Anton Dollmaier

Anton Dollmaier


Sonntagsplanung: Wunsch und Realität

03 Feb 2013 »
  • Wunsch: ein ruhiger Sonntag mit Spiel, Spass und Spannung
  • Realität: Angriff auf ein Serversystem, dessen Säuberung 4 Stunden dauerte – nix mit Spiel, Spass und Spannung.

Letztendlicher Angriffsvektor: eine SQL-Injection-Lücke im CMS MODx, über die der Angreifer vollen Administrator-Zugriff erhielt und eine Remote-Shell platzieren konnte. Von dieser ausgehend wurden dann weitere Shells quer über den Server verteilt.

Was haben wir gelernt?

  • Aus Datensicherungen mit rsnapshot können die Unterschiede zwischen zwei Verzeichnissen schön aufgezeigt werden:
      diff --brief -r dir1/ dir2/
    

Durch diese Unterschiede konnten geänderte Dateien (Code wurde z.B. in die index.php gelegt) oder neu platzierte Dateien (Remote PHP Shells) einfach identifiziert und bereinigt werden.

  • SQL-Injections sind hässlich – nicht nur deshalb müssen CMS-Installationen immer Up2date gehalten werden!
  • Zukünftig wird bei allen Seiten, auch wenn nur ein einziger Kunde diese verwaltet, soweit wie nur irgendwie möglich auf Privilege Separation gesetzt: Alle (Web-)Dienste erhalten eigene Systembenutzer, so dass ein Angriff auf einen Benutzer im Idealfall nur dieses Web betrifft. Dies wird die Administration bzw. Betreuung zwar etwas erschweren, für die Sicherheit aber unerlässlich sein. Dies kann jedoch u.U. Umstellungen erfordern, damit die Webanwendungen zukünftig über eine eigene (Sub-)Domain aufgerufen werden.
  • Angriffe über SSH sind zwar noch existent, aber bei weitem nicht so gefährlich und nicht so häufig wie Angriffe über Lücken in Webanwendungen. Durch Remote Shells, die nach dem erfolgreichen Exploit platziert werden, hat der Angreifer jedoch quasi die gleichen Möglichkeiten wie nach einem SSH-Login.

Lücke ist geschlossen (bzw. das CMS komplett gesperrt), der Kunde informiert.

Bin gespannt, wie schnell die Verbesserungen umgesetzt werden können.

© Anton Dollmaier