Topic: Virus Infektion

[capri]

Vorgeschichte:
Vor gut einer Woche hatte ich meinen SME Server 7.0rc1 komplett neu aufgesetzt um zu testen wie er sich verhält wenn er anstatt mit einem vorgeschalteten Firewall Router direkt an ein DSL Modem angeschlossen läuft.
Kurz Darauf habe ich die aktuelle Version vom Jamoola (CMS) in einen nur vom lokalen Netzwerk zugänglichen ibay installiert.
War eine Installation des Jamoola Grundsystems ohne das, sie Kode Unten, bestimmte Template.

Die Warscheinlichkeit das der Virus über Mail oder das lokale Netzwerk eindringen konnte halte ich eher für Gering, da Mails von einem extermen leistungstarken Scanner untersucht werden vor sie mein System erreichen und im lokalen Netzwerk jeder Rechner einen eigenen Virenscanner besitzt der den Datenstrom nochmal untersucht.

Auch die 'Fundstelle' des Virus (Backdoor) deutet imho eher auf eine Einschleusung durch das Jamoola System.

Hier der Auszug aus der Clamav Nachricht:

Code: [Select]

//dev/shm/.door/divre: Linux.RST.B FOUND
//dev/shm/.door/divre: moved to '/var/spool/clamav/quarantine//divre'
//dev/shm/door.tgz: Linux.RST.B FOUND
//dev/shm/door.tgz: moved to '/var/spool/clamav/quarantine//door.tgz'
//home/e-smith/files/ibays/jamola/html/templates/omen/djistra/kik: Linux.Osf.3974 FOUND
//home/e-smith/files/ibays/jamola/html/templates/omen/djistra/kik: moved to '/var/spool/clamav/quarantine//kik'
//home/e-smith/files/ibays/jamola/html/templates/omen/djistra.tar.gz: Linux.Osf.3974 FOUND
//home/e-smith/files/ibays/jamola/html/templates/omen/djistra.tar.gz: moved to '/var/spool/clamav/quarantine//djistra.tar.gz'
LibClamAV Warning: Multipart MIME message contains no boundaries


[psc]

Shit happens...

Aber mal im ernst, wie gut das ClamAV gleich eingebaut ist.
Also der Aufruf an alle:
   Schaltet den Virenscanner ein, aktiviert den Dateisystem Scan !

[capri]

Jau, der Clamav und der Rootkit Hunter sind schon sehr feine Sachen, hilft aber oft nichts wenn der Kode der Webseiten fehlerhaft ist, denn ich hatte schon wieder einen Angriff, diesmal auf eine meiner offiziellen Seiten und es sieht so aus das es ein Script Kiddy war, der eine Lücke in PostNuke ausgenutzt hat, Genaueres konnte ich noch nicht herausfinden.

[andy_wismer]

Hallo

Eine Lücke im PostNuke?

Nuke und Postnuke strotzen vor Löcher, bei Nuke sicher wegen FB's eigensinnigkeit.

Deswegen ist Postnuke davon abgesplitet, aber beide sind SEHR anfällig, bereits "Out of the box", also ohne Zusatzmodule...

Gallery, Avatar upload usw. bieten immer wieder Angriffspunkte für SQL Injection oder eben File upload.

Hatte das gleiche Problem bei einem Kunden von mir, bis er eine ander CMS verwendet hat. Seither scheint das sauber...

Gruss
Andy

[capri]

Hi,

Hallo

Eine Lücke im PostNuke?

Nuke und Postnuke strotzen vor Löcher, bei Nuke sicher wegen FB's eigensinnigkeit.

Der Urheber war eindeutig Jamoola, scheint dass das ganze 'Modul Install System', nicht so sicher ist. Komfort hat halt seinen Preis, und wenn dann immer sogenannt 'Fachzeitschriften' die Sicherheit solcher CMS loben naja, man braucht sich oft nur die .htaccess ansehen, da werden bei manchen CMS so 'Spielchen' getrieben wie register_globals aktiviert.

Über PHPNuke braucht man wohl nichts zu sagen, das ist bekannt, aber Postnuke wird oft zu Unrecht schlecht gemacht, Standardmäßig ist es sehr sicher, nur da seine API kaum Sicherheitsbeschränkungen hat, reißt manches Modul das ganze System auf

Wäre Postnuke so Schlecht, würden es gewiss nicht ein paar der ganz großen Sites einsetzen, ich für meinen Teil ziehe es so 'Klicki-Bunti' CMS wie Mambo oder Jamoola vor.

Gallery, Avatar upload usw. bieten immer wieder Angriffspunkte für SQL Injection oder eben File upload.

Hatte das gleiche Problem bei einem Kunden von mir, bis er eine ander CMS verwendet hat. Seither scheint das sauber...

Vermute mal das war dann eine ältere Version von Postnuke, 7.50 -> sollte da gefeit sein, es gibt ja eine Postnuke Security Seite, und auch auf nukecops (??) findet man viel zum Thema Sicherheit bei CMS, imho hat jedes derzeitige auf PHP basierende CMS noch den ein oder anderen Fehler drin.

Servus,
           Stefan

[andy_wismer]

Hi

Zugegeben, in Sachen Security gibt's NIE einen absoluten sicheren Server, ausser der ist an kein Netz angeschlossen, bietet keine Dienste an. Aber ist es dann noch einen Server?

Um einen Einblick darin zu kriegen, inwiefern sich Entwickler überhaupt Gedanken machen, empfiehlt es sich eine Applikation anzuschauen (Code wie auch End-User / Admin Sicht der App). Ist eine vernünftige Gruppen / User-Konzept durchgezogen, oder als Nachgedanke hineinprogrammiert...

Mambo / Joomla leiden daran, dass "Gruppen" quasi im Nachhinein verkodiert wurde.

Nuke ebenso.

Relativ sauber ist Xoops / EXV2, was den Gruppen/User Konzept betrifft.

Das Ganze betrifft aber nur mal die grundlegende Konzepte.

Nicht sauber geparste Benutzereingaben / URLs bieten leichte Angriffspunkte für script-kiddies und fortgeschrittene...

A never ending story!!!

Gruss
Andy

[capri]

Dabei sehe ich das Hauptproblem nichtmal bei der Benutzer Verwaltung, respektive deren Programmierung, oft ist es einfach nur schlampige Programmierung oder mitgeschlepte Altlasten (phpBB).

Man könnte jetzt die Fehleranzeige von PHP auf restrktiv setzen, aber da sind dann die Progammierer oft schlau genug im Programmkode die Fehlerausgabe zu unterdrücken, hilft halt dann nur, will man es genau wissen, einen Serverseitigen Degugger mitlaufen zu lassen, aber wer macht sich schon die Arbeit?

[andy_wismer]

Hallo

Ein kleiner Tip, um "Vorab" agieren zu können, statt nacher zu reagieren, nach einem Angriff:

Web-Statistiken (AWStats / Webalizer) aktivieren, referrer auch aktiv (Aber privat, damit referrer-spam nicht missbraucht wird).

Hier darauf ab und zu achten (Automat mit scripts...) ob solche Begriffe im "Suche" auftauchen: Gallery, PHPBB, usw.

Bei mir zeigt sich z.B.: "xgallery domain .org modules"...

Na, was sucht dieser Script-kiddie wohl?

Grüsse
Andy