Re: [TYPO3-german] Sicherheitslücke aufspüren
Am 19. Juni 2013 18:56 schrieb Philipp Gampe philipp.ga...@typo3.org: Hi ulrich, ulrich wrote: Der Angreifer hat der index.php und 2-3 anderen HTML-Dateien einen IFRAME hinzugefügt. Das schaue eher nach einen Skript, denn nach einem gezielten Angriff aus. I.d.R. erfolgen solche Angriffe über gehackte (Trojaner, o.ä.) Zugangsdaten von dir oder jemand anderem auf dem Server. Evtl. hat auch jemand ein schwaches Passwort und einen erratenen Benutzernamen. Wenn auf dem Server die Accounts nicht untereinander abgeschottet sind (chroot, o.ä.), dann kann es von jedem Account aus losgegangen sein. Wieso ich denke, dass der Angriff nicht über ssh/ftp kam: Hätte der Angreifer auf diesem Weg Zugriff aufs System gehabt, warum hat er dann nur bei ein paar Dateien was verändert? Und dann auch nur welche die leicht zu erraten sind (index/default .php/.html). Wenn ich auf einem System eine shell hätte, dann würde ich bestimmt mehr Zeit auf dem System verbringen... noch dazu liegen auf dem System hunderte andere .html files an denen nichts manipuliert wurde. Mit einer shell wäre es doch ein leichtes gewesen über find und sed oder awk zusätzlichen code in alle auf dem System vorhanden html/php files was zu schreiben. Oder es wurde ein bekannte, automatisch ausnutzbare Lücke von einem der eingesetzten Softwaremodulen verwendet. Typisch sind dann ein automatischer Scan nach index.html und index.php und das Einfügen von Schadecode in diese. Die eigentliche Schwierigkeit besteht daran, die Lücke zu finden, wodurch der Angreifer Zugriff auf den Server erhalten hat. Genau. Ich hab ja bisher versucht mit tools wie apache-scalp die logs zu analysieren, bin aber noch nicht fündig geworden... Außerdem werden oft Hintertüren eingebaut, wodurch eine erneute Infektionen sehr wahrscheinlich wird. Bisher noch keine erneute Infektion. Was meine Theorie von oben unterstützt. Allerdings werde ich mir wohl den Wahnsinn antun und tripwire einrichten um halbwegs angenehm schlafen zu können ;) Du solltest eine Experten engagieren oder den Hoster wechseln und alles PHP, JS und HTML Dateien aus sauberen Quellen neu aufsetzen. Ja. Der Experte bin dann in dem Fall ich. Es kommt ja immer auf den Umfang des Projekts an. Viele Grüße -- Ebenso Ulrich ___ TYPO3-german mailing list TYPO3-german@lists.typo3.org http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
Re: [TYPO3-german] Sicherheitslücke aufspüren
Am Freitag, 21. Juni 2013, 12:47:36 schrieb ulrich: Bisher noch keine erneute Infektion. Was meine Theorie von oben unterstützt. Allerdings werde ich mir wohl den Wahnsinn antun und tripwire einrichten um halbwegs angenehm schlafen zu können ;) Nimm aide, http://aide.sourceforge.net. Ist kein Horror beim Einrichten, das dauert halt ein bißchen, bis man all' die excludes erkannt und konfiguriert hat. Nach einer Weile läuft das sehr flockig. Du solltest halt die erzeugte DB mit den Prüfsummen regelmäßig(!) auf ein anderes System verfrachten, um im Falle einer Kompromittierung das System sauber von sauberem, anderen Datenträger booten und so auch sauber vergleichen zu können. Man muß natürlich auch dazu sagen, daß weder tripwire noch aide vor einer Kompromittierung schützen, aber das dürfte wohl eh klar sein. Viele Grüße, Christian ___ TYPO3-german mailing list TYPO3-german@lists.typo3.org http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
Re: [TYPO3-german] Sicherheitslücke aufspüren
Hallo Ulrich, -Ursprüngliche Nachricht- Von: typo3-german-boun...@lists.typo3.org [mailto:typo3-german- boun...@lists.typo3.org] Im Auftrag von ulrich Gesendet: Freitag, 21. Juni 2013 12:48 An: German TYPO3 Userlist Betreff: Re: [TYPO3-german] Sicherheitslücke aufspüren Am 19. Juni 2013 18:56 schrieb Philipp Gampe philipp.ga...@typo3.org: Hi ulrich, ulrich wrote: ---snip Wieso ich denke, dass der Angriff nicht über ssh/ftp kam: Hätte der Angreifer auf diesem Weg Zugriff aufs System gehabt, warum hat er dann nur bei ein paar Dateien was verändert? Und dann auch nur welche die leicht zu erraten sind (index/default .php/.html). Wenn ich auf einem System eine shell hätte, dann würde ich bestimmt mehr Zeit auf dem System verbringen... noch dazu liegen auf dem System hunderte andere .html files an denen nichts manipuliert wurde. Mit einer shell wäre es doch ein leichtes gewesen über find und sed oder awk zusätzlichen code in alle auf dem System vorhanden html/php files was zu schreiben. Diese Angriffe laufen über Scripte und werden nicht manuell bedient. Das Script hat lediglich die Anweisung die per Trojaner gestohlenen FTP-Daten zu verwenden, eine legale Verbindung herzustellen und ein paar Dateien zu infizieren. Im günstigsten Falle wird auf den kompromittierten Seiten lediglich ein Link platziert, der für Klickumsätze sorgt. In schlimmeren Fällen wird einfach aus Spaß das gesamte System zerstört. Viele Grüße, Bernhard Ludwig ___ TYPO3-german mailing list TYPO3-german@lists.typo3.org http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
Re: [TYPO3-german] Sicherheitslücke aufspüren
Hi, es muss nicht immer am PHP liegen. http://www.heise.de/security/meldung/Darkleech-infiziert-reihenweise-Apache-Server-1833910.html Ich konnte in dem genannten Zeitraum reiheweise Seiten beobachten, die gehackt wurden. Sogar mit statischen HTML-Seiten. Gruß HP Am 19.06.2013 15:28, schrieb ulrich: Hallo Liste, da die Diskussion sehr spekulativ wird, hier ein paar Infos: Der Angreifer hat der index.php und 2-3 anderen HTML-Dateien einen IFRAME hinzugefügt. In diesem IFRAME hat er dann Flash/Java initialisiert und den GVU-Trojaner im Windows des Users installiert. Es wurde nichts am TS oder im BE verändert. Ich kann mir auch beim besten Willen nicht vorstellen, dass jemand die Seite gezielt angegriffen hat. Ich denke eher, dass jemand per Script nach IP-Ranges abfragt, URLS checkt und dann den Schadcode ausführt. Alle involvierten Domains/server sind natürlich mit Privacy Protected. Ein whois läuft also ins leere. Nichtsdestotrotz hab ich dem Hoster (OVH) eine Abuse-Meldung zukommen lassen. Dort liegen - wie es scheint - die Dateien, die die Rechner der User infizieren. Und da ich bisher von solchen Themen verschont geblieben bin, war meine Frage: Habt ihr *praktische* Tipps? ZB welche Dokus man lesen könnte, Tools zur Analyse, ... Es kann ja auch sein, dass der Angreifer nicht übers Typo3 kam, sondern über JavaScript. Also muss ich die Logs auch nach manipulierten JS-Aufrufen durchsuchen, etc... Alles Sachen, die ich bisher nur aus schlechten Filmen kannte ;) Was ich bisher gemacht hab: Logfiles für FTP überprüft. Sauber Logfiles nach Direktaufrufen von URLs in typo3conf/ext/ durchsucht Nichts. Bringt das überhaupt was? Logfiles mit apache-scalp* nach diversen Patterns (SQLInjections, etc) durchkämmt Nichts. Logfiles für ssh Warte noch auf Zugriff. Ist ein Managed Server. Bin wie gesagt, über jeden praktischen Tipp mehr als dankbar! Schönen Tag und angenehmes Schwitzen Ulrich Am 19. Juni 2013 07:00 schrieb Andreas Becker ab.bec...@web.de: Richtig Georg - Insider Wissen und wenn man quasi an der Quelle sitzt ist immer hilfreich bei solchen Dingen. Ist aber in jedem Berufsfeld zB beim Boersenhandel ja nicht anders! Es wird sich immer die Frage stellen wie sicher ist der Sicherheitsexperte/das Sicherheits Team/ wer kontrolliert das und wie wird es kontrolliert etc. Andi 2013/6/19 Georg Ringer ty...@ringerge.org Hallo, Am 19.06.2013 01:35, schrieb Andreas Becker: wie sieht es aus wenn der Angreifer wie auch immer in den Besitzt der Zugangsdaten zu deiner DB erhielt, dann direkt in die Db einloggte und dort einen neuen User angelegt hat und mit diesem eiloggte ins Backend - Es ist ziemlich selten dass die DB komplett von außen erreichbar ist. Wenn das wirklich der Fall ist, hat es ohnedies ein anderes Problem. - Wie kommt man zu den Credentials der DB? Das geht nur über eine File Disclosure, dh es braucht schon mind 2 Lücken. Aus eigener Erfahrung [...] Da kann man dann einiges abändern z.B. TS oder simple CEs z.B. einen Leitartikel ueber einen neuen Direktor der dann mit einem bekannten Fussballspieler als neuer Direktor ausgetauscht wird. Und man kann Extensions installieren mit denen man u.a. auch die Configurations Dateien editieren kann from within TYPO3! etc.. ist das jetzt noch aus eigener Erfahrung? SCNR Sicherheitsluecken werden dabei evtl. auch schon vor einer veroeffentlichung/bekanntwerden auf der Mailinglist und TYPO3.org ausgenutzt. Natürlich. Ist ja nicht so als ob die Bösen nicht miteinander kommunzieren bzw werden Lücken ja auch gegen Bares gehandelt. Genau das ist auch der Standpunkt warum es keine Patch Days gibt, da das nur heißt dass man Betreiber noch länger davon nichts weiß. aber wir sind nicht mehr beim initialen Thema Georg ___ TYPO3-german mailing list TYPO3-german@lists.typo3.org http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german ___ TYPO3-german mailing list TYPO3-german@lists.typo3.org http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german ___ TYPO3-german mailing list TYPO3-german@lists.typo3.org http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
Re: [TYPO3-german] Sicherheitslücke aufspüren
Hallo Liste, da die Diskussion sehr spekulativ wird, hier ein paar Infos: Der Angreifer hat der index.php und 2-3 anderen HTML-Dateien einen IFRAME hinzugefügt. In diesem IFRAME hat er dann Flash/Java initialisiert und den GVU-Trojaner im Windows des Users installiert. Es wurde nichts am TS oder im BE verändert. Ich kann mir auch beim besten Willen nicht vorstellen, dass jemand die Seite gezielt angegriffen hat. Ich denke eher, dass jemand per Script nach IP-Ranges abfragt, URLS checkt und dann den Schadcode ausführt. Alle involvierten Domains/server sind natürlich mit Privacy Protected. Ein whois läuft also ins leere. Nichtsdestotrotz hab ich dem Hoster (OVH) eine Abuse-Meldung zukommen lassen. Dort liegen - wie es scheint - die Dateien, die die Rechner der User infizieren. Und da ich bisher von solchen Themen verschont geblieben bin, war meine Frage: Habt ihr *praktische* Tipps? ZB welche Dokus man lesen könnte, Tools zur Analyse, ... Es kann ja auch sein, dass der Angreifer nicht übers Typo3 kam, sondern über JavaScript. Also muss ich die Logs auch nach manipulierten JS-Aufrufen durchsuchen, etc... Alles Sachen, die ich bisher nur aus schlechten Filmen kannte ;) Was ich bisher gemacht hab: Logfiles für FTP überprüft. Sauber Logfiles nach Direktaufrufen von URLs in typo3conf/ext/ durchsucht Nichts. Bringt das überhaupt was? Logfiles mit apache-scalp* nach diversen Patterns (SQLInjections, etc) durchkämmt Nichts. Logfiles für ssh Warte noch auf Zugriff. Ist ein Managed Server. Bin wie gesagt, über jeden praktischen Tipp mehr als dankbar! Schönen Tag und angenehmes Schwitzen Ulrich Am 19. Juni 2013 07:00 schrieb Andreas Becker ab.bec...@web.de: Richtig Georg - Insider Wissen und wenn man quasi an der Quelle sitzt ist immer hilfreich bei solchen Dingen. Ist aber in jedem Berufsfeld zB beim Boersenhandel ja nicht anders! Es wird sich immer die Frage stellen wie sicher ist der Sicherheitsexperte/das Sicherheits Team/ wer kontrolliert das und wie wird es kontrolliert etc. Andi 2013/6/19 Georg Ringer ty...@ringerge.org Hallo, Am 19.06.2013 01:35, schrieb Andreas Becker: wie sieht es aus wenn der Angreifer wie auch immer in den Besitzt der Zugangsdaten zu deiner DB erhielt, dann direkt in die Db einloggte und dort einen neuen User angelegt hat und mit diesem eiloggte ins Backend - Es ist ziemlich selten dass die DB komplett von außen erreichbar ist. Wenn das wirklich der Fall ist, hat es ohnedies ein anderes Problem. - Wie kommt man zu den Credentials der DB? Das geht nur über eine File Disclosure, dh es braucht schon mind 2 Lücken. Aus eigener Erfahrung [...] Da kann man dann einiges abändern z.B. TS oder simple CEs z.B. einen Leitartikel ueber einen neuen Direktor der dann mit einem bekannten Fussballspieler als neuer Direktor ausgetauscht wird. Und man kann Extensions installieren mit denen man u.a. auch die Configurations Dateien editieren kann from within TYPO3! etc.. ist das jetzt noch aus eigener Erfahrung? SCNR Sicherheitsluecken werden dabei evtl. auch schon vor einer veroeffentlichung/bekanntwerden auf der Mailinglist und TYPO3.org ausgenutzt. Natürlich. Ist ja nicht so als ob die Bösen nicht miteinander kommunzieren bzw werden Lücken ja auch gegen Bares gehandelt. Genau das ist auch der Standpunkt warum es keine Patch Days gibt, da das nur heißt dass man Betreiber noch länger davon nichts weiß. aber wir sind nicht mehr beim initialen Thema Georg ___ TYPO3-german mailing list TYPO3-german@lists.typo3.org http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german ___ TYPO3-german mailing list TYPO3-german@lists.typo3.org http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german ___ TYPO3-german mailing list TYPO3-german@lists.typo3.org http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
Re: [TYPO3-german] Sicherheitslücke aufspüren
Hi ulrich, ulrich wrote: Der Angreifer hat der index.php und 2-3 anderen HTML-Dateien einen IFRAME hinzugefügt. Das schaue eher nach einen Skript, denn nach einem gezielten Angriff aus. I.d.R. erfolgen solche Angriffe über gehackte (Trojaner, o.ä.) Zugangsdaten von dir oder jemand anderem auf dem Server. Evtl. hat auch jemand ein schwaches Passwort und einen erratenen Benutzernamen. Wenn auf dem Server die Accounts nicht untereinander abgeschottet sind (chroot, o.ä.), dann kann es von jedem Account aus losgegangen sein. Oder es wurde ein bekannte, automatisch ausnutzbare Lücke von einem der eingesetzten Softwaremodulen verwendet. Typisch sind dann ein automatischer Scan nach index.html und index.php und das Einfügen von Schadecode in diese. Die eigentliche Schwierigkeit besteht daran, die Lücke zu finden, wodurch der Angreifer Zugriff auf den Server erhalten hat. Außerdem werden oft Hintertüren eingebaut, wodurch eine erneute Infektionen sehr wahrscheinlich wird. Du solltest eine Experten engagieren oder den Hoster wechseln und alles PHP, JS und HTML Dateien aus sauberen Quellen neu aufsetzen. Viele Grüße -- Philipp Gampe – PGP-Key 0AD96065 – TYPO3 UG Bonn/Köln Documentation – Active contributor TYPO3 CMS TYPO3 inspiring people to share! ___ TYPO3-german mailing list TYPO3-german@lists.typo3.org http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
Re: [TYPO3-german] Sicherheitslücke aufspüren
Hi, ich hatte auf einem 4.7 System den Fall, dass es einem Angreifer gelungen ist, Dateien auf dem System zu verändern. Nun hab ich alles durchkämmt und soweit allen Schadcode entfernt und alle PWs, etc geändert. Ich würde aber gern herausfinden, wie der Angreifer das geschafft hat. Meine Frage also: Hat jemand Ideen/Links/Anregungen nach welchen Kriterien ich die Logfiles, etc durchsuchen könnte um herauszufinden wie der Angriff zustande kam? http://docs.typo3.org/typo3cms/SecurityGuide/ verrät leider nicht viele darüber, nach welchen URL-Pattern ich suchen sollte/könnte. Kannst du denn mit Sicherheit ausschließen, dass der Angriff evtl. einfach nur über ausspionierte FTP Zugänge erfolgte, und gar nicht über TYPO3 selbst? Das erspart mühsames Suchen... Grüße, Jan ___ TYPO3-german mailing list TYPO3-german@lists.typo3.org http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
Re: [TYPO3-german] Sicherheitslücke aufspüren
Am 18. Juni 2013 10:43 schrieb Jan Kornblum jan.kornb...@gmx.de: Hi,Kannst du denn mit Sicherheit ausschließen, dass der Angriff evtl. einfach nur über ausspionierte FTP Zugänge erfolgte, und gar nicht über TYPO3 selbst? Das erspart mühsames Suchen... Das kann ich bis zu einem bestimmten punkt ausschliessen. Der Kunde nutzt FTP bloss alle paar Monate mal und die Logs sind auch ok. Ansonsten wird von mir alles per ssh/scp erledigt. Auch diese Logs scheinen nichts auffälliges aufzuweisen. Grüße Ulrich ___ TYPO3-german mailing list TYPO3-german@lists.typo3.org http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
Re: [TYPO3-german] Sicherheitslücke aufspüren
Oder mal andersrum gefragt: Ist es möglich, dass ein Angreifer über Typo3 auch Schreibrechte auf Verzeichnisse ausserhalb der Typ3 Installation erlangen kann? Falls nein, dann würde es die Suche sehr einschränken ;) Am 18. Juni 2013 10:52 schrieb ulrich good...@gmail.com: Am 18. Juni 2013 10:43 schrieb Jan Kornblum jan.kornb...@gmx.de: Hi,Kannst du denn mit Sicherheit ausschließen, dass der Angriff evtl. einfach nur über ausspionierte FTP Zugänge erfolgte, und gar nicht über TYPO3 selbst? Das erspart mühsames Suchen... Das kann ich bis zu einem bestimmten punkt ausschliessen. Der Kunde nutzt FTP bloss alle paar Monate mal und die Logs sind auch ok. Ansonsten wird von mir alles per ssh/scp erledigt. Auch diese Logs scheinen nichts auffälliges aufzuweisen. Grüße Ulrich ___ TYPO3-german mailing list TYPO3-german@lists.typo3.org http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german ___ TYPO3-german mailing list TYPO3-german@lists.typo3.org http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
Re: [TYPO3-german] Sicherheitslücke aufspüren
Hallo Ulrich, Am 18.06.2013 10:32, schrieb ulrich: ich hatte auf einem 4.7 System den Fall, dass es einem Angreifer gelungen ist, Dateien auf dem System zu verändern. wenn Dateien verändert wurden, tragen diese ja auch den Zeitstempel des Ereignisses. Da hast Du schon mal ein Zeit Kriterium für das durchsuchen der Log Dateien. Grüße Claus ___ TYPO3-german mailing list TYPO3-german@lists.typo3.org http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
Re: [TYPO3-german] Sicherheitslücke aufspüren
Da hast Du schon mal ein Zeit Kriterium für das durchsuchen der Log Dateien. Sicher? Also wenn ich Einbruchsversuche mache und bei modernen Rootkits sicher nicht :D http://uckanleitungen.de/rootkit-scanner-linux/ Zusätzlich solltest du noch eine Firewall verwenden ;) Grüße Kay -- http://www.kay-strobach.de - Open Source Rocks TYPO3 inspiring people to share! Get involved: http://typo3.org Answer was useful - feel free to donate: - https://www.paypal.com/cgi-bin/webscr?cmd=_s-xclickhosted_button_id=KPM9NAV73VDF2 - https://flattr.com/profile/kaystrobach ___ TYPO3-german mailing list TYPO3-german@lists.typo3.org http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
Re: [TYPO3-german] Sicherheitslücke aufspüren
Hallo Ulrich, wichtig ist wohl für dich dieses Kapitel: http://docs.typo3.org/typo3cms/SecurityGuide/HackedSite/TakeOffline/Index.html = IMPORTANT == Wichtig ist auch: wenn irgendwas auf Extensions oder den Core deutet, das Security Team benachrichtigen und nicht hier im Forum darüber reden. Das gilt auch für alle beteiligten in diesem Thread! = IMPORTANT == Das Datum der Änderung der betroffenen Files ist meist ein guter Anhaltspunkt für die Analyse. zu deiner Frage mit den Rechten: Nun das kommt natürlich immer drauf an. Wenn php überall hinschreiben kann, dann ist das natürlich nicht hilfreich lg georg, TYPO3 Security Team ___ TYPO3-german mailing list TYPO3-german@lists.typo3.org http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
Re: [TYPO3-german] Sicherheitslücke aufspüren
Ist es möglich, dass ein Angreifer über Typo3 auch Schreibrechte auf Verzeichnisse ausserhalb der Typ3 Installation erlangen kann? Das hängt vom Webspace ab und worauf der User, unter dem der Webserver läuft, Zugriff hat. Wenn das TYPO3 Verzeichnis nicht irgendwie abgegrenzt ist von anderen (chroot z.B.), dann ist das schon möglich... ___ TYPO3-german mailing list TYPO3-german@lists.typo3.org http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
Re: [TYPO3-german] Sicherheitslücke aufspüren
Der Kunde nutzt FTP bloss alle paar Monate Kunde nutzt FTP nur alle paar Monate bedeutet nicht zwangsläufig, dass der FTP-Account nicht ggf. andersweitig mißbraucht wird. Es sei denn, das kannst du auf Basis der Logs ausschließen. mal und die Logs sind auch ok. Ansonsten wird von mir alles per ssh/scp erledigt. Auch diese Logs scheinen nichts auffälliges aufzuweisen. Grüße Ulrich ___ TYPO3-german mailing list TYPO3-german@lists.typo3.org http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
Re: [TYPO3-german] Sicherheitslücke aufspüren
-Ursprüngliche Nachricht- Von: typo3-german-boun...@lists.typo3.org [mailto:typo3-german- boun...@lists.typo3.org] Im Auftrag von ulrich Gesendet: Dienstag, 18. Juni 2013 10:53 An: German TYPO3 Userlist Betreff: Re: [TYPO3-german] Sicherheitslücke aufspüren Am 18. Juni 2013 10:43 schrieb Jan Kornblum jan.kornb...@gmx.de: Hi,Kannst du denn mit Sicherheit ausschließen, dass der Angriff evtl. einfach nur über ausspionierte FTP Zugänge erfolgte, und gar nicht über TYPO3 selbst? Das erspart mühsames Suchen... Das kann ich bis zu einem bestimmten punkt ausschliessen. Der Kunde nutzt FTP bloss alle paar Monate mal und die Logs sind auch ok. Ansonsten wird von mir alles per ssh/scp erledigt. Auch diese Logs scheinen nichts auffälliges aufzuweisen. Grüße Ulrich Hallo Ulrich, was Du nicht ausschließen kannst ist, dass der Kunde auf seinem Rechner einem Trojaner Raum gewährt, der gemütlich die FTP-Daten aus Programmen wie z.B. Filezilla ausliest und nach Hause schickt. Viele FTP-Programme speichern die Zugangsdaten unverschlüsselt ab. Frag mal bei Deinem Kunden nach, ob er auch die Passwörter im FTP-Programm abspeichert, dann hast Du hierüber einen Anhaltspunkt, wie es geschehen konnte. Falls der Fremdzugriff über ausspionierte Zugangsdaten erfolgt sein sollte, wirst Du kaum eine Möglichkeit haben etwas herauszufinden, weil der Zugriff ja normal war. Es sei denn, der Kunde dokumentiert seine Zugriffe und Du kannst darüber etwas herausfinden... Eventuell nützt Dir auch das FTP-Log insoweit etwas, dass Du über die Zugriff-IP etwas sagen kannst. Greift der Kunde immer über den gleichen IP-Bereich zu und es liegen weitere Zugriffe über fremde IP-Bereiche vor, hast Du hierüber einen Anhaltspunkt um nachzuschauen, von wo sich der Fremde eingewählt hat. Auf jeden Fall würde ich eine intensive Viren- Adware- und Malwareprüfung auf jedem Rechner, der auf den Webspace zugreift, durchführen. Viel Erfolg und viele Grüße, Bernhard Ludwig ___ TYPO3-german mailing list TYPO3-german@lists.typo3.org http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
Re: [TYPO3-german] Sicherheitslücke aufspüren
Hallo, Am 18.06.2013 11:49, schrieb LUCOMP mediale kommunikation was Du nicht ausschließen kannst ist, dass der Kunde auf seinem Rechner einem Trojaner Raum gewährt, der gemütlich die FTP-Daten aus Programmen wie z.B. Filezilla ausliest und nach Hause schickt. Viele FTP-Programme speichern die Zugangsdaten unverschlüsselt ab. Frag mal bei Deinem Kunden nach, ob er auch die Passwörter im FTP-Programm abspeichert, dann hast Du hierüber einen Anhaltspunkt, wie es geschehen konnte. es ist komplett egal ob das abgespeichert wird oder nicht. das password wird ohnedies im klartext übertragen georg ___ TYPO3-german mailing list TYPO3-german@lists.typo3.org http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
Re: [TYPO3-german] Sicherheitslücke aufspüren
Hallo alle, erst mal VIELEN Dank für die ganzen Anregungen! FTP würd ich ausschliessen. Das sind nur ein paar Zugriffe die nachzuvollziehen sind. Ich frage mich eher, nach welchen Pattern ich in den logs suchen sollte? Schliesslich kann der Angriff ja über PHP oder JavaScript erfolgt sein. Ein grep'pen nach base64 und/oder eval (wie im Security Hanbuch beschrieben) hat bisher nichts gebracht. Ein grep nach 'typo3conf/ext' bringt auch keine Erleuchtung... Und nach welchen Parametern sollte ich suchen, wenn ich nach einem Angriff über JavaScript suche? Grüße Ulrich Am 18. Juni 2013 11:52 schrieb Georg Ringer ty...@ringerge.org: Hallo, Am 18.06.2013 11:49, schrieb LUCOMP mediale kommunikation was Du nicht ausschließen kannst ist, dass der Kunde auf seinem Rechner einem Trojaner Raum gewährt, der gemütlich die FTP-Daten aus Programmen wie z.B. Filezilla ausliest und nach Hause schickt. Viele FTP-Programme speichern die Zugangsdaten unverschlüsselt ab. Frag mal bei Deinem Kunden nach, ob er auch die Passwörter im FTP-Programm abspeichert, dann hast Du hierüber einen Anhaltspunkt, wie es geschehen konnte. es ist komplett egal ob das abgespeichert wird oder nicht. das password wird ohnedies im klartext übertragen georg ___ TYPO3-german mailing list TYPO3-german@lists.typo3.org http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german ___ TYPO3-german mailing list TYPO3-german@lists.typo3.org http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
Re: [TYPO3-german] Sicherheitslücke aufspüren
Am 18.06.13 12:16, schrieb ulrich: Ich frage mich eher, nach welchen Pattern ich in den logs suchen sollte? Ich würde Dir mal den Tipp geben und schauen, ob alle Deine Redakteure und Admin sichere Passworte haben. Aus meiner Erfahrung sieht ein Szenario wie folgende aus: * Suche nach SQL Injection * Dann Dump der BE-USERS * Crack des schwächsten Passworts * Login und upload von einen PHP Shell * ... Olivier ___ TYPO3-german mailing list TYPO3-german@lists.typo3.org http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
Re: [TYPO3-german] Sicherheitslücke aufspüren
Wenn ein Angreifer schon Zugriff über eine PHP Shell erlangt hat, müsste er innerhalb des web-Verzeichnisses eigentlich auch in der Lage sein, die modification time von Dateien zu verändern und damit zu verschleiern, z.B. über time(). Auf das Änderungsdatum einer Datei allein würde ich mich nicht verlassen. ___ TYPO3-german mailing list TYPO3-german@lists.typo3.org http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
Re: [TYPO3-german] Sicherheitslücke aufspüren
ulrich schrieb am 18.06.2013 12:16 FTP würd ich ausschliessen. Das sind nur ein paar Zugriffe die nachzuvollziehen sind. Logs können umgeschrieben werden (weiß nicht, ob das üblich ist, früher wurde wohl einfach logfile gelöscht). Gruss, Ingo ___ TYPO3-german mailing list TYPO3-german@lists.typo3.org http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
Re: [TYPO3-german] Sicherheitslücke aufspüren
Am 6/18/13 2:56 PM, schrieb Ingo: ulrich schrieb am 18.06.2013 12:16 FTP würd ich ausschliessen. Das sind nur ein paar Zugriffe die nachzuvollziehen sind. Logs können umgeschrieben werden (weiß nicht, ob das üblich ist, früher wurde wohl einfach logfile gelöscht). Letztlich ist ein korrumpiertes System nicht reparierbar. Wenn es gut gemacht ist ;-)) Gruss, Ingo ___ TYPO3-german mailing list TYPO3-german@lists.typo3.org http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german -- Dipl.-Ing. Rainer Schleevoigt Referent für mobiles eLearning und Medientechnik Universität Hamburg Dekanat der Fakultät für Mathematik, Informatik und Naturwissenschaften Rothenbaumchaussee 19 20146 Hamburg Tel. +49 040 42838 9598 eMail rainer.schleevo...@uni-hamburg.de http://www.min.uni-hamburg.de/eLearning ___ Lecture2Go Team http://lecture2go.uni-hamburg.de ___ TYPO3-german mailing list TYPO3-german@lists.typo3.org http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
Re: [TYPO3-german] Sicherheitslücke aufspüren
-Ursprüngliche Nachricht- Von: typo3-german-boun...@lists.typo3.org [mailto:typo3-german- boun...@lists.typo3.org] Im Auftrag von Georg Ringer Gesendet: Dienstag, 18. Juni 2013 11:52 An: typo3-german@lists.typo3.org Betreff: Re: [TYPO3-german] Sicherheitslücke aufspüren Hallo, Am 18.06.2013 11:49, schrieb LUCOMP mediale kommunikation was Du nicht ausschließen kannst ist, dass der Kunde auf seinem Rechner einem Trojaner Raum gewährt, der gemütlich die FTP-Daten aus Programmen wie z.B. Filezilla ausliest und nach Hause schickt. Viele FTP-Programme speichern die Zugangsdaten unverschlüsselt ab. Frag mal bei Deinem Kunden nach, ob er auch die Passwörter im FTP-Programm abspeichert, dann hast Du hierüber einen Anhaltspunkt, wie es geschehen konnte. es ist komplett egal ob das abgespeichert wird oder nicht. das password wird ohnedies im klartext übertragen georg Hallo Georg, das ist nicht richtig. Es ist kaum anzunehmen, dass die FTP-Session ausgespäht wird, da müsste der Trojaner den gesamten Traffic überwachen, was aus Perfomancegründen nicht gemacht wird, da würde man schnell entdecken, dass am Rechner etwas nicht stimmt. In den bekannten Fällen wurde immer die Datei, die die Zugangsdaten enthält an den Trojanerhost übermittelt. Eindeutige Beschreibungen dieser Vorgehensweise finden sich zu Hauf bei einer einfachen Googlesuche. Außerdem sollte man in der Lage sein per SFTP auf seinen Server zuzugreifen, dann werden in der Session auch die Zugangsdaten verschlüsselt. Allerdings betrifft das nicht die Datei, die die Zugangsdaten vorhält. !!!Also, prinzipiell keine Zugangspasswörter in der Zugangssoftware speichern!!! Sogar WinSCP rät von der lokalen Speicherung der Passwörter aus besagten Gründen ab. Wenigstens eine Software, wo das Problem schon lange erkannt und kommuniziert wurde. Erklärend möchte ich hinzufügen, dass eine verschlüsselte Speicherung der Passwörter auch nicht viel nützen würde, da diese, wenn sie einmal an den Schädiger übermittelt wurden, recht schnell entschlüsselt werden könnten. Viele Grüße, Bernhard Ludwig ___ TYPO3-german mailing list TYPO3-german@lists.typo3.org http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
Re: [TYPO3-german] Sicherheitslücke aufspüren
Hallo, Am 18.06.2013 15:14, schrieb LUCOMP mediale kommunikation internetDesign Bernhard Ludwig: Es ist kaum anzunehmen, dass die FTP-Session ausgespäht wird, da müsste der Trojaner den gesamten Traffic überwachen, was aus Perfomancegründen nicht gemacht wird, na wenn du das weißt ... geht aber ja nur um port 21 und den handshake, alles andere is ja e egal .. solange wir uns einig sind dass FTP unsicher per se ist, passt das schon georg ___ TYPO3-german mailing list TYPO3-german@lists.typo3.org http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
Re: [TYPO3-german] Sicherheitslücke aufspüren
SFTP / SSH am besten nur mit Publickey Authentifizierung, das ist noch eine Stufe sicherer! ___ TYPO3-german mailing list TYPO3-german@lists.typo3.org http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
Re: [TYPO3-german] Sicherheitslücke aufspüren
Am 6/18/13 3:23 PM, schrieb Georg Ringer: Hallo, Am 18.06.2013 15:14, schrieb LUCOMP mediale kommunikation internetDesign Bernhard Ludwig: Es ist kaum anzunehmen, dass die FTP-Session ausgespäht wird, da müsste der Trojaner den gesamten Traffic überwachen, was aus Perfomancegründen nicht gemacht wird, na wenn du das weißt ... geht aber ja nur um port 21 und den handshake, alles andere is ja e egal .. solange wir uns einig sind dass FTP unsicher per se ist, passt das schon georg Unsicher ist nicht FTP usw. sondern der ahnungslose Nutzer. Ich lege nochmals das Aufklärungsvideo ans Herz. http://lecture2go.uni-hamburg.de/veranstaltungen/-/v/15012 ___ TYPO3-german mailing list TYPO3-german@lists.typo3.org http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german -- Dipl.-Ing. Rainer Schleevoigt Referent für mobiles eLearning und Medientechnik Universität Hamburg Dekanat der Fakultät für Mathematik, Informatik und Naturwissenschaften Rothenbaumchaussee 19 20146 Hamburg Tel. +49 040 42838 9598 eMail rainer.schleevo...@uni-hamburg.de http://www.min.uni-hamburg.de/eLearning ___ Lecture2Go Team http://lecture2go.uni-hamburg.de ___ TYPO3-german mailing list TYPO3-german@lists.typo3.org http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
Re: [TYPO3-german] Sicherheitslücke aufspüren
Am 6/18/13 3:28 PM, schrieb Jan Kornblum: SFTP / SSH am besten nur mit Publickey Authentifizierung, das ist noch eine Stufe sicherer! das ist richtig. Was aber nun, wenn jemand auf dem Rechner sitzt und an den Key rankommt? ___ TYPO3-german mailing list TYPO3-german@lists.typo3.org http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german -- Dipl.-Ing. Rainer Schleevoigt Referent für mobiles eLearning und Medientechnik Universität Hamburg Dekanat der Fakultät für Mathematik, Informatik und Naturwissenschaften Rothenbaumchaussee 19 20146 Hamburg Tel. +49 040 42838 9598 eMail rainer.schleevo...@uni-hamburg.de http://www.min.uni-hamburg.de/eLearning ___ Lecture2Go Team http://lecture2go.uni-hamburg.de ___ TYPO3-german mailing list TYPO3-german@lists.typo3.org http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
Re: [TYPO3-german] Sicherheitslücke aufspüren
SFTP / SSH am besten nur mit Publickey Authentifizierung, das ist noch eine Stufe sicherer! das ist richtig. Was aber nun, wenn jemand auf dem Rechner sitzt und an den Key rankommt? Der Key alleine nützt ihm ja nichts, solange der mit einer guten Passphrase geschützt ist (Privatekeys ohne Passphrase sollte man nie verwenden)... Oder meinst du gestohlener Privatekey + über Keylogger o.ä. die Passphrase erschnüffeln...? Nagut, das Risiko bleibt offen, ist aber immens kleiner. Grüße, Jan ___ TYPO3-german mailing list TYPO3-german@lists.typo3.org http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
Re: [TYPO3-german] Sicherheitslücke aufspüren
Hi wie sieht es aus wenn der Angreifer wie auch immer in den Besitzt der Zugangsdaten zu deiner DB erhielt, dann direkt in die Db einloggte und dort einen neuen User angelegt hat und mit diesem eiloggte ins Backend, von dortaus kann er dann im Grunde alles weitere erledigen was er will. Er muss nur eine extension i.e. terminal installieren. Andere Frage - welches Interesse verfolgte wohl der Angreifer mit dem Hack? Macht der Hack ueberhaupt Sinn auf deiner Seite? evtl. kommst du mit diesen einfachen Fragen einer moeglichen Loesung näher. Aus eigener Erfahrung würde ich sagen dass Angreifer besonders bei bestimmten grossen Projekten in der Regel auch ein Ziel verfolgen und dieses ggf. dann auch mit aller Gewalt versuchen umzusetzen - d.h, evtl. auch mal 5 Tage oder länger rumprobieren bis sie schlussendlich Zugang zu i.e. PhpMyAdmin erlangen - oder einem anderen Tool, was evtl. noch nicht einmal in deinem Zuständigkeitsbereich liegt. Sie dann wiederum laengere Zeit rumsuchen bis sie z.B. auch einen bestimmten Eintrag in der DB finden um diesen abzuaendern. Da kann man dann einiges abändern z.B. TS oder simple CEs z.B. einen Leitartikel ueber einen neuen Direktor der dann mit einem bekannten Fussballspieler als neuer Direktor ausgetauscht wird. Und man kann Extensions installieren mit denen man u.a. auch die Configurations Dateien editieren kann from within TYPO3! etc.. Ein normaler User kann hier auch leicht zu einem Admin user werden mit vollzugriff. Kurzum es badarf hierzu nicht des TYPO3 Backends wuerde ich mal sagen, sondern es reicht ein dritt-Tool aus. Sicherheitsluecken werden dabei evtl. auch schon vor einer veroeffentlichung/bekanntwerden auf der Mailinglist und TYPO3.org ausgenutzt. Hat man erst einmal das PW so duerfte der Rest nicht mehr so schwer sein und vor allem kann er zeitlich versetzt sein. d.h. ggf. loggte der Haker quasi legal ein weil er bereits seit langem im Besitzt von Zugangsdaten ist. Andi 2013/6/18 Jan Kornblum jan.kornb...@gmx.de SFTP / SSH am besten nur mit Publickey Authentifizierung, das ist noch eine Stufe sicherer! das ist richtig. Was aber nun, wenn jemand auf dem Rechner sitzt und an den Key rankommt? Der Key alleine nützt ihm ja nichts, solange der mit einer guten Passphrase geschützt ist (Privatekeys ohne Passphrase sollte man nie verwenden)... Oder meinst du gestohlener Privatekey + über Keylogger o.ä. die Passphrase erschnüffeln...? Nagut, das Risiko bleibt offen, ist aber immens kleiner. Grüße, Jan __**_ TYPO3-german mailing list TYPO3-german@lists.typo3.org http://lists.typo3.org/cgi-**bin/mailman/listinfo/typo3-**germanhttp://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german ___ TYPO3-german mailing list TYPO3-german@lists.typo3.org http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
Re: [TYPO3-german] Sicherheitslücke aufspüren
Hallo, Am 19.06.2013 01:35, schrieb Andreas Becker: wie sieht es aus wenn der Angreifer wie auch immer in den Besitzt der Zugangsdaten zu deiner DB erhielt, dann direkt in die Db einloggte und dort einen neuen User angelegt hat und mit diesem eiloggte ins Backend - Es ist ziemlich selten dass die DB komplett von außen erreichbar ist. Wenn das wirklich der Fall ist, hat es ohnedies ein anderes Problem. - Wie kommt man zu den Credentials der DB? Das geht nur über eine File Disclosure, dh es braucht schon mind 2 Lücken. Aus eigener Erfahrung [...] Da kann man dann einiges abändern z.B. TS oder simple CEs z.B. einen Leitartikel ueber einen neuen Direktor der dann mit einem bekannten Fussballspieler als neuer Direktor ausgetauscht wird. Und man kann Extensions installieren mit denen man u.a. auch die Configurations Dateien editieren kann from within TYPO3! etc.. ist das jetzt noch aus eigener Erfahrung? SCNR Sicherheitsluecken werden dabei evtl. auch schon vor einer veroeffentlichung/bekanntwerden auf der Mailinglist und TYPO3.org ausgenutzt. Natürlich. Ist ja nicht so als ob die Bösen nicht miteinander kommunzieren bzw werden Lücken ja auch gegen Bares gehandelt. Genau das ist auch der Standpunkt warum es keine Patch Days gibt, da das nur heißt dass man Betreiber noch länger davon nichts weiß. aber wir sind nicht mehr beim initialen Thema Georg ___ TYPO3-german mailing list TYPO3-german@lists.typo3.org http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
Re: [TYPO3-german] Sicherheitslücke aufspüren
Richtig Georg - Insider Wissen und wenn man quasi an der Quelle sitzt ist immer hilfreich bei solchen Dingen. Ist aber in jedem Berufsfeld zB beim Boersenhandel ja nicht anders! Es wird sich immer die Frage stellen wie sicher ist der Sicherheitsexperte/das Sicherheits Team/ wer kontrolliert das und wie wird es kontrolliert etc. Andi 2013/6/19 Georg Ringer ty...@ringerge.org Hallo, Am 19.06.2013 01:35, schrieb Andreas Becker: wie sieht es aus wenn der Angreifer wie auch immer in den Besitzt der Zugangsdaten zu deiner DB erhielt, dann direkt in die Db einloggte und dort einen neuen User angelegt hat und mit diesem eiloggte ins Backend - Es ist ziemlich selten dass die DB komplett von außen erreichbar ist. Wenn das wirklich der Fall ist, hat es ohnedies ein anderes Problem. - Wie kommt man zu den Credentials der DB? Das geht nur über eine File Disclosure, dh es braucht schon mind 2 Lücken. Aus eigener Erfahrung [...] Da kann man dann einiges abändern z.B. TS oder simple CEs z.B. einen Leitartikel ueber einen neuen Direktor der dann mit einem bekannten Fussballspieler als neuer Direktor ausgetauscht wird. Und man kann Extensions installieren mit denen man u.a. auch die Configurations Dateien editieren kann from within TYPO3! etc.. ist das jetzt noch aus eigener Erfahrung? SCNR Sicherheitsluecken werden dabei evtl. auch schon vor einer veroeffentlichung/bekanntwerden auf der Mailinglist und TYPO3.org ausgenutzt. Natürlich. Ist ja nicht so als ob die Bösen nicht miteinander kommunzieren bzw werden Lücken ja auch gegen Bares gehandelt. Genau das ist auch der Standpunkt warum es keine Patch Days gibt, da das nur heißt dass man Betreiber noch länger davon nichts weiß. aber wir sind nicht mehr beim initialen Thema Georg ___ TYPO3-german mailing list TYPO3-german@lists.typo3.org http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german ___ TYPO3-german mailing list TYPO3-german@lists.typo3.org http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
