Sonntagsplanung: Wunsch und Realität

Letztendlicher Angriffsvektor: eine SQL-Injection-Lücke im CMS MODx, über die der Angreifer vollen Administrator-Zugriff erhielt und eine Remote-Shell platzieren konnte. Von dieser ausgehend wurden dann weitere Shells quer über den Server verteilt.

Was haben wir gelernt?

    diff --brief -r dir1/ dir2/

Durch diese Unterschiede konnten geänderte Dateien (Code wurde z.B. in die index.php gelegt) oder neu platzierte Dateien (Remote PHP Shells) einfach identifiziert und bereinigt werden.

Lücke ist geschlossen (bzw. das CMS komplett gesperrt), der Kunde informiert.

Bin gespannt, wie schnell die Verbesserungen umgesetzt werden können.