Information zur Downtime am 26./27.03.2010
-
Hallo,
wie hoffentlich schmerzlich bemerkt wurde, war der Server ab dem 26.03. ca. 19:30 bis jetzt 27.03. 23:15 down.
Hintergrund ist, daß wir diese Woche bereits zweimal Angriffe auf den Server hatten, wo durch Ausnutzung einer Software-Lücke ein Angreifer teilweise in den Server eindringen konnte.
Zur Analyse des Angriffswegs und zur Vorbereitung von Gegenmaßnahmen mußte der Server daher deaktiviert werden.
Wir schauen mal wie unsere gegenwärtige Gefechtslage aussieht, es ist durchaus möglich, daß in der nächsten Woche noch weitere Downs auftreten.
-
Waidmannsheil!
-
Marc++us schrieb:
Hintergrund ist, daß wir diese Woche bereits zweimal Angriffe auf den Server hatten, wo durch Ausnutzung einer Software-Lücke ein Angreifer teilweise in den Server eindringen konnte.
Wozu? Was bitteschön gibt es in einem C++ Forum zu holen? Oder will jemand eine Botschaft platzieren? Irgendwelche rechtsextremen Javaleute?
Hmmm, ok, die Fragen könnt ihr sicher nicht beantworten, da frage ich wohl die Falschen. Trotzdem ist mir sowas ein ziemliches Rätsel. Ein Hilfeforum anzugreifen ...
Ich hoffe diese Gegenmassnahmen umschliessen auch Sprengfallen, Minen, lasergesteuerte Gatling-Maschinenkanonen, H2H Abwehrraketen und ein paar nette Bofors 40mm
Na gut, eine Möglichkeit die korrekte IP oder Name des Angreifers herauszufinden, würde auch schon reichen
Grüssli
-
Dravere schrieb:
Wozu? Was bitteschön gibt es in einem C++ Forum zu holen? Oder will jemand eine Botschaft platzieren? Irgendwelche rechtsextremen Javaleute?
c++.de hat viel Googlejuice. Vielleicht deshalb.
-
Ich erinnere mich noch an die anderen Angriffe:
http://www.c-plusplus.net/forum/viewtopic-var-t-is-194254.html
http://www.c-plusplus.net/forum/viewtopic-var-t-is-193632-and-start-is-0-and-postdays-is-0-and-postorder-is-asc-and-highlight-is-.htmlJemand scheint wohl Groll gegen das Forum zu hegen.
-
Fear, to the dark side it leads.
Dieser Versuch war schon ziemlich professionell und ging deutlich über bisherige Sachen (Layouthacking, etc) hinaus, es wurde versucht in den Server einzudringen und ihn zu übernehmen.
Das kann sich natürlich gegen c++.de richten, dann geht es wohl darum z.B. die Datenbank zu löschen oder zu beschädigen und eine Nachricht auf der Forenseite zu plazieren, aber es könnte auch ein kommerzieller Hacker sein, der aus der Maschine einen Zombie oder ein Relay machen will.
-
wuerde ein professioneller hacker der nen zombi will nicht moeglichst vorsichtig vorgehen um nicht auf die luecke aufmerksam zu machen und den zombiserver moeglichst lange zu halten?
-
Dravere schrieb:
Marc++us schrieb:
Hintergrund ist, daß wir diese Woche bereits zweimal Angriffe auf den Server hatten, wo durch Ausnutzung einer Software-Lücke ein Angreifer teilweise in den Server eindringen konnte.
Wozu? Was bitteschön gibt es in einem C++ Forum zu holen? Oder will jemand eine Botschaft platzieren? Irgendwelche rechtsextremen Javaleute?
Hmmm, ok, die Fragen könnt ihr sicher nicht beantworten, da frage ich wohl die Falschen. Trotzdem ist mir sowas ein ziemliches Rätsel. Ein Hilfeforum anzugreifen ...
Ich hoffe diese Gegenmassnahmen umschliessen auch Sprengfallen, Minen, lasergesteuerte Gatling-Maschinenkanonen, H2H Abwehrraketen und ein paar nette Bofors 40mm
Na gut, eine Möglichkeit die korrekte IP oder Name des Angreifers herauszufinden, würde auch schon reichenDie Angriffe erfolgen automatisiert. Es kommen ständig Anfragen von Bots, die auf bekannte Sicherheitslücken testen. Die ganze PHP Software ist leider löchrig wie ein Sieb. Interessant sind Server vorallem als Kontrollserver für Botnets oder Spamrelays (die ganzen Provider IP-Ranges sind ja idR schon geblacklistet).
-
rapso schrieb:
wuerde ein professioneller hacker der nen zombi will nicht moeglichst vorsichtig vorgehen um nicht auf die luecke aufmerksam zu machen und den zombiserver moeglichst lange zu halten?
Ja. Das war ja auch der Fall. Nur hatten wir trotzdem aufgrund einiger Besonderheiten unseres Setups beide Male binnen weniger Minuten die Reverseshell gefunden und den Server offline genommen.
Die Attacke selbst bzw. die Schwachstelle zu lokalisieren war dann allerdings deutlich schwieriger, unter anderem deswegen, weil wir aus den hunderten Angriffsversuchen pro Tag die gefährlichen bzw. erfolgreichen herausfiltern müssen.
Ich möchte an dieser Stelle nicht auf alles so genau eingehen, aber um das Problem ein bisschen verständlicher zu machen:
~ # ls -l access.log.2010-03-13 error.log.2010-03-13 -rw-r--r-- 1 root root 203M Mar 28 14:46 access.log.2010-03-13 -rw-r----- 1 root root 8.3M Mar 28 14:46 error.log.2010-03-13Wir produzieren also pro Tag knappe 200MB Access-Logs und 8MB Error-Logs. Das sind keine detaillierten forensischen Logs sondern ganz stinknormale Apache-Accesslogs. Das sind also pro Tag 210MB Textdaten, das ist schon recht beachtlich. Da aus dem ganzen Rauschen relevante Daten herauszulesen braucht schon etwas Fingerspitzengefühl und viel Geduld und Erfahrung.
Ich hatte jetzt etwas Zeit, mich damit auseinanderzusetzen und würde den Angriff mittlerweile auch nicht mehr unbedingt als sehr professionell bezeichnen. Typische Scriptkiddie-Arbeit, die aufgrund einiger Eigenheiten des Angriffs aber etwas lästiger war und uns mehr Arbeit als Durchschnittsangriffe gekostet hat.
-
rapso schrieb:
wuerde ein professioneller hacker der nen zombi will nicht moeglichst vorsichtig vorgehen um nicht auf die luecke aufmerksam zu machen und den zombiserver moeglichst lange zu halten?
Hierzu auch noch: Die meisten Programmierer da draußen sind schlecht und produzieren ständig thedailywtf-tauglichen Code ohne viel Ahnung von ihrer Arbeit zu haben oder sich sehr dafür zu interessieren. Bei Blackhats ist das nicht anders, auch wenn es sich um professionelle Blackhats handelt, die das für Geld machen. Wozu sich groß anstrengen, wenn man auch mit weniger Aufwand genug verwundbare Systeme findet?
-
rüdiger schrieb:
Die ganze PHP Software ist leider löchrig wie ein Sieb.
Ein Grund mehr endlich die Forensoftware zu ersetzen, vor allem auch im Hinblick darauf, dass hoffentlich jemand anderes dann die Löcher stopft und nicht ihr diese Arbeit übernehmen müsst.
Ich weiss, ich weiss, ihr habt keine Zeit dafür. Daher mal ganz blöd gefragt: Wieviel würde sowas kosten, wenn man es in Auftrag geben würde? Finanzierbar vielleicht über Spenden, wenn ihr denn Spenden annehmen würdet ... ein Teufelskreis
Grüssli
-
Vorher sollte man natürlich klären, ob Phpbb3 diese Sicherheitsmängel, die hier relevant sind, auch geflickt hat und ob vlt. auch die Forumssuche von phpbb3 besser ist.
-
Mr X schrieb:
Vorher sollte man natürlich klären, ob Phpbb3 diese Sicherheitsmängel, die hier relevant sind, auch geflickt hat und ob vlt. auch die Forumssuche von phpbb3 besser ist.
Oder auch gleich ganz von PhpBB weg? Gibt ja noch genügend andere Forensoftware.
Grüssli
-
Das würde bestimmt die Umstellung noch weiter erschweren, oder?
-
Wieso nehmt ihr nicht den Default-Admin-Ordner von phpBB und bezeichnet ihn anders? Das würde zumindest die Access-Logs verhindern, falls ich das Problem richtig verstehe.
-
Mal angenommen die Datenbank würde massiv beschädigt, gibt es da eine ausreichende Datensicherung?
-
Ja.
-
Borschtsch schrieb:
Wieso nehmt ihr nicht den Default-Admin-Ordner von phpBB und bezeichnet ihn anders?
Das ist gar nicht immer so einfach, außerdem haben wir dafür was anderes gemacht.
Mal eine Gegenfrage: wieso glaubt Ihr eigentlich alle, daß die Lücke im phpBB war?
-
Marc++us schrieb:
Mal eine Gegenfrage: wieso glaubt Ihr eigentlich alle, daß die Lücke im phpBB war?
Wahrscheinlichkeit am Höchsten und in die Administration hat man vertrauen. Ist dieses Vertrauen etwa nicht gerechtfertigt?
Grüssli
-
Dravere schrieb:
Marc++us schrieb:
Mal eine Gegenfrage: wieso glaubt Ihr eigentlich alle, daß die Lücke im phpBB war?
Wahrscheinlichkeit am Höchsten und in die Administration hat man vertrauen. Ist dieses Vertrauen etwa nicht gerechtfertigt?
Das Admin-Passwort war wahrscheinlich "test" oder "passwort" oder "1234"
