FTP-Sicherheitslücke...?

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • FTP-Sicherheitslücke...?

    Hallo Forum!

    Am Wochenende wurde eine meiner Webseiten gehackt. Wenn man die Seite öffnete, wurde mittels JS ein Trojaner ins System installiert, wenn das eigene Antivirusprogramm geschlafen hat.
    Im Prinzip wurde auf dem Server jede index.php oder index.html geöffnet und ein cryptisches Javascript eingefügt. In PHP-Dateien befand sich dieses ganz oben, in HTML-Dateien immer vor dem </body>-Tag. Das geschah auch auf allen 7 Subdomains.
    Das Script füge ich als Text-Datei bei, bitte nicht als HTML oder so ausführen.

    Zwar konnte ich die Dateien wieder bereinigen, frage mich natürlich auch, wie das kommen konnte. Hat sich jemand FTP-Zugriff verschaffen müssen, um in die Dateien schreiben zu können, oder ging das auch irgendwie anders?

    Ich würde mich über Hinweise freuen, weil ich die Sicherheitslücke gerne gefixt hätte.

    MfG

    Alex
    Zuletzt geändert von wahsaga; 15.03.2010, 10:21. Grund: Anhang entfernt, weil unnötig

  • #2
    Hallo Alex,

    wie der Trojaner aussieht lässt keinen Rückschluss darauf zu, wie er ins System gelangt ist. Da musst du schon weitere Informationen liefern.

    Falls du irgendein CMS benutzt, sieh nach, welche Sicherheitslücken bekannt sind und wie man die schließt. Wenn du Joomla benutzt, sind dort einige Lücken bekannt.

    Außerdem musst du alle deine PHP-Scripts untersuchen, inwieweit die einem Benutzer erlauben könnten, eigenen Code einzuschmuggeln. register_globals sollte unbedingt aus sein und du solltest danach prüfen, was mit $_GET-, $_POST-, $_REQUEST-, $_COOKIE- und $_SESSION-Werten genau passiert und ob die eventuell ungeprüft an Dateisystem-, Prozesskontroll- oder eval-artige Funktionen übergeben werden.

    Falls irgendwelche Daten für das head-Element (z. B. Seitentitel) bei dir aus einer DB kommen, solltest du prüfen, ob das vielleicht schon in der DB so drinsteht.

    Ansonsten, wie gesagt, mehr Infos!

    Gruß,

    Amica
    [COLOR="DarkSlateGray"]Hast du die [COLOR="DarkSlateGray"]Grundlagen zur Fehlersuche[/color] gelesen? Hast du Code-Tags benutzt?
    Hast du als URL oder Domain-Beispiele example.com, example.net oder example.org benutzt?
    Super, danke!
    [/COLOR]

    Kommentar


    • #3
      Danke für die Antwort,

      bei den gehackten Seiten (es sind 2 unterschiedliche) handelt es sich einmal um ein hauseigenes Framework (hier würde ich ein Sicherheitsrisiko eher vermuten) aber auch um eine renomierte Shop-Software, deren Namen ich noch nicht nennen möchte.
      Ich lade mir in diesem Augenblick das gesamte Systembackup runter und möchte dann alle Dateien nach dem Schadcode durchsuchen, weil ich vermute dass noch mehr Dateien befallen sein könnten. Eine umfassende DB-Suche hat ergeben, dass der Schadcode nicht aus der Datenbank kommt.

      Das Pikante an der Sache ist, dass 2 unterschiedliche Systeme gleichzeitig gehackt worden sind. Daher ist meine Vermutung, dass der Schädlich sich Zugang per FTP verschafft hat. Daher frage ich mich, welcher Werkzeuge er sich bedient hat. Ist auf meinem Rechner ein Spion installiert oder ist vielleicht das ganze Netzwerk befallen? Wo kann ich anfangen zu suchen und vor Allem, wonach?

      Über Hinweise würde ich mich freuen, mehr Infos kann ich auch liefern. Ich weiß aktuell halt nicht, wo ich überhaupt anfangen soll.

      MfG

      Alex

      Kommentar


      • #4
        Besorg dir von deinem Hoster mal die FTP-Logs. Eventuell kannst du darin erkennen, zu welchen Zeiten und von welcher Adresse aus sich jemand außer dir eingeloggt hat. Lass es am besten auf SFTP umstellen. Ohne SSL werden die Logindaten unverschlüsselt übertragen und mit einer MITM-Attacke ziemlich einfach auslesen. Eventuell wurde dein System selbst schon manipuliert (Keylogger, Proxy-Server, ...), um beim nächsten Upload das FTP-Passwort zu bekommen. Immer wieder gerne genommen werden auch ARP-Attacken, die aber nur schwer nachzuweisen sind.
        [COLOR="DarkSlateGray"]Hast du die [COLOR="DarkSlateGray"]Grundlagen zur Fehlersuche[/color] gelesen? Hast du Code-Tags benutzt?
        Hast du als URL oder Domain-Beispiele example.com, example.net oder example.org benutzt?
        Super, danke!
        [/COLOR]

        Kommentar


        • #5
          Hi,

          danke für die Stichworte, jetzt weiß ich wenigstens, wonach ich googeln kann!

          Kommentar


          • #6
            Dieses ist ein typisches Einfallstor in der php.ini:
            Code:
            allow_url_include=On
            Zumindest in Verbindung mit schlampiger Parameterprüfung.
            Wir werden alle sterben

            Kommentar


            • #7
              Zitat von combie Beitrag anzeigen
              Dieses ist ein typisches Einfallstor in der php.ini:
              Code:
              allow_url_include=On
              Zumindest in Verbindung mit schlampiger Parameterprüfung.

              Kannst du das bitte näher erleutern? In meiner php.ini taucht der Parameter gar nicht auf.


              Ich habe eben vom Provider die Info bekommen, dass zum fraglichen Zeitpunkt eine IP aus den USA sich eingeloggt und innerhalb von 2 Sekunden den Account durchforstet hat. Somit ist die Sache klar, die FTP-Daten wurden geklaut...

              Kommentar


              • #8
                Nicht zwingend. Eine Brute Force Attacke ist auch noch möglich.
                [FONT="Helvetica"]twitter.com/unset[/FONT]

                Shitstorm Podcast – Wöchentliches Auskotzen

                Kommentar

                Lädt...
                X