Kommentare zu: Server gehackt http://grochtdreis.de/weblog/2007/10/06/server-gehackt/ Weblog über Webstandards, das Internet und vieles mehr. Sat, 11 Feb 2012 11:25:48 +0000 http://wordpress.org/?v=2.9.2 hourly 1 Von: fehr http://grochtdreis.de/weblog/2007/10/06/server-gehackt/comment-page-1/#comment-181125 fehr Thu, 20 Mar 2008 13:03:07 +0000 http://grochtdreis.de/weblog/2007/10/06/server-gehackt/#comment-181125 Hallo heute wurde mein Server gehackt. Ich habe soetwas noch nie erlebt...2Schnecken kamen zum ct spawn und fraßen uns auf. Ich(der Admin) wurde von fremden Spielern gebannt.Sie haben mein rcon password gehackt und mir die Adminrechte entzogen. Hallo
heute wurde mein Server gehackt.
Ich habe soetwas noch nie erlebt…2Schnecken kamen zum ct spawn und fraßen uns auf.
Ich(der Admin) wurde von fremden Spielern gebannt.Sie haben mein rcon password gehackt und mir die Adminrechte entzogen.

]]> Von: jot*be http://grochtdreis.de/weblog/2007/10/06/server-gehackt/comment-page-1/#comment-46902 jot*be Mon, 08 Oct 2007 19:44:10 +0000 http://grochtdreis.de/weblog/2007/10/06/server-gehackt/#comment-46902 Falls Du Dich generell mit Skript-/Web-Applikationssicherheit beschäftigen willst (was ich jedem Entwickler wärmstens empfehlen kann), solltest Du Dich beispielsweise an dieses Buch wagen: http://www.php-sicherheit.de/ Generell gilt, dass Du den Server sicher konfigurieren und Benutzereingaben sowie URL-Parametern misstrauen sollst. Darüber hinaus gilt PHP von Haus aus als relativ unsicher und sollte "gehärtet" verwendet werden. Weitere Begriffe zum recherchieren sind beispielsweise XSS (Cross-Site-Scripting), CSRF (Cross-Site-Request-Forgery), SQL-Injections, ... Hier ein paar direkte Anlaufstellen: http://www.hardened-php.net/ http://www.php-security.org/ http://www.sitepoint.com/article/php-security-blunders http://www.madcat.nl/martijn/archives/16-Using-smarty-to-prevent-HTML-injection..html Secure Apache: http://www.petefreitag.com/item/505.cfm Input-Sanitizing: http://devzone.zend.com/node/view/id/1113 Das sollte für den Einstieg reichen :) Falls Du Dich generell mit Skript-/Web-Applikationssicherheit beschäftigen willst (was ich jedem Entwickler wärmstens empfehlen kann), solltest Du Dich beispielsweise an dieses Buch wagen: http://www.php-sicherheit.de/

Generell gilt, dass Du den Server sicher konfigurieren und Benutzereingaben sowie URL-Parametern misstrauen sollst. Darüber hinaus gilt PHP von Haus aus als relativ unsicher und sollte “gehärtet” verwendet werden.
Weitere Begriffe zum recherchieren sind beispielsweise XSS (Cross-Site-Scripting), CSRF (Cross-Site-Request-Forgery), SQL-Injections, …

Hier ein paar direkte Anlaufstellen:

http://www.hardened-php.net/
http://www.php-security.org/
http://www.sitepoint.com/article/php-security-blunders
http://www.madcat.nl/martijn/archives/16-Using-smarty-to-prevent-HTML-injection..html
Secure Apache:
http://www.petefreitag.com/item/505.cfm
Input-Sanitizing:
http://devzone.zend.com/node/view/id/1113

Das sollte für den Einstieg reichen :)

]]> Von: Bertram Simon http://grochtdreis.de/weblog/2007/10/06/server-gehackt/comment-page-1/#comment-46712 Bertram Simon Mon, 08 Oct 2007 09:49:41 +0000 http://grochtdreis.de/weblog/2007/10/06/server-gehackt/#comment-46712 Hallo Jens, ich kann leider auch nicht beurteilen, wo dein Problem genau lokalisiert ist. Ich kann dir aber uneingeschränkt folgendes Buch empfehlen: http://www.amazon.de/Sicherheitsrisiko-Web-Anwendung-Sverre-H-Huseby/dp/3898642593 Mit dessen Hilfe kannst du selbst der Sicherheitslücke auf der Spur kommen. Ich würde mir auch überlegen, mit den Log-Dateien zur Polizei gehen und Anzeige wegen Erspähung von Daten zu erstatten. Alles Gute Bertram Hallo Jens,

ich kann leider auch nicht beurteilen, wo dein Problem genau lokalisiert ist. Ich kann dir aber uneingeschränkt folgendes Buch empfehlen:

http://www.amazon.de/Sicherheitsrisiko-Web-Anwendung-Sverre-H-Huseby/dp/3898642593

Mit dessen Hilfe kannst du selbst der Sicherheitslücke auf der Spur kommen.

Ich würde mir auch überlegen, mit den Log-Dateien zur Polizei gehen und Anzeige wegen Erspähung von Daten zu erstatten.

Alles Gute

Bertram

]]> Von: Jens Grochtdreis http://grochtdreis.de/weblog/2007/10/06/server-gehackt/comment-page-1/#comment-46630 Jens Grochtdreis Mon, 08 Oct 2007 06:03:30 +0000 http://grochtdreis.de/weblog/2007/10/06/server-gehackt/#comment-46630 @Jens: Wo ist Dein Problem, bitte?? Lies meinen Text richtig, dann wirst Du feststellen, daß ich NICHT will, daß sich die Webkrauts darum kümmern, sondern daß es einen Initiative WIE DIE Webkrauts geben solle, die sie Aufklärungsarbeit vornimmt. @Jens: Wo ist Dein Problem, bitte?? Lies meinen Text richtig, dann wirst Du feststellen, daß ich NICHT will, daß sich die Webkrauts darum kümmern, sondern daß es einen Initiative WIE DIE Webkrauts geben solle, die sie Aufklärungsarbeit vornimmt.

]]> Von: Matthias Koch http://grochtdreis.de/weblog/2007/10/06/server-gehackt/comment-page-1/#comment-46561 Matthias Koch Sun, 07 Oct 2007 21:44:35 +0000 http://grochtdreis.de/weblog/2007/10/06/server-gehackt/#comment-46561 Hallo Jens, ich denke nicht, dass Wordpress ein "Einfallstor" für Skript-Kiddies ist; in der aktuellen Version nicht mehr oder weniger als vergleichbare CMS, die auf PHP/MySQL basieren. Die Chance, dass es über den Server lief, liegt bei ca. 5%. Das wäre aus Sicht des Angreifers nicht nur wahnsinnig, sondern auch verrückt. Das Einfallstor muss also irgendwo anders zu finden sein. Der einfachste Weg so etwas zu tun führt über den Rechner des Geschädigten. (!) Es ist mit vergleichsweise geringem Aufwand verbunden und geschieht meist unbemerkt. Das Protokoll FTP ist unverschlüsselt, deshalb müsste man nur die Daten mitlesen oder aus der config abrufen und hätte Zugriff, könnte Inhalte ändern. WLAN vereinfacht die Sache für den Angreifer zusätzlich. Ein Paketfilter, wie der kostenlose sygate.exe, informiert und zeigt ein- und ausgehende Verbindungen an. Sollte bei einem FTP-Verbindungsaufbau mehr als ein Prozess laufen, dann müssten die Alarmglocken leuchten. Ein Malware-Scan (z. B. lavasoft) und resistenter AV-Zugriffsscanner (z. B. avast) stellen eine sinnvolle Ergänzung dar. Spuren werden dabei selten hinterlassen. Das sind natürlich Dinge, die nicht neu sind. Interessant wäre dennoch die Auswertung der Server-Logs, insbesondere der FTP-Verbindungen im fraglichen Zeitraum. Zuviel darf man sich hiervon aber nicht erhoffen. Zum Thema Weblog noch folgendes: Jedes System ist empfindlich gegen äußere Eingriffe. Viele Blogger bohren den Core ihrer WP-Installation auf, passen hier was an, nehmen dort etwas raus und überfrachten das System mit Zusatz-Code (Plugins), der das CMS anfällig für Verwundungen von Außen macht. Erweiterungen erweitern neben der Funktionalität auch die Angriffsfläche. "Einfallstore" gibt es viele, so kann schließlich auch ein Router befallen werden. Backups ziehen ist meiner Meinung nach pragmatischer als die Sicherheit zu Lasten der Kommunikation zu forcieren. Übrigens: das MS ServicePack3 wird einige Neuerungen bereithalten, der IE7 soll als Teil des SP3 ausgeliefert werden und damit verbunden ist auch ein überarbeitetes Sicherheitskonzept. Sicherheit ist daher auch ein Thema im Zusammenhang mit Webentwicklung. Hallo Jens,

ich denke nicht, dass Wordpress ein “Einfallstor” für Skript-Kiddies ist; in der aktuellen Version nicht mehr oder weniger als vergleichbare CMS, die auf PHP/MySQL basieren.

Die Chance, dass es über den Server lief, liegt bei ca. 5%. Das wäre aus Sicht des Angreifers nicht nur wahnsinnig, sondern auch verrückt. Das Einfallstor muss also irgendwo anders zu finden sein.

Der einfachste Weg so etwas zu tun führt über den Rechner des Geschädigten. (!)

Es ist mit vergleichsweise geringem Aufwand verbunden und geschieht meist unbemerkt. Das Protokoll FTP ist unverschlüsselt, deshalb müsste man nur die Daten mitlesen oder aus der config abrufen und hätte Zugriff, könnte Inhalte ändern.

WLAN vereinfacht die Sache für den Angreifer zusätzlich. Ein Paketfilter, wie der kostenlose sygate.exe, informiert und zeigt ein- und ausgehende Verbindungen an. Sollte bei einem FTP-Verbindungsaufbau mehr als ein Prozess laufen, dann müssten die Alarmglocken leuchten. Ein Malware-Scan (z. B. lavasoft) und resistenter AV-Zugriffsscanner (z. B. avast) stellen eine sinnvolle Ergänzung dar. Spuren werden dabei selten hinterlassen. Das sind natürlich Dinge, die nicht neu sind.

Interessant wäre dennoch die Auswertung der Server-Logs, insbesondere der FTP-Verbindungen im fraglichen Zeitraum. Zuviel darf man sich hiervon aber nicht erhoffen.

Zum Thema Weblog noch folgendes: Jedes System ist empfindlich gegen äußere Eingriffe. Viele Blogger bohren den Core ihrer WP-Installation auf, passen hier was an, nehmen dort etwas raus und überfrachten das System mit Zusatz-Code (Plugins), der das CMS anfällig für Verwundungen von Außen macht. Erweiterungen erweitern neben der Funktionalität auch die Angriffsfläche.

“Einfallstore” gibt es viele, so kann schließlich auch ein Router befallen werden.

Backups ziehen ist meiner Meinung nach pragmatischer als die Sicherheit zu Lasten der Kommunikation zu forcieren.

Übrigens: das MS ServicePack3 wird einige Neuerungen bereithalten, der IE7 soll als Teil des SP3 ausgeliefert werden und damit verbunden ist auch ein überarbeitetes Sicherheitskonzept. Sicherheit ist daher auch ein Thema im Zusammenhang mit Webentwicklung.

]]> Von: Jens Meiert http://grochtdreis.de/weblog/2007/10/06/server-gehackt/comment-page-1/#comment-46528 Jens Meiert Sun, 07 Oct 2007 16:19:35 +0000 http://grochtdreis.de/weblog/2007/10/06/server-gehackt/#comment-46528 Ärgerlich, da wünsche ich – aufrichtig – viel Erfolg bei der Wiederherstellung und »Restaurierung«. Die "Webkrauts-Initiative" begrüße ich außerdem; nicht nur sollten die Webkrauts Serveradministration und Netzwerksicherheit ins Programm aufnehmen, sondern auch eine Expertenkommission zur Staatsverschuldung gründen und gegen Schadstoffemissionen in China vorgehen. Ärgerlich, da wünsche ich – aufrichtig – viel Erfolg bei der Wiederherstellung und »Restaurierung«.

Die “Webkrauts-Initiative” begrüße ich außerdem; nicht nur sollten die Webkrauts Serveradministration und Netzwerksicherheit ins Programm aufnehmen, sondern auch eine Expertenkommission zur Staatsverschuldung gründen und gegen Schadstoffemissionen in China vorgehen.

]]> Von: Joerg http://grochtdreis.de/weblog/2007/10/06/server-gehackt/comment-page-1/#comment-46488 Joerg Sun, 07 Oct 2007 12:30:27 +0000 http://grochtdreis.de/weblog/2007/10/06/server-gehackt/#comment-46488 Also was ich sinnvoll finde ich sich über nicht gefundene Seiten unterrichten zu lassen. Aus die Art und Weise merkt man recht schnell wenn versucht wird eine Website zu hacken. Also was ich sinnvoll finde ich sich über nicht gefundene Seiten unterrichten zu lassen. Aus die Art und Weise merkt man recht schnell wenn versucht wird eine Website zu hacken.

]]> Von: Martin http://grochtdreis.de/weblog/2007/10/06/server-gehackt/comment-page-1/#comment-46316 Martin Sat, 06 Oct 2007 18:41:39 +0000 http://grochtdreis.de/weblog/2007/10/06/server-gehackt/#comment-46316 Wenn Du Wordpress absichern möchtest kann ich Dir den wp-scanner von blogsecurity.net empfehlen: http://blogsecurity.net/wordpress/tools/wp-scanner/ Der Scanner prüft auf bekannte Probleme im wp-core, in plugins und auch in themes. Ich find's sehr hilfreich. lg Martin Wenn Du Wordpress absichern möchtest kann ich Dir den wp-scanner von blogsecurity.net empfehlen:
http://blogsecurity.net/wordpress/tools/wp-scanner/

Der Scanner prüft auf bekannte Probleme im wp-core, in plugins und auch in themes.

Ich find’s sehr hilfreich.

lg
Martin

]]> Von: Boris http://grochtdreis.de/weblog/2007/10/06/server-gehackt/comment-page-1/#comment-46315 Boris Sat, 06 Oct 2007 18:39:33 +0000 http://grochtdreis.de/weblog/2007/10/06/server-gehackt/#comment-46315 Die Versionsangabe von Wordpress steckt in vielen verschiedenen Komponenten, z.B. in allen Feeds. Man bekommt sein WP nur zuverlässig anonymisiert, was die Versionsnummer angeht, wenn man sie in der Datei 'version.php' heraus nimmt oder gegen eine Fantasienummer austauscht. Denn dort wird diese Variable gesetzt. Man muss dabei aber berücksichtigen, dass die automatischen Update-Benachrichtigungen eventuell nicht mehr richtig funktionieren. Was ich aber für leicht verschmerzbar halte. Ansonsten gibt es bei <a href="http://blogsecurity.net/category/wordpress/">blogsecurity</a> immer wieder gute Tipps. Die Versionsangabe von Wordpress steckt in vielen verschiedenen Komponenten, z.B. in allen Feeds. Man bekommt sein WP nur zuverlässig anonymisiert, was die Versionsnummer angeht, wenn man sie in der Datei ‘version.php’ heraus nimmt oder gegen eine Fantasienummer austauscht. Denn dort wird diese Variable gesetzt.

Man muss dabei aber berücksichtigen, dass die automatischen Update-Benachrichtigungen eventuell nicht mehr richtig funktionieren. Was ich aber für leicht verschmerzbar halte.

Ansonsten gibt es bei blogsecurity immer wieder gute Tipps.

]]> Von: Lothar Baier http://grochtdreis.de/weblog/2007/10/06/server-gehackt/comment-page-1/#comment-46308 Lothar Baier Sat, 06 Oct 2007 17:49:43 +0000 http://grochtdreis.de/weblog/2007/10/06/server-gehackt/#comment-46308 Hallo, Jens. Eine bei den Hacker beliebte Methode ist es, sich auf weit verbreitete Weblog-Systeme zu stürzen. Wenn da ein Loch bekannt wird, kann man es gleich millionenfach anwenden. Also: 1. regelmäßige Backups. 2. regelmäßig neue Versionen von WordPress installieren 3. Alles, was überflüssig ist, wie etwa die Versions-Angabe von WordPress im Header des Themes entfernen. Dort erfährt der Hacker nicht nur, dass Du mit WordPress unterwegs bist, sondern auch dass Du gerade die Version 2.3 installiert hast. Jetzt braucht er nur noch den richtigen Exploit - und schon ist er drin. Mach es den Hackern ein wenig schwerer, und die meisten gehen zu einer Seite, wo es leichter ist. Und wenn Dir der Hoster bei solchen Problemen nicht hilft, da solltest Du dringend wechseln. Oft sind es nämlich die veraltetet Sicherheits-Einstellungen oder die veraltete Software auf den Servern, die den Einstieg ermöglichen. Gruß, Lothar Baier Hallo, Jens.
Eine bei den Hacker beliebte Methode ist es, sich auf weit verbreitete Weblog-Systeme zu stürzen. Wenn da ein Loch bekannt wird, kann man es gleich millionenfach anwenden.

Also:
1. regelmäßige Backups.
2. regelmäßig neue Versionen von WordPress installieren
3. Alles, was überflüssig ist, wie etwa die Versions-Angabe von WordPress im Header des Themes entfernen. Dort erfährt der Hacker nicht nur, dass Du mit WordPress unterwegs bist, sondern auch dass Du gerade die Version 2.3 installiert hast. Jetzt braucht er nur noch den richtigen Exploit – und schon ist er drin.

Mach es den Hackern ein wenig schwerer, und die meisten gehen zu einer Seite, wo es leichter ist. Und wenn Dir der Hoster bei solchen Problemen nicht hilft, da solltest Du dringend wechseln. Oft sind es nämlich die veraltetet Sicherheits-Einstellungen oder die veraltete Software auf den Servern, die den Einstieg ermöglichen.

Gruß, Lothar Baier

]]>