di::bo Geschrieben 1. Mai 2006 Teilen Geschrieben 1. Mai 2006 Hallo zusammen, die Seite eines Kumpels von mir wurde letzte Woche gehackt. Das Ganze sieht ziemlich nach der "Arbeit" eines Skript-Kiddies aus. Da "nur" das Forum gehackt wurde, schätze ich dass da eine Schwachstelle genutzt wurde? Es handelt sich um phpBB in der Version 2.0.8. Ich hab von so einem Kram bisher gar keine Ahnung, will jetzt aber vor allem drei Sachen wissen: - WIE hat derjenige das gemacht - Gibt es eine Möglichkeit durch Logfiles herauszufinden von WO dieser Angriff herkam? Vielleicht war derjenige ja nicht so clever die Logfiles zu löschen ... - Wie kann das System abgesichert werden? Zu dem letzten Punkt gibt es ja vielleicht irgendwelche Bücher / Seiten / PDFs, oder so? Ich hab mich jetzt seit gestern die ganze Zeit mit dem Thema Hacking / Security beschäftigt und bin jetzt ziemlich "heiß" drauf so viel wie möglich darüber zu lernen ... ich denke nur so kann man sich auch dagegen schützen / wehren. Also - kann mir hier jemand weiter helfen? Bei Bedarf kann ich auch Screenshots von der gehackten Seite schicken ... Gruß Di::Bo Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Sariel Geschrieben 1. Mai 2006 Teilen Geschrieben 1. Mai 2006 Guten Tag! Zu Anfang möchte ich gleich mal deutlich machen, das Du hier mit Sicherheit keine Hack Anleitungen bekommst damit Du Dich wehren kannst. Zum phpbb - es gibt von Seiten des Hersteller immer wieder neue Versionen mit gepatchten Sicherheitslöchern. Du schreibst von einer Version 2.0.8 mitlerweile gibt es die Version 2.0.20 das dürfte der erste Schritt in die Richtung sicheres Forum sein. Vielleicht solltest Du oder Dein Kumpel darüber mal nachdenken. Denn wenn so ein Update herauskommt dann denkt der Herausgeber sich in der Regel etwas dabei - und wenn man einigermaßen im Internet aud heise.de oder golem.de oder ähnlcihes mitliest dann bekommt man auch mal hier und da mit das die eine oder andere Sicherheitslücke aufgedeckt wird und meißt auch binnen kurzer Zeit von der Herstellerseite aus darauf reagiert wird. Zu der Frag wie hat derjenige das gemacht, müsstest Du evtl. herausfinden, welche Sicherheitslücken es in der 2.0.8 'er Version gab! Gruß Sariel, der einen entspannten 1. Mai wünscht. Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Sigi Geschrieben 1. Mai 2006 Teilen Geschrieben 1. Mai 2006 Exploits findest du schneller als du hallo sagen kannst. Mit Erfahrung + Zeit und dem Sourcecode vom PHPBB2(_opensource_) kannst dir sogar selbst welche machen. Dagegen tun kannst du nur 2 Dinge: immer gut updaten und eben phpharderer installieren. Mit deinem _drauf heiß sein_ werd ich dir aber mal keine für dich atm unnötigen Infos geben die wirste dir schon selbst suchen dürfen. Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
di::bo Geschrieben 1. Mai 2006 Autor Teilen Geschrieben 1. Mai 2006 Klar - das mit der alten Forensoftware war grob fahrlässig... Das wird bestimmt auch nicht mehr vorkommen Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
.vash Geschrieben 1. Mai 2006 Teilen Geschrieben 1. Mai 2006 Ich würde Dir empfehlen Dich auf der Mailingliste anzumelden, die Dir bei jeder neuen Version ein Mailing schickt. Desweiteren sollte auch die PHP Version immer die aktuellste sein. (Das heisst du solltest die neueste Minorversion installiert haben (hinter dem Punkt), da z.B. kritische Lücken der 4er Version noch gefixt werden.) Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
di::bo Geschrieben 1. Mai 2006 Autor Teilen Geschrieben 1. Mai 2006 Ok, ok. Dass das Forum ab jetzt aktualisiert wird sollte klar sein . Ich würd ganz gerne mal wissen wie man am besten einen Einstieg ins Thema Security kriegt... ich kann ja schlecht anfangen jetzt die komplette RFC-Datenbank durchlesen. Gibts hier jemanden der schon fitter in der Materie ist? Wie habt Ihr angefangen? Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Sigi Geschrieben 2. Mai 2006 Teilen Geschrieben 2. Mai 2006 Nö dat sag ich dir nicht. Wie gesagt hacken/cracken wenn du das lernen willst, wirste das schon selbst heruasfinden müssen. Sollte fürn Fachinformatiker kein großes Ding sein. Für alles andere gibt es immer noch heise security und co. Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
geloescht_JesterDay Geschrieben 2. Mai 2006 Teilen Geschrieben 2. Mai 2006 Es handelt sich um phpBB in der Version 2.0.8. Die aktuelle Version von phpBB ist die 2.0.20! die phpBB-Group hat die Version 2.0.20 von phpBB herausgegeben: http://www.phpbb.com/phpBB/viewtopic.php?f=14&t=380687 Da die neue Version einige Updates enthält, die teilweise auch sicherheitskritisch sind, wird ein Update dringend empfohlen. Aktualisierte deutsche Pakete werden in den kommenden Tagen verfügbar sein. Und das war nicht die erste Version, die sicherheitskritiche Patches hatte. Es gab z.B. schon Würmer, die sich über eine Lücke in phpBB ausgebreitet haben. Auf der phpBB Seite gibt es wohl zur Zeit auch Probleme mit der DB, sonst würd ich dir einen Link raussuchen. Aber wenn du Software im Web laufen hast, solltest du immer (!!!) auf dem aktuellen Stand bleiben. Wenn er keine mods in seiner phpBB Version hat, ist das ja recht einfach. Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Sigi Geschrieben 2. Mai 2006 Teilen Geschrieben 2. Mai 2006 Ach so ja wegen den Logfiles: Vergest es einfach. Ich mein bka etc. bekommt es ja nicht mal hin irgendwelche Kiddy_hacker_seiten zu closen die sich überall mit realdaten anmelden glaubt ihr wirklich die machen nen Finger krum weil da irgendjemand deine db geplättet hat? Wenn der Server dann nicht grad als Zombie misbraucht wird, der paar wirklich illegale Sachen macht, wirds nich mal zu ner Anzeige kommen. Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
di::bo Geschrieben 2. Mai 2006 Autor Teilen Geschrieben 2. Mai 2006 @Jester Day: Erst mal Danke für Deine Antwort - die war ja um einiges produktiver als von dem anderen Kollegen @Sigi: Dass es mir hier nicht darum geht hacken zu lernen, dürfte ja wohl klar sein. Und eine Aussage wie "Wie gesagt hacken/cracken wenn du das lernen willst, wirste das schon selbst heruasfinden müssen. Sollte fürn Fachinformatiker kein großes Ding sein." halte ich für ziemlichen Blödsinn. Was verstehst Du unter hacken? Das Abklimpern von Anleitungen aus der Hacker-Bibel? Oder das selbstständige Aufdecken von Sicherheitslücken? Wenn das für Dich kein großes Ding ist - herzlichen Glückwunsch :uli ! Was die RFC angeht, ist mir schon klar dass das primär nichts mit Security zu tun hat. Mein Ansatz war aber eher der, die Technologien zu verstehen um dann auch die Sicherheitslücken zu verstehen... Und da wäre RFC halt ein Weg. Der bessere ist aber wohl der, den Du beschrieben hast und zwar die Definitionen der verschiedenen Sicherheitslücken (z.B. Heap Overflow) zu verstehen, das ist dann quasi der umgekehrte Weg. Kennt da jemand eine Übersicht von solchen Begriffen? Da ich in Java überhaupt nicht fit bin, finde ich mit Sicherheit nicht die entsprechende Stelle durch den der Hack ermöglicht wurde. Das Logging von der Forum-Administration werde ich mir aber trotzdem mal ansehen. Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Sigi Geschrieben 2. Mai 2006 Teilen Geschrieben 2. Mai 2006 Die Log wird dir nix bringen und was hat das ganze mit Java zu tun? Zudem haben die Protokolle und Standards auch nix mit hacks zu tun. Zumindest nicht wenn es um exploits geht. Bei Firewall ist es interessant wie sie reagieren aber das war ja bei dir nich das Problem. Das Thema Exploits Buffer overflow und co ist aber etwas aufwendiger und erfordert ne Menge Übung bevor du damit eifnach so umgehst. Erst recht kostet es Zeit! Irgendwelche Exploits runterzuladen hingegeben bringt dir keinerlei Information wie das ganze groß funktioniert weils eh immer gleich funktioniert. Sollte bei Wikipedai gut genug drin stehen. Richtig programmieren lernen, wissen was in c++ wirklich gemacht wird(heap stack zeiger etc.) dann weißt auch wie das funktioniert. Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
gordonski Geschrieben 2. Mai 2006 Teilen Geschrieben 2. Mai 2006 Schau mal hier: http://www.cback.de/cback_software/standalonect.php bzw. hier: http://www.cback.de/cback_software/phpbb2mods.php Das hat ein Bekannter als Schutz in sein Forum eingebaut. Tut's vielleicht als Übergang bis Du so fit bist, dass Du nicht auf Fremdlösungen zurückgreifen brauchst... Gordonski Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
geloescht_JesterDay Geschrieben 2. Mai 2006 Teilen Geschrieben 2. Mai 2006 Das hat ein Bekannter als Schutz in sein Forum eingebaut. Wenn er immer die Software aktuallisiert, ist er damit genausogut dran. ...schützt Ihr Board dynamisch vor gängigen Wurmattacken... Also erkennt es nur, was schon bekannt ist. Wenn es aber bekannt ist, gibt es mit Sicherheit auch einen Patch oder ein Update für die Software. Die Software wird nur alle eingehenden Daten (Post, Get, Cookie) nach bekannten Mustern prüfen, denke ich mir. Eine gute Software (Fehler und Lücken gibt es auch in guter mal) macht das aber eh selbst. Was man damit erreichen kann ist höchstens, dass man phpBB in der Version 2.0.8 noch laufen lassen kann ohne "Gefahr". Die Muster dieser Software muss man aber auch regelmäßig updaten dazu. Wo ist also der Unterschied? (Bei einem schwer gemoddeten phpBB spart man da vielleicht den Aufwand des Updates, ok...) Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
geloescht_JesterDay Geschrieben 2. Mai 2006 Teilen Geschrieben 2. Mai 2006 Der bessere ist aber wohl der, den Du beschrieben hast und zwar die Definitionen der verschiedenen Sicherheitslücken (z.B. Heap Overflow) zu verstehen, das ist dann quasi der umgekehrte Weg. Kennt da jemand eine Übersicht von solchen Begriffen? Da ich in Java überhaupt nicht fit bin, finde ich mit Sicherheit nicht die entsprechende Stelle durch den der Hack ermöglicht wurde. Das Logging von der Forum-Administration werde ich mir aber trotzdem mal ansehen. Bei wikipedia findest du ein paar: http://de.wikipedia.org/wiki/Cross_Site_Scripting (bei siehe auch). So sehr viel mehr gibt es da auch nicht. Bei einer Webanwendung geht es bei einer Lücke meist darum, dem Skript (oder der Anwendung halt) irgendwelche Daten unterzuschieben um damit eine Reaktion hervorzurufen, die der Programmierer so nicht vorgesehen hat. Und es gibt nicht viele Möglichkeiten, der Anwendung Daten zukommen zu lassen. Cross Site Scripting geht einen anderen Weg. Da werden z.B. Daten, die eigentlich nur an die Anwendung zurückgeschickt werden abgefangen und umgeleitet (Session ID der Benutzer z.B.). Phishing oder Man-in-the-middle-Angriffe sind noch Begriffe, aber für Webanwendungen weniger interessant. phpBB ist auch nicht mit Java programmiert sondern (wie man sich vielleicht denken kann ) mit php. Deine Forschungen im Log werden wohl eher ohne Erfolg bleiben (IMHO). eine Eingabe von einen manipulierten Text in phpBB wird ja nicht geloggt. Das Skript hintendrann stolpert dann vielleicht über den Inhalt und erhöht vielleicht die Rechte des Nutzers, aber im Log schlägt sich das nicht nieder. Allenfalls der Aufruf von Adminseiten aus einem anderen Netz (*) könntest du in der access.log vielleicht bemerken. Naja, da du wohl weißt wann das war, schränkt sich die Anzahl der zu prüfenden Daten ja doch ein... aber ich würd mir da nicht allzuviel Hoffnung machen. *: Anderes Netz meine ich, eine IP-Adresse, die nicht zum Netz des Providers gehört, den dein Freund nutzt. Da man ja davon ausgehen kann, dass er z.B. nicht von Arcor auf den Admin Bereich zugreift, wenn er bei T-Online ist, wäre eine Arcor Adresse bei diesen Seiten doch sehr verdächtig. Dazu müsstest du dir aber erst (bei www.IANA.org z.B.) den Adressbereich des Providers holen und mit den Informationen dann die access.log durchschauen. Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Sigi Geschrieben 2. Mai 2006 Teilen Geschrieben 2. Mai 2006 Sicher kannst du mithilfe des Apachelogs gucken welche Requests ankamen! Da _sqlinjection_ und (eher selten bei php) shellcode immer gleich aussehen. Relativ gleich. Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
geloescht_JesterDay Geschrieben 5. Mai 2006 Teilen Geschrieben 5. Mai 2006 Sicher kannst du mithilfe des Apachelogs gucken welche Requests ankamen! Im Apachelog sind aber (standardmäßig, ob's irgendwie geht weiß ich jetzt nicht) nur GET-Requests drin, keine POST-Requests. Bzw. die dort mitgeschickten Daten (sql-injections etc.). Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
gordonski Geschrieben 5. Mai 2006 Teilen Geschrieben 5. Mai 2006 Die Software wird nur alle eingehenden Daten (Post, Get, Cookie) nach bekannten Mustern prüfen, denke ich mir. Eine gute Software (Fehler und Lücken gibt es auch in guter mal) macht das aber eh selbst. Wenn die Software das kann hat sie keine Lücken mehr... Ein gutes Betriebssystem braucht also keine Firewall, weil es seine Sicherheitslücken selber erkennt und dicht macht? Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Empfohlene Beiträge