Akzeptieren

Diese Website verwendet Cookies. Durch die Nutzung dieser Webseite erklären Sie sich damit einverstanden, dass Cookies gesetzt werden. Mehr erfahren

Du bist hier:  Seitenreport    Forum    Security    Sicherheitslücken    Backdoor

Backdoor

Verfasst am: 09. 05. 2010 [10:26]
neitzelsecuweb
302 Beiträge
Dabei seit: 06.11.2009

☆ Content Bringer
Themenersteller

Beitrag hilfreich?

Guten Morgen an alle!

Ich hatte ein kleines Backdoorproblem und bin mir nicht sicher ob die Vergangenheitsform korrekt ist.

Ich nutze gerne Joomla als CMS. - Ich mache eignetlich regelmäßig die Updates, manchmal mit 2-3 Tagen Delay, weil ich nicht immer alles sofort mitbekomme.
Es wurden einige Domains auf meinem Accoubt leergeräumt und ich habe eine default.php im rootverzeichnis entdeckt, die dort nichts zu suchen hat. - Beim FTP-Download hat mein Virenscanner sofort Alarmgeschlagen und mit mitgeteilt dass es sich um ein Backdoorscript (PHP/C99shell.E) hadelt.
Was amit angestellt werden kann ist mir jetzt so in groben zügen klar.
Nachdem ich die default.php gelöscht hatte, konnte auch mein Hoster keine verdächtigen Dateien mehr sacennen. - Ich habe alle daten heruntergeladen und gesacennt - die scheinen sauber zu sein.
Mein Hoster hat mir eine Intrusiondetection angeboten, die sich aber noch im Beta-Stadium befindet. - Das werde ich natürlich annehmen.
Ich habe übrigens einen ganz normalen Webspace. - Keinen Rootzugriff, keinen eigen Server oder V-Server. Ich glaube aber das ich alle möglichkeiten habe, die man innerhalb eines webaccounts haben kann (Professional Large bei Artfiles).

Nun meine Fragen:
1. Habt Ihr Erfahrungen mit Backdoors?
2. Glaubt Ihr, dass die Sache bei mir damit behoben ist?
3. Was kann man aktiv dagegen tun ohne die Funtionalität einzuschränken und ohne ständig "Sicherheitsstress" zu haben?
4. Gibt es einen Scanner, mit dem ich meinen Webspace selbst durchluchten kann?

Ich würde mich über Eure Erfahrungen, Tips und Hilfe sehr freuen!

Viele Grüße,

Gabriel


[Dieser Beitrag wurde 1mal bearbeitet, zuletzt am 09.05.2010 um 10:26.]



Verfasst am: 09. 05. 2010 [10:39]
Gelöschter Benutzer
Beitrag hilfreich?

Hallo Gabriel!

Ich habe z. B. das Admin-Verzeichnis meines Joomlas mit einer Extra-htaccess geschützt.

Dann habe ich noch eine Komponente namens eysite installiert, welche Veränderungen an den Dateien überwacht / überwachen soll.

Das sind so im ganz groben meine Schutzmassnahmen, die ich als Laie verwende.

Gruß

Marcus

Verfasst am: 09. 05. 2010 [10:45]
romacron
1278 Beiträge
JDev Xer
Dabei seit: 01.11.2009

✭✭ Aktiver Seitenreport Vorantreiber

Beitrag hilfreich?

Mein Mitgefühl!

Das mit der Sicherheit ist immer so ne Sache. Solange Du nicht weisst wie die "Evil-File" auf deinen Webspace gelangt ist, kann man es nicht genau sagen.

Dein Hoster sollte auf jeden Fall die Server-Logbücher durchblättern, und schauen wie das passieren konnte. Mit "löschen" abgespeist zu werden, das langt nicht!!!

Auf jeden Fall nachhaken, das passiert sonst wieder. Sollte der Hägga Deinen Post lesen, fährt er am Wochenende gleich noch mal ne Extrarunde über deinen Server.



Verfasst am: 09. 05. 2010 [11:03]
neitzelsecuweb
302 Beiträge
Dabei seit: 06.11.2009

☆ Content Bringer
Themenersteller

Beitrag hilfreich?

Hallo,

vielen Dank für Euer Feedback und Mitgefühl!

Die Datei la im Rootverzeichnis und das ist eigentlich schon via .htaccess geschützt - soweit man das sagen kann. - Mit dieser Backdoor hat man zugriff auf den ganzen Account, egal auf welchen Webspace und was für dateien herumlungern. - Es wurden konkret einfach Dateien gelöscht. - drei Komplette Webspaces und einer zur Hälfte, weil ich sozusagen den Vorgang bemerkt habe. - Ich habe dann selbst den rest gelöscht.

Die Löschung der Datei habe ich selbst vorgebommen. - Der Hoster hat die Logfiles durchgesehen und nichts auffälliges bemerkt. - Es kann wohl ein zugriff via ftp aufgeschlossen werden. - Vermutlich wurde eien sicherheitslück von Joomla ausgenutzt.

Die Extre-Runde kann er haben, ich habe alles gesichert und kann also auch alles wieder hochladen. - Ãœbrigens war die Datenbank nicht betroffen.

Was kann ich sonst aktiv tun??? - Ich will mich auch nicht auf den Hoster verlassen. - Es ist für mich kein erhöhtes Sicherheitsgefühl mich auf jemanden verlassen zu müssen.

Ich schau' mir auf jeden Fall mal Eyesite an. - Vielen dank für den Tip!

Viele Grüße,

Gabriel



Verfasst am: 09. 05. 2010 [11:24]
romacron
1278 Beiträge
JDev Xer
Dabei seit: 01.11.2009

✭✭ Aktiver Seitenreport Vorantreiber

Beitrag hilfreich?

Hallo Gabriel,

Wie Du schilderst, sind mehrere Accounts(von anderen Usern ebenso) betroffen.
Ich verstehe das so, als wenn der Hägga eine offene Tür gefunden hat und locker Flockig auf dem Server spazieren gegangen ist.
Ohne da Deinen Hoster in Misskredit bringen zu wollen, FTP ist das Eine. Andere Methoden sind ganz simpel via Http als normaler Upload.

Wenn der Angriff auf einen anderen Account zielte und sich der Bösewicht von Account zu Account hangelte kann die .htaccess nicht helfen.

Joomla Standartsicherheit.: nach der Installation einen weiteren Superadmin anlegen. Benutzername für den 2. Super Admin "x23Rqx", also Passwortähnlich.
1. Superadmin löschen.

Für das Verzeichnis /administrator eine extra .htaccess mit Passwort anlegen, so kommt man ohne PW schwer an das Admin-Login.

Alle Dateien dem Recht "0644" ausstatten(geht prima mit Filezilla).

Joomla-Teile über das Backend installieren. Am besten mit dem FTP-Layer. Nach der Installation einer Komponente. Den Layer abschalten und auch kein Passwort speichern.

über die Standart .htaccess den Aufruf von xml Dateien über den Browser verhindern. Hat nen Hägga wissen von einer anfälligen Komponente muss er nur die .xml suchen und weiß ob es sich bei Dir lohnt.

http://docs.joomla.org/Category:Security_Checklist //docs.joomla.org ist immer ein Besuch wert
http://developer.joomla.org/security.html // Dort sind fehlerhaft gemeldete Komponenten gelistet. Garantiert lesen diese Seite auch die Häggas.

http://www.jgerman.de/faq/joomla-sicherheit/


[Dieser Beitrag wurde 1mal bearbeitet, zuletzt am 09.05.2010 um 11:26.]

Verfasst am: 09. 05. 2010 [12:46]
klaus_b
370 Beiträge
Er ernährt mich ;-)
Dabei seit: 17.12.2009

☆ Content Bringer

Beitrag hilfreich?

Hallo Gabriel,

was mich an den bisherigen geschilderten Erkenntnissen stutzig macht, ist dass keine gesicherte Aussage getroffen werden kann woher der Angriff erfolgte.
Den Bisherigen Aussagen entnehme ich, dass vermutlich der Zugang eines anderen Accounts auf dem selben Server gebrochen wurde. Wenn sich der Eindringling dann via Directoty Traversal durch den Server hangeln kann, läuft in der Security Konfiguration deines Hosters einiges falsch. Wenn dem so ist und die Verzeichnisrechte so lasch gesetzt sind, würde ich meine Konsequenzen ziehen und mich von diesem Anbieter trennen.
Es kann nicht sein, dass ein missbrauchter Benutzeraccount das Recht hat, seinen Verzeichnisbereich zu verlassen. Wenn gesichert werden kann, dass der Angriff auf diesem Wege erfolgte, ist das kein Angriff mehr sondern eine Einladung.

Just my 2 cents.

Servus,
Klaus

klaus_b@.NET über alles was an .NET und C# Spass macht.
http://www.seitenreport.de/twitter_icon_small.png


Verfasst am: 09. 05. 2010 [13:09]
neitzelsecuweb
302 Beiträge
Dabei seit: 06.11.2009

☆ Content Bringer
Themenersteller

Beitrag hilfreich?

Hallo,

vielen Dank für Euer Feedback!

Bezüglich des Ausmaßes habe ich mich wohl missverständlich ausgedrückt. - Es betrifft nur meinen Account. - Auf diesem Account habe ich mehrere Domains.
Die "böse" Datei lag im root-Verzeichnis einer Domain von mir und hat von da aus auf die Rootverzeichnisse drei weiterer Domains von mir zugegriffen.

Mit dieser Backdoor konnte/kann man also nur auf meinem Account spazieren gehen, aber auf allen Verzeichnissen innerhalb des Acounts.

Die Security des Servers funktioniert soweit offensichtlich.

Ich nehme auch an, dass der Zugriff via http erfolgte und ine Lück in Joomla ausgenutzt hat.

Ich glaube nicht dass irgendein Passwort dafür von nöten war oder sonst etwas. - Ich glaube auch nicht, das eine andere Rechteeinstellung, denn mit dem Script konnte alles gemacht werden, selbst komplette www-Verzeichnisse löschen, die ich über den ftp-client nicht löschen kann... - Wenn man die "böse" Datei selbst aufgerufen hat (habe ich zum Spaß ausprobiert) konnte man sich über ein Passwort einloggen... - Witzig!!!!!

Ich werde Eure Tips beherzigen und freue mich übr weiteres Feedback!

Viele Grüße,

Gabriel





Verfasst am: 09. 05. 2010 [13:56]
UFOMelkor
353 Beiträge
Student
Dabei seit: 20.10.2009

☆ Content Bringer

Beitrag hilfreich?

Hast du die Möglichkeit, dir die Server-Logs selbst anzuschauen? Es lohnt sich manchmal, dort nach verdächtigen Aufrufen zu suchen.
Wie sieht die PHP-Einstellung register_globals aus?



Verfasst am: 09. 05. 2010 [14:31]
neitzelsecuweb
302 Beiträge
Dabei seit: 06.11.2009

☆ Content Bringer
Themenersteller

Beitrag hilfreich?

UFOMelkor schrieb:

Hast du die Möglichkeit, dir die Server-Logs selbst anzuschauen? Es lohnt sich manchmal, dort nach verdächtigen Aufrufen zu suchen.
Wie sieht die PHP-Einstellung register_globals aus?


Hallo Oskar,

ich hab Zugriff auf die Access Logs auf meinem Account. - Allerdings nur für die letzten 10 Tage. - Da habe ich nichts auffälliges festgestellt.

Und die Einstellung is "Register-Globals: An "

Viele Grüße,

Gabriel

[Dieser Beitrag wurde 1mal bearbeitet, zuletzt am 09.05.2010 um 14:32.]



Verfasst am: 09. 05. 2010 [14:53]
UFOMelkor
353 Beiträge
Student
Dabei seit: 20.10.2009

☆ Content Bringer

Beitrag hilfreich?

Hast du eine Möglichkeit, register_globals auf Off zu setzen?
Register_globals sind eine der einfachsten Möglichkeiten, sich in ein fremdes System einzuhacken.
Ich hatte vor kurzem selbst einen Angriff auf eine veraltete Software die die register_globals emuliert hat, es war jede Menge Arbeit diese Lücke zu schließen und die Schäden zu reparieren.

Hier findest du noch eine Erklärung zu den register_globals und warum Sie so gefährlich sind:
www.webmasterpro.de/coding/article/php-sicherheit-register-globals.html






to Top to Top

Du bist nicht eingeloggt. Bitte beachte, dass Du eingeloggt sein musst, um Themen zu erstellen oder auf Beiträge zu antworten.

RSS Feed abonnieren

Werde in Echtzeit über neue Foren-Beiträge informiert:

RSS Feed abonnieren


0 Mitglieder waren innerhalb der letzten 15 Minuten online (10 heute gesamt):
[keine]

Administratoren und Moderatoren:
[keine]

Seitenreport hat 47724 registrierte Mitglieder, 4360 Themen und 37796 Beiträge.
Der aktuelle Mitgliederzuwachs liegt bei durchschnittlich 0 bestätigten Neuregistrierungen pro Tag.
Pro Tag werden im Seitenreport Forum durchschnittlich 0 neue Themen und 0 Beiträge erstellt.
Die Durchschnittszahlen berechnen sich aus den letzten 7 Tagen.

Mehrfach empfohlen

Seitenreport ist einer der bekanntesten SEO und Website Analyse Dienste im deutschsprachigen Raum und wurde u.a. schon empfohlen:
von Mr. Wong im Wong Letter
vom Leserservice der Deutschen Post
vom Technik Blog SiN
und vielen anderen

Seitenreport API

Verfolge die SERP Positionen Deiner Keywords und erhalte Informationen über verwendete Mikroformate, frage die Ergebnisse unserer Analysen live ab oder greife auf unsere History-Datenbank zu. Dies alles bietet Dir die neue Seitenreport API. Kontaktiere uns, um weitere Infos zu erhalten.