webspace und was für dateien herumlungern. - Es wurden konkret einfach Dateien gelöscht. - drei Komplette Webspaces und einer zur Hälfte, weil ich sozusagen den Vorgang bemerkt habe. - Ich habe dann selbst den rest gelöscht. Die Löschung der Datei habe ich selbst vorgebommen. - Der Hoster hat die Logfiles durchgesehen und nichts auffälliges bemerkt. - Es kann wohl ein zugriff via ftp aufgeschlossen werden. - Vermutlich wurde eien sicherheitslück von Joomla ausgenutzt. Die Extre-Runde kann er haben, ich habe alles gesichert und kann also auch alles wieder hochladen. - Übrigens war die Datenbank nicht betroffen. Was kann ich sonst aktiv tun??? - Ich will mich auch nicht auf den Hoster verlassen. - Es ist für mich kein erhöhtes Sicherheitsgefühl mich auf jemanden verlassen zu müssen. Ich schau' mir auf jeden Fall mal Eyesite an. - Vielen dank für den Tip! Viele Grüße, Gabriel | |||
| Verfasst am: 09. 05. 2010 [11:24] | |||
romacron Dabei seit: 01.11.2009 1143 Beiträge | Beitrag hilfreich? | ||
| Hallo Gabriel, Wie Du schilderst, sind mehrere Accounts(von anderen Usern ebenso) betroffen. Ich verstehe das so, als wenn der Hägga eine offene Tür gefunden hat und locker Flockig auf dem Server spazieren gegangen ist. Ohne da Deinen Hoster in Misskredit bringen zu wollen, FTP ist das Eine. Andere Methoden sind ganz simpel via Http als normaler Upload. Wenn der Angriff auf einen anderen Account zielte und sich der Bösewicht von Account zu Account hangelte kann die .htaccess nicht helfen. Joomla Standartsicherheit.: nach der Installation einen weiteren Superadmin anlegen. Benutzername für den 2. Super Admin "x23Rqx", also Passwortähnlich. 1. Superadmin löschen. Für das Verzeichnis /administrator eine extra .htaccess mit Passwort anlegen, so kommt man ohne PW schwer an das Admin-Login. Alle Dateien dem Recht "0644" ausstatten(geht prima mit Filezilla). Joomla-Teile über das Backend installieren. Am besten mit dem FTP-Layer. Nach der Installation einer Komponente. Den Layer abschalten und auch kein Passwort speichern. über die Standart .htaccess den Aufruf von xml Dateien über den Browser verhindern. Hat nen Hägga wissen von einer anfälligen Komponente muss er nur die .xml suchen und weiß ob es sich bei Dir lohnt. http://docs.joomla.org/Category:Security_Checklist //docs.joomla.org ist immer ein Besuch wert http://developer.joomla.org/security.html // Dort sind fehlerhaft gemeldete Komponenten gelistet. Garantiert lesen diese Seite auch die Häggas. http://www.jgerman.de/faq/joomla-sicherheit/ [Dieser Beitrag wurde 1mal bearbeitet, zuletzt am 09.05.2010 um 11:26.] | |||
| Verfasst am: 09. 05. 2010 [12:46] | |||
klaus_b Dabei seit: 17.12.2009  327 Beiträge | Beitrag hilfreich? | ||
| Hallo Gabriel, was mich an den bisherigen geschilderten Erkenntnissen stutzig macht, ist dass keine gesicherte Aussage getroffen werden kann woher der Angriff erfolgte. Den Bisherigen Aussagen entnehme ich, dass vermutlich der Zugang eines anderen Accounts auf dem selben Server gebrochen wurde. Wenn sich der Eindringling dann via Directoty Traversal durch den Server hangeln kann, läuft in der Security Konfiguration deines Hosters einiges falsch. Wenn dem so ist und die Verzeichnisrechte so lasch gesetzt sind, würde ich meine Konsequenzen ziehen und mich von diesem Anbieter trennen. Es kann nicht sein, dass ein missbrauchter Benutzeraccount das Recht hat, seinen Verzeichnisbereich zu verlassen. Wenn gesichert werden kann, dass der Angriff auf diesem Wege erfolgte, ist das kein Angriff mehr sondern eine Einladung. Just my 2 cents. Servus, Klaus | |||
| Verfasst am: 09. 05. 2010 [13:09] | |||
neitzelsecuweb Dabei seit: 06.11.2009 Themenersteller 302 Beiträge | Beitrag hilfreich? | ||
| Hallo, vielen Dank für Euer Feedback! Bezüglich des Ausmaßes habe ich mich wohl missverständlich ausgedrückt. - Es betrifft nur meinen Account. - Auf diesem Account habe ich mehrere Domains. Die "böse" Datei lag im root-Verzeichnis einer Domain von mir und hat von da aus auf die Rootverzeichnisse drei weiterer Domains von mir zugegriffen. Mit dieser Backdoor konnte/kann man also nur auf meinem Account spazieren gehen, aber auf allen Verzeichnissen innerhalb des Acounts. Die Security des Servers funktioniert soweit offensichtlich. Ich nehme auch an, dass der Zugriff via http erfolgte und ine Lück in Joomla ausgenutzt hat. Ich glaube nicht dass irgendein Passwort dafür von nöten war oder sonst etwas. - Ich glaube auch nicht, das eine andere Rechteeinstellung, denn mit dem Script konnte alles gemacht werden, selbst komplette www-Verzeichnisse löschen, die ich über den ftp-client nicht löschen kann... - Wenn man die "böse" Datei selbst aufgerufen hat (habe ich zum Spaß ausprobiert) konnte man sich über ein Passwort einloggen... - Witzig!!!!! Ich werde Eure Tips beherzigen und freue mich übr weiteres Feedback! Viele Grüße, Gabriel | |||
| Verfasst am: 09. 05. 2010 [13:56] | |||
UFOMelkor Dabei seit: 20.10.2009  348 Beiträge | Beitrag hilfreich? | ||
| Hast du die Möglichkeit, dir die Server-Logs selbst anzuschauen? Es lohnt sich manchmal, dort nach verdächtigen Aufrufen zu suchen. Wie sieht die PHP-Einstellung register_globals aus? | |||
| Verfasst am: 09. 05. 2010 [14:31] | |||
neitzelsecuweb Dabei seit: 06.11.2009 Themenersteller 302 Beiträge | Beitrag hilfreich? | ||
UFOMelkor schrieb: Hast du die Möglichkeit, dir die Server-Logs selbst anzuschauen? Es lohnt sich manchmal, dort nach verdächtigen Aufrufen zu suchen. Wie sieht die PHP-Einstellung register_globals aus? Hallo Oskar, ich hab Zugriff auf die Access Logs auf meinem Account. - Allerdings nur für die letzten 10 Tage. - Da habe ich nichts auffälliges festgestellt. Und die Einstellung is "Register-Globals: An " Viele Grüße, Gabriel [Dieser Beitrag wurde 1mal bearbeitet, zuletzt am 09.05.2010 um 14:32.] | |||
| Verfasst am: 09. 05. 2010 [14:53] | |||
UFOMelkor Dabei seit: 20.10.2009 348 Beiträge | Beitrag hilfreich? | ||
| Hast du eine Möglichkeit, register_globals auf Off zu setzen? Register_globals sind eine der einfachsten Möglichkeiten, sich in ein fremdes System einzuhacken. Ich hatte vor kurzem selbst einen Angriff auf eine veraltete Software die die register_globals emuliert hat, es war jede Menge Arbeit diese Lücke zu schließen und die Schäden zu reparieren. Hier findest du noch eine Erklärung zu den register_globals und warum Sie so gefährlich sind: www.webmasterpro.de/coding/article/php-sicherheit-register-globals.html | |||
Premium-Mitglied
Du bist nicht eingeloggt. Bitte beachte, dass Du eingeloggt sein musst, um Themen zu erstellen oder auf Beiträge zu antworten.
Werde in Echtzeit über neue Foren-Beiträge informiert:
8 Mitglieder waren innerhalb der letzten 15 Minuten online (76 heute gesamt):
Hamsi1979, jbx, kiza72, masa8, presse, snowreporter, tester012, webmagie
Administratoren und Moderatoren:
[keine]
Seitenreport hat 18155 registrierte Mitglieder, 3003 Themen und 29112 Beiträge.
Der aktuelle Mitgliederzuwachs liegt bei durchschnittlich 13 bestätigten Neuregistrierungen pro Tag.
Pro Tag werden im Seitenreport Forum durchschnittlich 1 neues Thema und 7 Beiträge erstellt.
Die Durchschnittszahlen berechnen sich aus den letzten 7 Tagen.
Lade...
Neueste Foren-Beiträge
| Abstimmung: 20.000 Mitglieder Jubiläum - was tun? Internes & Ankündigungen / Internes | Gestern [23:07] |
 | Microsofts soziales Netzwerk So.cl Internet / News | Gestern [20:03] |
 | Nicht nachvollziehbarer CSS Fehler Internes & Ankündigungen / Analyse-Ergebnisse | Gestern [13:37] |
| Partnerprogramm: Eintrag für Kunden erledigt Internes & Ankündigungen / Internes | 22. 05. 2012 [10:35] |
 | Hotelbericht Entwickler Treffpunkt / Website vorstellen | 22. 05. 2012 [09:28] |
Lade...
Aktuelle Artikel:
Facebook - eine neue Tech-Blase?
Facebook ist in den vergangenen Tagen wegen seines Börsenganges und den dabei eingefahrenen Investorengeldern von 16 Milliarden Dollar großflächig in die Kritik geraten. Der Marktwert von 104 Milliarden Dollar wird von vielen als maßlos übertrieben angesehen. Ist Facebook eine neue Internet-Blase, die in den nächsten Jahren platzen wird?
Suchmaschinenoptimierung seit dem Google Penguin Update
Das neue Update vom Branchenriesen Google wird in Seo-Kreisen gerne mit einem Erdbeben verglichen. Diese Metapher trifft die Sachlage sehr gut, denn der Pinguin bringt die Arbeitsfundamente der Suchmaschinenoptimierer gehörig ins Wanken.
Tipps für den guten Start ins Business
Sich selbstständig machen, eine Firma gründen und direkt ins eigenständige Berufsleben einzusteigen klingt spannend und irgendwie auch einfach. Doch einfach ist es ganz und gar nicht...
Facebook - eine neue Tech-Blase?
Facebook ist in den vergangenen Tagen wegen seines Börsenganges und den dabei eingefahrenen Investorengeldern von 16 Milliarden Dollar großflächig in die Kritik geraten. Der Marktwert von 104 Milliarden Dollar wird von vielen als maßlos übertrieben angesehen. Ist Facebook eine neue Internet-Blase, die in den nächsten Jahren platzen wird?
18. Mai 2012
Suchmaschinenoptimierung seit dem Google Penguin Update
Das neue Update vom Branchenriesen Google wird in Seo-Kreisen gerne mit einem Erdbeben verglichen. Diese Metapher trifft die Sachlage sehr gut, denn der Pinguin bringt die Arbeitsfundamente der Suchmaschinenoptimierer gehörig ins Wanken.
15. Mai 2012
Tipps für den guten Start ins Business
Sich selbstständig machen, eine Firma gründen und direkt ins eigenständige Berufsleben einzusteigen klingt spannend und irgendwie auch einfach. Doch einfach ist es ganz und gar nicht...
14. Mai 2012