Das deutsche QBasic- und FreeBASIC-Forum

E-P-S · Verfasst am: 18.10.2007, 22:06 Titel: hacker gesucht

Hi zusammen,

nachdem ich wegen Sicherheitsproblemen meine Seite vom Netz nehmen musste, habe ich diese nun komplett überarbeitet.

Damit mir ähnliches in naher Zukunft erspart bleibt suche ich einen kleinen Hacker der meine Seite auf Schwachstellen abklopft und mir logischerweise diese verrät - am besten gleich mit Anleitung wie die "Löcher" zu stopfen sind.

Nun das üble...bin natürlich arm wie ne Kirchenmaus, also ausser Ruhm und Ehre - wenn erwünscht auch ne Erwähnung auf der Seite - ist dabei nix zu holen. Und natürlich dem tollen Gefühl die Welt verbessert zu haben zwinkern

Ich wäre echt dankbar für eure Hilfe, EPS.

Ach ja, Kontakt per PN, Mail oder über die Seite.
_________________
Man kann sich öfter als zweimal im Leben halb tot lachen.

Devilkevin · Verfasst am: 18.10.2007, 22:28 Titel:

Meinst du jetzt einfach den Server an sich checken oder deine PHP/CGI-Scripts?
_________________
www.piratenpartei.de

dreael · Verfasst am: 18.10.2007, 22:43 Titel:

Für einen Kunden führen wir momentan in dessen offiziellen Auftrag ebenfalls einen Code-Review aus, um deren ASP.NET-Seite hinsichtlich Schwachstellen/Einbruchmöglichkeiten zu durchsuchen.

Übrigens hatte ich dieses Jahr ebenfalls schon auf meinem Webserver einiges an "Ostereier" abräumen müssen. Problem sind nicht etwa fehlende Linux-Sicherheitspatches von meiner Seite, sondern Kunden, die irgend eine Open Source-Anwendung, z.B. Webforum, aufsetzen und diese danach "vergessen" - sprich nie mehr updaten. Dann ist es nur eine Frage der Zeit, bis ein Angreifer eine enteckte Sicherheitslücke mit einem Exploit ausnutzt. Übrigens wird es einem in solchen Situationen sonnenklar, warum ein Webserver immer unter einem Benutzerkonto mit extrem niedrigen Rechten laufen muss! Was man hierbei auch wissen muss: Jeder, der für seine Upload-Archive ein SITE CHMOD 777 macht, öffnet prinzipiell seinen Webspace auch für die Platzierung von Ostereiern!

Als Konsequenz läuft mein Webserver mittlerweilen mit stark abgehärteter PHP-Konfiguration (php.ini), also register_globals=off, safe_mode=on, gesetzer open_base_dir, URL-Dateioperationen komplett deaktiviert, exec(), system() usw. ebenfalls abgeschaltet usw.

@EPS: Etwas "Pflichtlektüre" für Dich:
http://www.heise.de/security/artikel/90335/Kochbuch-fuer-Webanwendungssicherheit
http://www.heise.de/security/artikel/96564/Grundsicherung-fuer-PHP-Software
http://www.php.net/manual/de/security.php
_________________
Teste die PC-Sicherheit mit www.sec-check.net

E-P-S · Verfasst am: 18.10.2007, 23:08 Titel:

@dreael - danke für die Infos. Bin ja nicht ganz unerfahren, aber manchmal übersieht man schlichtweg Dinge.

@devilkevin - es geht nur um meine Scripte, nicht um den Server, diesen also bitte nicht lahmlegen, ist schließlich nicht meiner zwinkern

_________________
Man kann sich öfter als zweimal im Leben halb tot lachen.

Jojo · Verfasst am: 18.10.2007, 23:22 Titel:

Erstmal ein Tipp...
Den Link "admin-bereich", der ja schon auf der Hauptseite auftritt, nicht so offensichtlich zeigen - am besten gar nicht zwinkern

dann doch lieber bookmarken... es ist auch praktisch, sowas doppelt abzusichern, soll heißen, das admin/ -Verzeichnis nochmal per .htpasswd zu schützen (wie das geht, steht in SelfHTML).
_________________
» Die Mathematik wurde geschaffen, um Probleme zu lösen, die es nicht gäbe, wenn die Mathematik nicht erschaffen worden wäre.

Mao · Verfasst am: 19.10.2007, 11:29 Titel:

Hm, ich würde das genaue Gegenteil machen von dem, was Jojo sagt. zwinkern

Niemand behauptet, dass das Ganze auch auf eine "echte" Login-Seite führen muss. cool

_________________
Eine handvoll Glück reicht nie für zwei.
--

ThePuppetMaster · Verfasst am: 19.10.2007, 12:41 Titel:

@E-P-S ... ist das diese seite? .... http://www.east-power-soft.de/

Wenn ja, würdeich, mit deinem Einverständniss mal eine Netzwerkuntersuchung durchführen. (Schliesst auch CGI und Skript-Analyse ein)
(geht nur mit deinem Einverständniss, da es sonst Illegal wäre)

MfG
TPM
_________________
[ WebFBC ][ OPS ][ ToOFlo ][ Wiemann.TV ]

Jojo · Verfasst am: 19.10.2007, 13:57 Titel:

Mao · Verfasst am: 19.10.2007, 15:39 Titel:

Oder das Admin-Verzeichnis vllt. komplett auf einen anderen Server (wenn die Möglichkeit dazu besteht nat. nur zwinkern

) auszulagern.
Dass diese PHP-Dateien bspw. auf irgendwelchem Billig-Webspace untergebracht werden, und Datenbankzugriffsdaten noch extra angegeben werden müssen. (Weiß ja nicht, wie schwer sich deine Daten merken lassen.)
_________________
Eine handvoll Glück reicht nie für zwei.
--

Jojo · Verfasst am: 19.10.2007, 15:44 Titel:

Wenn man von einem andern Server auf die Datenbank zugreifen müsste, wäre das IMHO eine ziemlich gefärhliche Lücke. Am sichertsten ist es natürlich, alles Offline zu editieren und dann die SQl-Tabelle hochzuladen. So mach ich es oft...
_________________
» Die Mathematik wurde geschaffen, um Probleme zu lösen, die es nicht gäbe, wenn die Mathematik nicht erschaffen worden wäre.

Sebastian · Verfasst am: 19.10.2007, 15:46 Titel:

Beispielsweise Port 3306 nach draußen aufzumachen, um von einem anderen Server aus die DB zu administrieren, ist aber an sich ein kritisches Sicherheitsloch...
_________________

Die gefährlichsten Familienclans | Opas Leistung muss sich wieder lohnen - für 6 bis 10 Generationen!

Mao · Verfasst am: 19.10.2007, 16:55 Titel:

Gut, das hatt ich jetzt nicht bedacht. neutral

Aber die PHP-Admin-Seiten mit Passwort schützen und vllt. extra noch die DB-Daten zu verlangen, ist sicherlich nicht ganz wirkungslos. lächeln

_________________
Eine handvoll Glück reicht nie für zwei.
--

nemored · Anmeldungsdatum: 22.02.2007 Beiträge: 4704 Wohnort: ~/

Bei den selbstgeschriebenen Scripten editiere ich inzwischen am liebsten gleich direkt in die Datenbank hinein. Hängt natürlich davon ab, wie komplex die Einträge sind.
_________________
Deine Chance beträgt 1:1000. Also musst du folgendes tun: Vergiss die 1000 und konzentriere dich auf die 1.

E-P-S · Verfasst am: 20.10.2007, 10:26 Titel:

huiuiui.... zwinkern

Also zunächst mal ist der Admin Link kein Zugriff auf ein PHP Admin Panel, desweiteren nutze ich keine Datenbanken. Die Administration dient (nur) dem News System.

Wie auch immer, der Link lässt sich durchaus heraus nehmen, also vergesst den einfach mal - ich werde ihn weg machen.

@ThePuppetMaster das klingt gut, auch wenn kein CGI läuft. ABER:
Ich möchte keine Untersuchung meiner Scripte, sondern das versucht wird eine Schwachstelle auf der Seite zu finden. Allerdings gehört der Server wie gesagt nicht mir, von daher....

Hmm, eine Idee wäre das ich die Seite mal auf meinem Apache hier zu Hause laufen lasse. Diesen habe ich genau so konfiguriert wie den Server meines Anbieters. So könntest du dich "schaffen" ohne Ärger mit meinem Anbieter zu bekommen.

Kontaktiere mich am besten mal per PN um das zu klären.
_________________
Man kann sich öfter als zweimal im Leben halb tot lachen.

MisterD · Verfasst am: 20.10.2007, 15:08 Titel:

ne apache config auf nen anderen rechner zu klonen ohne direkt die dateien zu kopieren ist unmöglich, nur so als kleiner warnhinweis lächeln

oder du brauchst ungefähr 3 monate bis du die settings dann raus hast.
_________________
"It is practically impossible to teach good programming to students that have had a prior exposure to BASIC: as potential programmers they are mentally mutilated beyond hope of regeneration."
Edsger W. Dijkstra

E-P-S · Verfasst am: 20.10.2007, 15:44 Titel:

Ja, von der Apache Config Rede ich ja gar nicht. Es geht ja nicht darum den Server zu hacken sondern meine PHP Seiten abzuklopfen. Mit Config meinte ich eher die PHP Einstellungen die sich durch PHPInfo sehr wohl duplizieren lassen.

Das ganze lokal auf meinem Apache Server nachzubilden hätte nur den Vorteil das mein Anbieter durch die (eventuell erfolgreiche) Attacke nicht in Mitleidenschaft gezogen würde. [was für ein Satzbau]

Nicht das ich am Ende wieder eine auf den Deckel bekomme weil ein ewig großes Log File geschrieben wird zwinkern

_________________
Man kann sich öfter als zweimal im Leben halb tot lachen.

csde_rats · Verfasst am: 20.10.2007, 15:56 Titel:

Die Apacheconfig kann allerdings auch einen durchaus großen Einfluss auf das Verhalten von PHP Skripts haben. zwinkern

_________________
If hilfreicher_Beitrag then klick(location.here)

Klick

E-P-S · Verfasst am: 20.10.2007, 16:01 Titel:

Nagut, zugegeben, aber wie soll man es denn sonst testen, ich kann ja schlecht zulassen das jemand den Server meines Anbieters lahmlegt nur um meine Seite(n) zu testen - wo wäre denn da was gewonnen?

Und wie MisterD schon festgestellt hat ist es recht schwierig die Apache Config zu klonen.

So ist es denke ich noch die beste Lösung.
_________________
Man kann sich öfter als zweimal im Leben halb tot lachen.

Jojo · Verfasst am: 20.10.2007, 17:11 Titel:

du kannst den anbieter zumindest fragen, ob er dir die php.ini zeigt / schickt, das wäre immerhin schon etwas.
_________________
» Die Mathematik wurde geschaffen, um Probleme zu lösen, die es nicht gäbe, wenn die Mathematik nicht erschaffen worden wäre.

E-P-S · Verfasst am: 20.10.2007, 18:04 Titel:

Naja, man könnte auch noch 3 Wochen über all das hier diskutieren........

kann nun einer helfen, ja oder nein?
_________________
Man kann sich öfter als zweimal im Leben halb tot lachen.