Firmensite gehackt - was machen?

[jensm]

Ja,

auch ich hatte schon Terroristen die meine Seiten geknackt haben. Passwörter wechseln. Den Verkehr beobachten in der nächsten Zeit und die Seite möglichst schnell wieder aufsetzen.

Man muss ganz klar festhalten dass das Internet auch für Kriegerische und Destruktive Pläne genutzt wird.
Leider

 

[Sascha Ahlers]

QUOTE (jensm @ So 14.02.2010, 18:32) [...] auch ich hatte schon Terroristen die meine Seiten geknackt haben. Passwörter wechseln. Den Verkehr beobachten in der nächsten Zeit und die Seite möglichst schnell wieder aufsetzen. [...]

Ohne heraus zu finden, wie die Angreifer rein gekommen sind, bringt so was gar nichts. Wenn so was passiert ist, muss analysiert werden, wie es zu den Sicherheitsvorfall kommen konnte, damit sich dies nicht 10 Minute nach erneuerter Installation wieder passiert.

 

[snowdog]

QUOTE (Sascha Ahlers @ Sa 13.02.2010, 14:24)
QUOTE (Jürgen Auer @ Sa 13.02.2010, 11:58)
QUOTE (Yves @ Sa 13.02.2010, 12:34)joomla an sich ist genauso sicher wie andere cms. Es sind die drittanbieter plugins die unsicher sind.

Es liegt aber in der Verantwortung der Joomla - Gesamtarchitektur, daß solche Drittanbieter-Plugins überhaupt zulässig / möglich sind. [...]

Das ist bei OpenSource kein Argument, selbst wenn Sie nicht zulässig sind, würde es welche geben. Hier liegt die Verantwortung alleine beim Administrator, welcher die Software einsetzt. Da kann auch Wordpress, phpBB oder jede andere beliebige Software unsicher werden.

Es ist niemand gezwungen unsichere Software einzusetzen, denn es gibt auch genügend Web-Applikationen, die von Grund auf löchrig sind, und nicht erst durch Drittanbieter löchrig werden. Da tut sich CloseSource, wie OpenSource nicht viel, nur bei OpenSource ist es um Längen leichter die Lücken zu finden.

Software die keine Lücken hat, gibt es nicht, es liegt einfach in der Natur der Sache, da immer ein Wettrüsten zwischen Angreifer und Sicherheit existiert, wobei der Angreifer oft den Vorsprung hat.


Ansonsten kann ich nur wieder das wiederholen, was ich oben über Joomla bereits gesagt hat, aber ich denke nicht, dass hier ein Flamewar gegen Joomla irgendwem etwas bringt. Wer meint, dass es mit seinen Sicherheitsdenken nicht einsetzen würde, der setzt es nicht ein. Wer Vorurteile dagegen hat, wird es auch nicht einsetzen. Wer hier rummaulen möchte, dass der Core unsicher ist, soll bitte Beweise dafür anführen.


Ach ja, kurz zu meiner Frage, da ja sonst niemand mehr zu wissen scheint was Santy war: Santy war ein Wurm geschrieben in Perl, welcher sich über phpBB verbreitetet hat.


Vielleicht kommen wir ja nun mal von der OT-Diskussion weg, hin zu der Fragestellung: "Was tun, wenn eine Website gehackt wurde?".


@Benedict
Interessant wäre es zu wissen, was Du installiert hat und in welcher Version.


QUOTE Ansonsten kann ich nur wieder das wiederholen, was ich oben über Joomla bereits gesagt hat, aber ich denke nicht, dass hier ein Flamewar gegen Joomla irgendwem etwas bringt. Wer meint, dass es mit seinen Sicherheitsdenken nicht einsetzen würde, der setzt es nicht ein. Wer Vorurteile dagegen hat, wird es auch nicht einsetzen. Wer hier rummaulen möchte, dass der Core unsicher ist, soll bitte Beweise dafür anführen.


So, denke muß hier auch wieder mal meinen Senf dazugeben,.. ich habe mich vor einigen Jahren durch einige CMS-es durchgeschaut, und bevor ich anfing, wollte ich mich für eines davon entscheiden und dann auch mehr über dieses CMS lernen und "Profi", bzw. " Fortgeschrittener" werden, was die Kenntnisse dieses von mir ausgewählten CMS anbelangt. Und eines muß ich hier mal loswerden, ich habe mich vor 4 Jahren für Joomla entschieden, habe viel darüber gelernt, habe diese Entscheidung nie bereut und würde heute auf jede Neue Seite sofort wieder Joomla aufsetzen (habe ich auch getaen erst vor ener Woche). Joomla iat meiner Meinung nach eine der besten CMs die es im NET gibt, und wenn jetzt jemand die Sicherheitslücken anspricht, naja , dann dreht man halt die die Ordenr auf 644, und nur dann auf 777 wenn man Installiert, Verzeichnisschutz auf admin - config.php sowieso auf 644 und dann ist zu - dicht - Ende! Und wer dies nicht kapiert und wer nichts mit webdesign und vor allem PHP und MySQL am Hut hat, der sollte nicht immer die Negativen Sachen an Joomla auslassen, weil sojemand ist einfach nicht fähig eine Webseite zu führen - UNABHÄNGIG VOM SYSTEM ODER CMS welches er betreibt, weil mal ehrlich, mit der Gefahr das meine Seite gehackt wird lebe ich jeden Tag - naja was dann - im ärgsten Fall löschen, und Backup rauf- dicht machen PW's ändern - und Seite läuft im Normalfall nach 2 Stunden - und na klar dann gibt es "Webmaster" die sich vor allem selbst noch als "Webmaster - Profis" sehen - die rein schreiben "Hilfe mein Webseite wurde gehackt" - und JOOMLA IST SCHULD aber mal ne Frage - haben die ein Backup? - Nochmals - raufspielen - 2 Stunden - Seite läuft - Aber nein Joomla ist Schuld - klar doch!!!!! Joomla der Verbrecher!!

Habt Ihr eigentlich einmal darüber nachgedacht weas Joomla, oderbesserdie Commmunity die dahintersteht, für die Anwender gemacht hat? Das sind Leute die OHNE Geld dafür zu verlangen programmieren und dann Ihre scripts zur Verfügung stellen, das sind Leute die OHNE KOHLE dafür zu verlangen in unzählige Sprachen übersetzen, dafür das Joomla Multilingual ist, hat bisher jemand gespendet, oder einmal Danke gesagt?

Und keine Angst, ich bin kein admin von Joomla, oder so, sondern ein einfacher Usere, der seit Jahren Joomla verwendet und dankbar ist für die ganzen unzähligen Erweieterungen, und es satt hat, das die Dummheit Einzelner eeine ganze Community die sich den "A . r...s.c.h" aufreißt nur mit MIßbilligenden Worten würdigt - und nochmalö klar Joomla iste der Verbrecher, weil Joomla ist Schuld das gehackt wurde,... ich würde bevor ich solche Aussagen tätige malö erstens diese grauen Zellen die sich Hirn nennen einschalten und zweitens dann erstmals bei mir auf Fehlersuche gehen bevor ich sage das CMS oder die Software ist Mist!!

naja, jetzt mal soviel von mir
wünsche angenehmen Abend Euch Allen

mfg snowdog

 

[Marcs]

@Sascha
Problematisch ist es, wenn der Angreifer so gut war und zu Root Rechten gelangt ist, sprich die Logfiles gelöscht hat - was hier der Fall war. Die Ingenieure haben festgestellt, dass das Exploit über allow_url_fopen eines schlecht programmierten Joomla Modules reingeladen wurde. Wir gehen jetzt ab dem 15 März im Zuge einer Restrukturierung soweit, dass wir alle Systeme (es gibt dann nur noch ein Clustersystem ab März) durch ein Basler Unternehmen virtualisieren lassen und dort die Ebenen stark abtrennen (was heute bei einzelnen Systemen nicht möglich ist). Solche Lösungen sind aber nicht gerade günstig.

Im erwähnten Fall war alles gemacht worden, was man normalerweise macht:
- Abtrennung User mittels suphp
- Alle Dateien unter fixen Userkennungen
- Regelmässige Updates waren eingespielt
- Techniker waren sehr erfahren

Gruss

Ps. Ob jetzt politische und religiöse Gründe hinter der Attacke stecken ist schwierig zu sagen, es ist aber wahrscheinlich - ein technisch versierter Angreifer hinterlässt eher keine Aussagen im Bezug auf "religion und nation".

 

[mho->codus]

"terrorismus" ist jetzt aber schon ein wenig übertrieben - deine seite dient lediglich als mittel zum zweck.
es gibt aber auch global vorbeugende mittel auf webserverbasis - mod security.

 

[snowdog]

Hallo!

Habe ein CPanel Hosting, wo allow_url_fopen
nicht genehmigt ist!!
Das heißt im KLartext - Joomla läuft einwandfrei - kann Dir meine ganzen Joomla Seiten zeigen - sind einwandfrei im Einsatz
Nochmal - wenn jemand nicht fähig ist ne Seite oder nen server zu verwalten , DANN SOLL ER DIE HÄNDE DAVON LASSEN, oder zumindest solange weiterlernen bis er die Kenntnisse dafür hat, weil jeder hat mal klein angefangen, aber nicht immer gleich schreien, Alle anderen sind Schuld, vor allem die Böse Böse Software!!

mfg snowdog

 

[mho->codus]

QUOTE (snowdog @ So 14.02.2010, 20:19) Hallo!

Habe ein CPanel Hosting, wo allow_url_fopen
nicht genehmigt ist!!
Das heißt im KLartext - Joomla läuft einwandfrei - kann Dir meine ganzen Joomla Seiten zeigen - sind einwandfrei im Einsatz
Nochmal - wenn jemand nicht fähig ist ne Seite oder nen server zu verwalten , DANN SOLL ER DIE HÄNDE DAVON LASSEN

mfg snowdog

ein system kann aber nicht nur per allow_url_fopen korrumpiert werden.
und software anzubieten und zu sagen "also bei mir funktioniert diese sicher und reibungslos, muß dann am anwender liegen" - das ist eine gängige methode, spricht aber nicht wirklich für qualität.

 

[Martin H]

QUOTE (snowdog @ So 14.02.2010, 19:19) Hallo!

Habe ein CPanel Hosting, wo allow_url_fopen
nicht genehmigt ist!!
Das heißt im KLartext - Joomla läuft einwandfrei - kann Dir meine ganzen Joomla Seiten zeigen - sind einwandfrei im Einsatz
Nochmal - wenn jemand nicht fähig ist ne Seite oder nen server zu verwalten , DANN SOLL ER DIE HÄNDE DAVON LASSEN, oder zumindest solange weiterlernen bis er die Kenntnisse dafür hat, weil jeder hat mal klein angefangen, aber nicht immer gleich schreien, Alle anderen sind Schuld, vor allem die Böse Böse Software!!

mfg snowdog

es ist nun mal so, dass joomla gerne von "unerfahrenen" user benutzt wird, und diese nicht wissen, wie sie ihre systeme pflegen müssen oder es viele Joomla-Entwickler gibt, die einmal für einen Kunden etwas entwickeln und dann das System nicht gepflegt wird (im Stile von nach mir die Sintflut) ...

Joomla kommuniziert sich SELBER als einfaches System, welches auch für Webmaster ohne grosse technische Kenntnisse einsetzbar ist:

"Joomla is designed to be easy to install and set up even if you're not an advanced user. Many Web hosting services offer a single-click install, getting your new site up and running in just a few minutes.

Since Joomla is so easy to use, as a Web designer or developer, you can quickly build sites for your clients. Then, with a minimal amount of instruction, you can empower your clients to easily manage their own sites themselves."

Quelle:
http://www.joomla.org/about-joomla.html

Da sag ich nur: Mahlzeit

Wer sowas kommuniziert muss einfach ein sicheres System (ink. Zusatzkomponenten) liefern können, welches auch von Webmaster und Firmen OHNE grosse IT Kenntisse BETRIEBEN werden kann (wie kommuniziert). Meiner Meinung liegt es an der Joomla Community, dass halt Module oder Modul-Entwickler sich z.B. zertifizieren lassen müssen bevor Sie auf die breite Masse gelassen werden oder dass das Updaten für Firmen via z.B. Autoupdate einfacher möglich ist.

Alles andere ist fahrlässig. Vorallem wenn man solche Sprüche auf die Website schreibt..

 

[Sascha Ahlers]

QUOTE (easyswiss @ So 14.02.2010, 19:14)@Sascha
Problematisch ist es, wenn der Angreifer so gut war und zu Root Rechten gelangt ist, sprich die Logfiles gelöscht hat - was hier der Fall war. [...]

Im erwähnten Fall war alles gemacht worden, was man normalerweise macht:
- Abtrennung User mittels suphp
- Alle Dateien unter fixen Userkennungen
- Regelmässige Updates waren eingespielt
- Techniker waren sehr erfahren
[...]

Nun ja, wenn Du den gesamten Thread gelesen hast, war mein Vorschlag ja auch nicht ohne Grund, sich an den Administrator des Servers zu wenden.

• Aber der Webserver war nicht in einen chroot, wenn ich mir so Deine Auflistung ansehe?
  
• Wurden bösartige Funktionen deaktiviert, wie symlink(), womit man auch aus einen open_basedir ausbrechen könnte?
  
• Wurde die Shell-Kommando deaktiviert, bzw. zu mindestens so weit eingeschränkt, dass nur unproblematische Befehle ausgeführt werden können?
  
• War Suhosin installiert?
  

Ansonsten würde mich wirklich mal die php.ini interessieren, und wie die Person aus einen sauber konfigurierten PHP herausgekommen ist.
Aber wenn schon auf erster Ebene, beim Anwender der Fehler passiert, nun ja, da kann man nicht mehr viel machen.


@Martin H:
Wer alles für bare Münze nimmt, was so im Internet geschrieben steht, handelt genau so fahrlässig. Aber übersetzt doch das ganze Mal, hier wird von Webdesigner/-entwicklern geredet, die dies für Ihre Kunden machen. Also Personen, die eigentlich Ahnung von so etwas haben sollten, denn wenn ich das lese, verstehe ich ungefähr das hier:


QUOTE Joomla ist so aufgebaut, dass es leicht zu installieren und zu konfigurieren ist, auch wenn Sie kein erfahrener Benutzer sind. Viele Webhosting Dienste bieten eine ein-klick Installation an, um Ihre neue Internetpräsenz aufzusetzen und in nur wenigen Minuten zum Laufen zu bekommen.

Seit Joomla so leicht zu benutzen ist, können Sie als ein Webdesigner oder -entwickler schnell für Ihre Kunden Internetpräsenzen bauen. Dann können Sie, mit minimaler Anleitung, Ihre Kunden dazu befähigen ihre eigene Internetpräsenz leicht selbst zu verwalten.

 

[Martin H]

QUOTE (Sascha Ahlers @ So 14.02.2010, 20:56)
@Martin H:
Wer alles für bare Münze nimmt, was so im Internet geschrieben steht, handelt genau so fahrlässig. Aber übersetzt doch das ganze Mal, hier wird von Webdesigner/-entwicklern geredet, die dies für Ihre Kunden machen. Also Personen, die eigentlich Ahnung von so etwas haben sollten, denn wenn ich das lese, verstehe ich ungefähr das hier:


QUOTE Joomla ist so aufgebaut, dass es leicht zu installieren und zu konfigurieren ist, auch wenn Sie kein erfahrener Benutzer sind. Viele Webhosting Dienste bieten eine ein-klick Installation an, um Ihre neue Internetpräsenz aufzusetzen und in nur wenigen Minuten zum Laufen zu bekommen.

Seit Joomla so leicht zu benutzen ist, können Sie als ein Webdesigner oder -entwickler schnell für Ihre Kunden Internetpräsenzen bauen. Dann können Sie, mit minimaler Anleitung, Ihre Kunden dazu befähigen ihre eigene Internetpräsenz leicht selbst zu verwalten.


Wenn ich das Übersetzte reduziere, erfahre ich, dass man "nicht erfahren" sein muss und es sogar "ein Klick Installatationen" bei Hostern gibt und man so in "wenigen Minuten" schnell Webseiten für Kunden erstellen kann.

Okay wenn man "ein Klick Installationen" hört, läuten bereits die Alarmglocken!!

Klar sind es Marketingfloskeln, nichtsdestotrotz wird das Produkt von vielen technologisch nicht versierten "Webdesignern" verwendet und in Kundenprojekten eingesetzt. Am Schluss müssen es dann die Kunden (oder deren Hoster) ausbaden, wenn nach zwei Jahren die ganze Installation verlöchert ist und der Webdesigner, welche die Page annodazumal aufgesetzt hat, über alle Berge ist.... Da Frag ich mich, ob "Wartungsvertrag" ein Fremdwort ist??

Einen Teil der Probleme kann man sicher Serverseitig abfangen und Schaden limitieren. Dennoch muss das Problem auch an der Wurzel angegangen werden.

Wenn die technische Anfangshürde für Entwickler soo niedrig ist, dann muss seitens Softwareanbieter hinsichtlich Validierung und Zertifizierung mehr gemacht werden.

 

[Marcs]

QUOTE (easyswiss @ So 14.02.2010, 19:14)
Nun ja, wenn Du den gesamten Thread gelesen hast, war mein Vorschlag ja auch nicht ohne Grund, sich an den Administrator des Servers zu wenden.

• Aber der Webserver war nicht in einen chroot, wenn ich mir so Deine Auflistung ansehe?
  
  
• Wurden bösartige Funktionen deaktiviert, wie symlink(), womit man auch aus einen open_basedir ausbrechen könnte?
  
  
• Wurde die Shell-Kommando deaktiviert, bzw. zu mindestens so weit eingeschränkt, dass nur unproblematische Befehle ausgeführt werden können?
  
  
• War Suhosin installiert?
  
  

Ansonsten würde mich wirklich mal die php.ini interessieren, und wie die Person aus einen sauber konfigurierten PHP herausgekommen ist.
Aber wenn schon auf erster Ebene, beim Anwender der Fehler passiert, nun ja, da kann man nicht mehr viel machen.



Ich muss ehrlich sein, ich habe keine Ahnung da ich selbst kein Systemadministrator bin.
Ich hab dir eine PN mit dem Link zu einer phpinfo gesendet und einem Link wer da die Systemadministratoren sind (vertraulich, danke).

Gruss

 

[PH]

Die Debatte hier ist ein wenig steril, finde ich.

Sichere Systeme sind unflexibel. Flexible Systeme erlauben es dem Admin unsichere Teile einzubauen.

Ich finde es sehr sehr gute wenn ein Core System als sicher angesehen werden kann. Dann kann man auf dieser gesunden Basis aufbauen.

Bei einem Hack ist effektiv wichtig:
1- herauszufinden, wie die Angreifer reingekommen sind (die Schwachstelle muss raus, bzw. ausgebessert werden)
2- herauszufinden, welchen Zugriffslevel die Angreifer bekommen haben (entscheidet darüber, ob man nur eine Schwachstelle ausbessert oder den ganzen Server neu installieren muss)

Und ich kann an dieser Stelle nicht genug empfehlen, dass Apache mit Mod_Security betrieben wird. Mod_security ist ein guter schutz gegen http-basierende Angriffe (SQL injections, input manipulation, usw). Es ist auch ganz gut, sich die mod_security logs ab und zu mal anzuschauen. Man wird dadurch u.U. auf Schwachstellen im CMS aufmerksam.

 

[snowdog]

Nun mal auch einigen Leuten hier rechtzugeben die strikt gegen Joomla sind, oder die viel schlechtes darüber gehört haben,und nun ein schlechtes Bild davon haben, naja nicht ganz rechtgeben im bezug gegen Joomla, aber dazu das es mit den Grundeinstellungen etwas unsicher sein könnte.
Aber, es liegt ja wie schon jetzt mehrmals darin das egal welches System man verwendet, man sich über dieses Systemn schlau machen sollte, und sich auch ein wenig mit der Mateerie auskennen sollte.
So aber jetzt mal so halb weg von Joomla, überhaupt zu kostenlosen CMS-Software. Wer verwendet denn soslche Software? Leute die im Prinzip kein Geld dafür ausgeben wollen, keinen Webmaster für die Erstellung einer Site bezahlen wollen, sich nicht schlau machen wollen, aber trotzdem ne Top-Seite mit Super Design habne wollen, die einwandfrei funktioniert und dann auch noch sicher ist.
Und einige von Neuensteigern die dann noch aufschnappen das man im Net über Nacht reich werden kann, naja das ist so die Kombination.
Aber wer dann dann auch für ne Firmenwebseite ein Kostenloses CMS nimmt, und nichts dazulernt, und vor allem kein Backup macht, naja, da ist weiterhilfe schwer!!

mfg snowdog

 

[Colorholic]

Naja schon,aber jedes selbstgecodetes Script ist sicherer als eine Open-Source Anwendung.
Denn da liegen die Quellcode´s offen und somit ist es für Angreifer leichter.