Ich habe eine Frage: ein Freund von mir hat eine Homepage. Dies ist laut Virustotal kompromittiert ( 6 Scanner melden dies). Wie kann ich am Besten den Quellcode analysieren, wenn kein sauberes Backup bestehen sollte? Welche Tools nehme ich am Besten dafür? Da 6 Scanner Funde bzw. verdächtige Seiten gemeldet haben, gehe ich davon aus, dass dies kein falsch-positiver Fall ist.
-
Hallo liebe Userinnen und User,
nach bereits längeren Planungen und Vorbereitungen sind wir nun von vBulletin auf Xenforo umgestiegen. Die Umstellung musste leider aufgrund der Serverprobleme der letzten Tage notgedrungen vorverlegt werden. Das neue Forum ist soweit voll funktionsfähig, allerdings sind noch nicht alle der gewohnten Funktionen vorhanden. Nach Möglichkeit werden wir sie in den nächsten Wochen nachrüsten. Dafür sollte es nun einige der Probleme lösen, die wir in den letzten Tagen, Wochen und Monaten hatten. Auch der Server ist nun potenter als bei unserem alten Hoster, wodurch wir nun langfristig den Tank mit Bytes vollgetankt haben.
Anfangs mag die neue Boardsoftware etwas ungewohnt sein, aber man findet sich recht schnell ein. Wir wissen, dass ihr alle Gewohnheitstiere seid, aber gebt dem neuen Board eine Chance.
Sollte etwas der neuen oder auch gewohnten Funktionen unklar sein, könnt ihr den "Wo issn da der Button zu"-Thread im Feedback nutzen. Bugs meldet ihr bitte im Bugtracker, es wird sicher welche geben die uns noch nicht aufgefallen sind. Ich werde das dann versuchen, halbwegs im Startbeitrag übersichtlich zu halten, was an Arbeit noch aussteht.Neu ist, dass die Boardsoftware deutlich besser für Mobiltelefone und diverse Endgeräte geeignet ist und nun auch im mobilen Style alle Funktionen verfügbar sind. Am Desktop findet ihr oben rechts sowohl den Umschalter zwischen hellem und dunklem Style. Am Handy ist der Hell-/Dunkelschalter am Ende der Seite. Damit sollte zukünftig jeder sein Board so konfigurieren können, wie es ihm am liebsten ist.
Die restlichen Funktionen sollten eigentlich soweit wie gewohnt funktionieren. Einfach mal ein wenig damit spielen oder bei Unklarheiten im Thread nachfragen. Viel Spaß im ngb 2.0.
Eigene Homepage kompromittiert
- Ersteller Thomas
- Erstellt am
Hallo Thomas,
Analyse-Tools eignen sich nur bedingt, um Fehler ausfindig zu machen. Das Problem dabei: Eine Maschine hat (noch) nicht die nötige Intelligenz, um Angriffe abseits von geläufigen Methoden und bekannten Schwachstellen durchzuführen.
Sofern du selbst also keine Erfahrung mit der Thematik hast, könntest du über Google Glück haben, wenn ein CMS eingesetzt wurde und findest dann dort hilfreiche Beitrage, die dir eine Lösung des Problems erklären. Je nach Umfang und Brisans der Daten könntest du natürlich auch den Link hier posten, sodass man einen Blick darauf werfen könnte. Im schlimmsten Fall müsstest du entweder die Homepage von einem anderen Programmierer neu entwickeln lassen oder einen professionellen Penetration Test durchführen lassen.
Ansonsten ist die übliche Vorgehensweise, die Seite zunächst für öffentliche Besucher zu sperren und die Dateien (auch wenn diese kompromittiert sein mögen) zu sichern, um lokal Analysen durchführen zu können. Bedenke, dass dies aber gefährlich sein kann, wenn du nicht weiß, was du tust (beispielsweise wenn Schadcode über einen lokalen Webserver ausgeführt wird und so Zugriff auf dein System ermöglicht).
Weiterhin sind die Log-Dateien ein guter Ansatzpunkt, um den Angriff rekonstruieren zu können, sofern diese nicht vom Angreifer gelöscht/geändert wurden.
Darüber hinaus könnten aber auch Schwachstellen in der Serversoftware existieren. Bei gehosteten Webspaces und Datenbank ist es aber nicht deine Aufgabe, dort Fehler zu finden, sondern das übernimmt der Serveradministrator. Hast du jedoch einen eigenen Server, so solltest du diesen komplett vom Internet trennen.
Analyse-Tools eignen sich nur bedingt, um Fehler ausfindig zu machen. Das Problem dabei: Eine Maschine hat (noch) nicht die nötige Intelligenz, um Angriffe abseits von geläufigen Methoden und bekannten Schwachstellen durchzuführen.
Sofern du selbst also keine Erfahrung mit der Thematik hast, könntest du über Google Glück haben, wenn ein CMS eingesetzt wurde und findest dann dort hilfreiche Beitrage, die dir eine Lösung des Problems erklären. Je nach Umfang und Brisans der Daten könntest du natürlich auch den Link hier posten, sodass man einen Blick darauf werfen könnte. Im schlimmsten Fall müsstest du entweder die Homepage von einem anderen Programmierer neu entwickeln lassen oder einen professionellen Penetration Test durchführen lassen.
Ansonsten ist die übliche Vorgehensweise, die Seite zunächst für öffentliche Besucher zu sperren und die Dateien (auch wenn diese kompromittiert sein mögen) zu sichern, um lokal Analysen durchführen zu können. Bedenke, dass dies aber gefährlich sein kann, wenn du nicht weiß, was du tust (beispielsweise wenn Schadcode über einen lokalen Webserver ausgeführt wird und so Zugriff auf dein System ermöglicht).
Weiterhin sind die Log-Dateien ein guter Ansatzpunkt, um den Angriff rekonstruieren zu können, sofern diese nicht vom Angreifer gelöscht/geändert wurden.
Darüber hinaus könnten aber auch Schwachstellen in der Serversoftware existieren. Bei gehosteten Webspaces und Datenbank ist es aber nicht deine Aufgabe, dort Fehler zu finden, sondern das übernimmt der Serveradministrator. Hast du jedoch einen eigenen Server, so solltest du diesen komplett vom Internet trennen.
- Thread Starter Thread Starter
- #3
Zunächst vielen Dank! Ja, ich meinte keine automatisierten Tools, sondern eher einfach ein Editor, einen HTML Editor oder so. Den Link kann ich leider nicht posten, da dieser mit dem direkten Namen des Inhabers verbunden ist.
Ein lokaler Webserver wird nicht installiert und wenn, dann analysiere ich das in einer virtuellen Umgebung.
Nun ja, es ist bei einem Webspace gehostet, aber bin mir nicht ganz sicher, ob die das übernehmen.
Ein lokaler Webserver wird nicht installiert und wenn, dann analysiere ich das in einer virtuellen Umgebung.
Nun ja, es ist bei einem Webspace gehostet, aber bin mir nicht ganz sicher, ob die das übernehmen.
nik
Guest
N
Du kannst ja deinen bevorzugten Editor zum Anzeigen des Codes verwenden.
Wenn ein CMS oder ähnliches verwendet wurde, kannst du ja eine nackte Installation verwenden und die Änderungen mit deiner kompromittierten Version vergleichen. Die Differenz prüfst du dann.
Wenn ein CMS oder ähnliches verwendet wurde, kannst du ja eine nackte Installation verwenden und die Änderungen mit deiner kompromittierten Version vergleichen. Die Differenz prüfst du dann.
Naja, ein lokaler Webserver ist insofern nicht die schlechteste Idee als dass du dann selbst versuchen kannst, die Seite zu hacken und nicht im Quellcode nach Lücken suchen musst. Ersteres ist deutlich erfolgsversprechender, da man bei der zweiten Variante ja wirklich jede Datei durchkauen muss und alle Zusammenhänge verstehen muss. Eine virtuelle Maschine ist aber in der tat sinnvoll.
Dass die Administration das übernimmt, bezog sich nur auf Sicherheitslücken, die in der Serversoftware, also beispielsweise beim Webserver, zu finden sind. Ist dies nicht der Fall und die Lücken sind im Quellcode der Seite zu finden, dann ist das deine Aufgabe, diese zu finden und zu beseitigen
Edit:
@ nik: Auf diese Weise kann man feststellen, wo der Schadcode implementiert wurde, jedoch wird man unter Umständen nicht das eigentliche Problem - die Sicherheitslücke - finden. Sollte sich diese im CMS befinden, so beinhaltet auch ein frisch eingerichtetes System der gleichen Version diese Lücke. Höchstens wenn der Fehler erst durch eine Modifikation des CMS entstand, kann man so auf das Problem stoßen, sofern man dieselbe Änderung nicht auch beim frisch installierten System vorgenommen hat.