Information zur Downtime am 26./27.03.2010
-
Dravere schrieb:
Wozu? Was bitteschön gibt es in einem C++ Forum zu holen? Oder will jemand eine Botschaft platzieren? Irgendwelche rechtsextremen Javaleute?
c++.de hat viel Googlejuice. Vielleicht deshalb.
-
Ich erinnere mich noch an die anderen Angriffe:
http://www.c-plusplus.net/forum/viewtopic-var-t-is-194254.html
http://www.c-plusplus.net/forum/viewtopic-var-t-is-193632-and-start-is-0-and-postdays-is-0-and-postorder-is-asc-and-highlight-is-.htmlJemand scheint wohl Groll gegen das Forum zu hegen.
-
Fear, to the dark side it leads.
Dieser Versuch war schon ziemlich professionell und ging deutlich über bisherige Sachen (Layouthacking, etc) hinaus, es wurde versucht in den Server einzudringen und ihn zu übernehmen.
Das kann sich natürlich gegen c++.de richten, dann geht es wohl darum z.B. die Datenbank zu löschen oder zu beschädigen und eine Nachricht auf der Forenseite zu plazieren, aber es könnte auch ein kommerzieller Hacker sein, der aus der Maschine einen Zombie oder ein Relay machen will.
-
wuerde ein professioneller hacker der nen zombi will nicht moeglichst vorsichtig vorgehen um nicht auf die luecke aufmerksam zu machen und den zombiserver moeglichst lange zu halten?
-
Dravere schrieb:
Marc++us schrieb:
Hintergrund ist, daß wir diese Woche bereits zweimal Angriffe auf den Server hatten, wo durch Ausnutzung einer Software-Lücke ein Angreifer teilweise in den Server eindringen konnte.
Wozu? Was bitteschön gibt es in einem C++ Forum zu holen? Oder will jemand eine Botschaft platzieren? Irgendwelche rechtsextremen Javaleute?
Hmmm, ok, die Fragen könnt ihr sicher nicht beantworten, da frage ich wohl die Falschen. Trotzdem ist mir sowas ein ziemliches Rätsel. Ein Hilfeforum anzugreifen ...
Ich hoffe diese Gegenmassnahmen umschliessen auch Sprengfallen, Minen, lasergesteuerte Gatling-Maschinenkanonen, H2H Abwehrraketen und ein paar nette Bofors 40mm
Na gut, eine Möglichkeit die korrekte IP oder Name des Angreifers herauszufinden, würde auch schon reichen
Die Angriffe erfolgen automatisiert. Es kommen ständig Anfragen von Bots, die auf bekannte Sicherheitslücken testen. Die ganze PHP Software ist leider löchrig wie ein Sieb. Interessant sind Server vorallem als Kontrollserver für Botnets oder Spamrelays (die ganzen Provider IP-Ranges sind ja idR schon geblacklistet).
-
rapso schrieb:
wuerde ein professioneller hacker der nen zombi will nicht moeglichst vorsichtig vorgehen um nicht auf die luecke aufmerksam zu machen und den zombiserver moeglichst lange zu halten?
Ja. Das war ja auch der Fall. Nur hatten wir trotzdem aufgrund einiger Besonderheiten unseres Setups beide Male binnen weniger Minuten die Reverseshell gefunden und den Server offline genommen.
Die Attacke selbst bzw. die Schwachstelle zu lokalisieren war dann allerdings deutlich schwieriger, unter anderem deswegen, weil wir aus den hunderten Angriffsversuchen pro Tag die gefährlichen bzw. erfolgreichen herausfiltern müssen.
Ich möchte an dieser Stelle nicht auf alles so genau eingehen, aber um das Problem ein bisschen verständlicher zu machen:
~ # ls -l access.log.2010-03-13 error.log.2010-03-13 -rw-r--r-- 1 root root 203M Mar 28 14:46 access.log.2010-03-13 -rw-r----- 1 root root 8.3M Mar 28 14:46 error.log.2010-03-13Wir produzieren also pro Tag knappe 200MB Access-Logs und 8MB Error-Logs. Das sind keine detaillierten forensischen Logs sondern ganz stinknormale Apache-Accesslogs. Das sind also pro Tag 210MB Textdaten, das ist schon recht beachtlich. Da aus dem ganzen Rauschen relevante Daten herauszulesen braucht schon etwas Fingerspitzengefühl und viel Geduld und Erfahrung.
Ich hatte jetzt etwas Zeit, mich damit auseinanderzusetzen und würde den Angriff mittlerweile auch nicht mehr unbedingt als sehr professionell bezeichnen. Typische Scriptkiddie-Arbeit, die aufgrund einiger Eigenheiten des Angriffs aber etwas lästiger war und uns mehr Arbeit als Durchschnittsangriffe gekostet hat.
-
rapso schrieb:
wuerde ein professioneller hacker der nen zombi will nicht moeglichst vorsichtig vorgehen um nicht auf die luecke aufmerksam zu machen und den zombiserver moeglichst lange zu halten?
Hierzu auch noch: Die meisten Programmierer da draußen sind schlecht und produzieren ständig thedailywtf-tauglichen Code ohne viel Ahnung von ihrer Arbeit zu haben oder sich sehr dafür zu interessieren. Bei Blackhats ist das nicht anders, auch wenn es sich um professionelle Blackhats handelt, die das für Geld machen. Wozu sich groß anstrengen, wenn man auch mit weniger Aufwand genug verwundbare Systeme findet?
-
rüdiger schrieb:
Die ganze PHP Software ist leider löchrig wie ein Sieb.
Ein Grund mehr endlich die Forensoftware zu ersetzen, vor allem auch im Hinblick darauf, dass hoffentlich jemand anderes dann die Löcher stopft und nicht ihr diese Arbeit übernehmen müsst.
Ich weiss, ich weiss, ihr habt keine Zeit dafür. Daher mal ganz blöd gefragt: Wieviel würde sowas kosten, wenn man es in Auftrag geben würde? Finanzierbar vielleicht über Spenden, wenn ihr denn Spenden annehmen würdet ... ein Teufelskreis
Grüssli
-
Vorher sollte man natürlich klären, ob Phpbb3 diese Sicherheitsmängel, die hier relevant sind, auch geflickt hat und ob vlt. auch die Forumssuche von phpbb3 besser ist.
-
Mr X schrieb:
Vorher sollte man natürlich klären, ob Phpbb3 diese Sicherheitsmängel, die hier relevant sind, auch geflickt hat und ob vlt. auch die Forumssuche von phpbb3 besser ist.
Oder auch gleich ganz von PhpBB weg? Gibt ja noch genügend andere Forensoftware.
Grüssli
-
Das würde bestimmt die Umstellung noch weiter erschweren, oder?
-
Wieso nehmt ihr nicht den Default-Admin-Ordner von phpBB und bezeichnet ihn anders? Das würde zumindest die Access-Logs verhindern, falls ich das Problem richtig verstehe.
-
Mal angenommen die Datenbank würde massiv beschädigt, gibt es da eine ausreichende Datensicherung?
-
Ja.
-
Borschtsch schrieb:
Wieso nehmt ihr nicht den Default-Admin-Ordner von phpBB und bezeichnet ihn anders?
Das ist gar nicht immer so einfach, außerdem haben wir dafür was anderes gemacht.
Mal eine Gegenfrage: wieso glaubt Ihr eigentlich alle, daß die Lücke im phpBB war?
-
Marc++us schrieb:
Mal eine Gegenfrage: wieso glaubt Ihr eigentlich alle, daß die Lücke im phpBB war?
Wahrscheinlichkeit am Höchsten und in die Administration hat man vertrauen. Ist dieses Vertrauen etwa nicht gerechtfertigt?
Grüssli
-
Dravere schrieb:
Marc++us schrieb:
Mal eine Gegenfrage: wieso glaubt Ihr eigentlich alle, daß die Lücke im phpBB war?
Wahrscheinlichkeit am Höchsten und in die Administration hat man vertrauen. Ist dieses Vertrauen etwa nicht gerechtfertigt?
Das Admin-Passwort war wahrscheinlich "test" oder "passwort" oder "1234"
-
Dravere: Hier läuft durchaus nicht nur PhpBB.
abc.w schrieb:
Das Admin-Passwort war wahrscheinlich "test" oder "passwort" oder "1234"
Nein, "god" natürlich. Habe es jetzt aber auf "god123" geändert, nächstes Mal wenn wir Schwierigkeiten haben, tu ich vielleicht sogar ein Sonderzeichen dazu.
Borschtsch: Ich verstehe nicht so recht, was das ändern sollte. In den Access-Logs stehen 404s ja genauso drin, wie irgendwas anderes. Und wenn wir nicht schon vor geraumer Zeit vorbeugend eine ganze Menge leicht umsetzbarer Maßnahmen ergriffen hätten, dann hätten wir hier ständig viel gröbere Probleme.
Dravere schrieb:
Ein Grund mehr endlich die Forensoftware zu ersetzen, vor allem auch im Hinblick darauf, dass hoffentlich jemand anderes dann die Löcher stopft und nicht ihr diese Arbeit übernehmen müsst.
Glaub mir, wenn das zwei Wochenenden Zeitaufwand wären, dann hätten wir schon was anderes. Und auch wenn ich das selten hier groß ausbreite, analysiere ich jeden Down und überlege, was man besser machen hätte können, was Konsequenzen sein könnten und was mittel- bis langfristig an Arbeit nötig sein wird, um die Seite am Leben erhalten zu können.
Und Upgrades der Forensoftware in Auftrag geben… Wenn wir vom üblichen Tagsatz für freie Entwickler ausgehen, wird das sehr, sehr, sehr teuer. Spendenaktionen sind rechtlich problematisch und auch nur sinnvoll, wenn man ein bisschen Geld für frische Hardware oder einen Providerwechsel oä. braucht. Der Zeitaufwand wäre allerdings so hoch, dass wir aktuell unsere ständigen Wartungsarbeiten für weniger aufwändig halten. Das sagt schon ein bisschen etwas, da käme man mit einer Auftragsvergabe finanziell mit Spenden nicht sehr weit.
-
Dravere schrieb:
Mr X schrieb:
Vorher sollte man natürlich klären, ob Phpbb3 diese Sicherheitsmängel, die hier relevant sind, auch geflickt hat und ob vlt. auch die Forumssuche von phpbb3 besser ist.
Oder auch gleich ganz von PhpBB weg? Gibt ja noch genügend andere Forensoftware
Ich habe mir mittlerweile eine Menge Sachen angesehen und bis dato nichts gefunden, wo wir nicht noch einiges selbst dazuschreiben müssten um die gleiche Funktionalität wie momentan zu haben.
Ist leider nicht so, dass wir einfach eine frische phpBB-Version ziehen, Daten rüberschaufeln und online gehen könnten.
-
nman schrieb:
Ich verstehe nicht so recht, was das ändern sollte. In den Access-Logs stehen 404s ja genauso drin, wie irgendwas anderes.
Ja gut, eine 404er würde aber wo möglich eher zum Aufgeben anregen und auch grundsätzlich das Risiko senken. Ferner könnte man in diesem speziellen Fall bestimmt eine Regel für den Apachen einrichten, die aufs Logging verzichtet.
nman schrieb:
Und wenn wir nicht schon vor geraumer Zeit vorbeugend eine ganze Menge leicht umsetzbarer Maßnahmen ergriffen hätten, dann hätten wir hier ständig viel gröbere Probleme.
An der Kompetenz zweifle ich keineswegs!
Zum Thema Ersatzsoftware fehlt mir ein: Veröffentlicht eine Liste mit allen Forderungen; die interessierten User könnten gemeinsam sehr wahrscheinlich etwas organisieren.
