unser server wurde gestern von der abuse-abteilung von strato gesperrt, weil jemand phising-aktivitäten auf unserem server festgestellt hat.
die phising-dateien lagen um modules-ordner von einer php-nuke installation eines kunden. ich habe nach phpnuke und phising gesucht, habe aber keine sicherheitslücke diesbezüglich gefunden..
dass der kunde selbst die dateien aufgespielt hat kann ausgeschlossen werden.
jetzt meine frage an euch: wie kann ich mich zukünftig vor so etwas schützen? vielleicht hat ja auch der ein oder andere schon erfahrungen damit gemacht.
grüße,
johannes
phising
Re: phising
Ehrliche Antwort: *nukes vom Server verbannen. Die sind allesamt sowas von grottig programmiert, dass mit solcher Regelmäßigkeit Sicherleistlücken gefunden (und dann auch ausgenutzt) werden, dass man von Glück sagen kann "Hey mein Nuke-Server wurde ne ganze Woche lang nicht geknackt". Bei dem Zeugs kommt man mit Patchen jedenfalls kaum hinter den bösen Buben her...
Re: phising
ok, ist gott sei dank die einzige seite bei uns mit php-nuke. hatte ohnehin vor, das mal zu ersetzen jetzt..
danke
danke
Re: phising
Aber auch wenn Du dann auf Joomla, Mambo, phpBB oder sonstwas gehst: ohne ein regelmäßiges Updaten auf neue Versionen hast Du da genau das gleiche Problem.
Installieren und vergessen ist nicht drinnen.
Installieren und vergessen ist nicht drinnen.
Re: phising
ich habe ein eigenes, vernünftiges cms ohne großen schnickschnack, modules und sonstigem kram entwickelt. das wird hier dann wahrscheinlich seine anwendung finden.
Re: phising
Aber nur weil mans selbst gemacht hat heißt es nicht das es sicher ist..
Wenn die Seite klein genug ist und du nicht irgendwo
include($site)
machst (für sowas gibt es bots, die jede übergeben Variable testen) hast Du vermutlich Glück..
Wenn die Seite klein genug ist und du nicht irgendwo
include($site)
machst (für sowas gibt es bots, die jede übergeben Variable testen) hast Du vermutlich Glück..
Re: phising
ich habe dasselbe Problem bei einem vserver von s4y.
Auch bei mir wurden Bilder und js-Dateien für phishing-seiten eingeschleust und anschließend verlinkt.
Ich habe Joomla und die Menalto Gallery im Einsatz.
Es gab zwei Phishing Ordner, einmal in einem Unterverzeichnis von Joomla, also tippe ich auf Joomla-Sicherheitslücke (kam ja grad das 11er update raus mit ner Menge Securityfixes), aber der zweite Ordner war in einem Unterordner von den Gallery alben.
Ich frage mich, wie man darauf Zugriff erhalten kann. Die Dateien hatten den Eigentümer www-data.
Nun die Frage, besteht die Möglickeit, ohne Joomla oder sonstige Sicherheitsrisiken zu nehmen, von außen Dateien über www-data aufzuspielen ?
Wenn ja wie kann man sich davor schützen ?
Ich habe nun erstmal alle Verzeichnisse mit chmod 555 "gesichert" was bei Cache o.ä. eher unpraktisch ist. :(
Ich habe nun mod_security installiert und das läuft soweit erstmal. Muss die Regeln dafür noch ein bißchen anpassen.
Nur welche Regel trifft da auf solche "Pishingattacken" zu ?
Jemand damit Erfahrung wie die auf den Server kommen ?
Auch bei mir wurden Bilder und js-Dateien für phishing-seiten eingeschleust und anschließend verlinkt.
Ich habe Joomla und die Menalto Gallery im Einsatz.
Es gab zwei Phishing Ordner, einmal in einem Unterverzeichnis von Joomla, also tippe ich auf Joomla-Sicherheitslücke (kam ja grad das 11er update raus mit ner Menge Securityfixes), aber der zweite Ordner war in einem Unterordner von den Gallery alben.
Ich frage mich, wie man darauf Zugriff erhalten kann. Die Dateien hatten den Eigentümer www-data.
Nun die Frage, besteht die Möglickeit, ohne Joomla oder sonstige Sicherheitsrisiken zu nehmen, von außen Dateien über www-data aufzuspielen ?
Wenn ja wie kann man sich davor schützen ?
Ich habe nun erstmal alle Verzeichnisse mit chmod 555 "gesichert" was bei Cache o.ä. eher unpraktisch ist. :(
Ich habe nun mod_security installiert und das läuft soweit erstmal. Muss die Regeln dafür noch ein bißchen anpassen.
Nur welche Regel trifft da auf solche "Pishingattacken" zu ?
Jemand damit Erfahrung wie die auf den Server kommen ?
-
lord_pinhead
- Posts: 774
- Joined: 2004-04-26 15:57