Die Google-Codesuche und die Hacker

3. Dezember 2008

Wie gehen eigentlich Angreifer vor, wenn sie eine Webseite attackieren? Viele Webmaster und Webmistresses unterschätzen, wie einfach es heute ist, eine Seite anzugreifen. Um das zu verdeutlichen zeigen wir heute zwei wichtige Beispiele:

Methode 1: brute force scan (englisch für: Suche mit roher Gewalt)

Bei dieser Methode grasen die Kriminellen einfach gesagt alle möglichen Installationspfade für eine ausbeutbare Software ab. Sie hinterlassen dabei große Spuren im angegriffenen System. Die Angriffe finden aber zumeist von gekaperten Maschinen aus statt, bei denen sich die Kriminellen sicher fühlen. So ein Scan hinterlässt dann im Webserver Zeilen wie die folgenden:

 "GET /PMA/main.php main.php HTTP/1.0" 404 289 "-" "-"
 "GET /phpmyadmin/main.php main.php HTTP/1.0" 404 296 "-" "-"
 "GET /mysql/main.php main.php HTTP/1.0" 404 291 "-" "-"
 "GET /admin/main.php main.php HTTP/1.0" 404 291 "-" "-"
 "GET /db/main.php main.php HTTP/1.0" 404 288 "-" "-"
 "GET /dbadmin/main.php main.php HTTP/1.0" 404 293 "-" "-"
 "GET /web/phpMyAdmin/main.php main.php HTTP/1.0" 404 300 "-" "-"
 "GET /admin/pma/main.php main.php HTTP/1.0" 404 295 "-" "-"
 "GET /admin/phpmyadmin/main.phpmain.php HTTP/1.0" 404 310 "-" "-"
 "GET /admin/mysql/main.phpmain.php HTTP/1.0" 404 305 "-" "-"
 "GET /mysql-admin/main.php main.php HTTP/1.0" 404 297 "-" "-"
 "GET /mysqladmin/main.php main.php HTTP/1.0" 404 296 "-" "-"
 "GET /mysql-admin/main.php main.php HTTP/1.0" 404 297 "-" "-

In dem Beispiel gilt die Suche der Verwaltungskonsole “phpMyAdmin”. Wer Zugang zu dieser Administrations-Oberfläche hat kann mit dem dazugehörigen Webspace praktisch alles anstellen. Viele Homepagebesitzer nehmen dafür aber viel zu schwache oder gar keine Passwörter und die Angreifer haben dann sehr leichtes Spiel.

Tip: wer solche Konsolen benutzt, sollte folgende drei Tipps beherzigen:

  • Die Administrationstools auf unerratbare Pfade legen
  • Für jedes Konto der Konsole ein gutes Passwort benutzen
  • Den Zugriff auf die Konsole zusätzlich per htaccess beschränken

Methode 2: gezielte Schwachstellensuche per Code-Suche

Angreifer mit besseren Computerkenntnissen meiden die erste Methode und suchen stattdessen gezielt nach Schwachstellen. Ein ungeahnt mächtiges Werkzeug dafür ist die Google-Codesuche. Es braucht nur wenig Erfahrung, um damit nach bestimmten Programmen und deren Versionen oder generell nach ausbeutbaren Codesquenzen zu suchen.

Ein prominentes Opfer dieser Methode war der “Wie-mache-ich-Geld-im-Internet”-Blogger Jeremy Schoemaker. Er hat einen Angriff auf sein System und die dabei genutzten Angriffsflächen seiner Seite genau beschrieben. Er beschreibt seine Hauptfehler so:

  • Die HTML- und PHP-Dateien auf dem Webserver hatten die Zugriffsrechte so gesetzt, dass der Webserver sie beschreiben konnte. Damit konnten die Angreifer über eine Sicherheitslücke eines Programms Dateien verändern. Zum Beispiel heißt das Webserver-Konto bei vielen Linux-Systemen “www-data”. Diese Konto sollte auf die Dateien im Webseiten-Verzeichnis immer nur lesend zugreifen können. (Bei Linux-Systemen wird das so gehandhabt, dass der Webserver ein Gruppenkonto zum Lesen der Dateien bekommt. Die Dateien bekommen dann die Zugriffsrechte “0644″)
  • Die Logdateien konnten mit den Rechten des Webserver-Kontos beschrieben werden. Das ist für die Angreifer sehr hilfreich, denn sie können die Log-Dateien dann manipulieren oder löschen. Das Einfallstor ist dann schwieriger zu finde. Auch hier gilt das gleiche, wie oben. Die Logdateien müssen so eingerichtet sein, dass der Webserver sie im Prinzip gar nicht beschreiben dürfte. Normalerweise ist dieser Trick bei den Webspace-Angeboten eingerichtet.
  • Jeremy hat eine Google-Sitemap genutzt, in der sämtliche Dateien seines Webseiten-Verzeichnisses eingetragen waren. Das Problem dabei: er hatte irgendwo eine “alte, unbenutzte” Datei herumliegen, an die er selbst gar nicht mehr gedacht hat. Zudem war die Datei in einem ganz versteckten, praktisch unerratbaren Pfad gespeichert. Dummerweise aber hatte genau diese Datei eine große Sicherheitslücke. Und der Pfad der Datei war in Wirklichkeit gar nicht unerreichbar, denn er war weltweit über die Sitemap bekanntgemacht.

Das Glück im Unglück war, dass sein System abstürzte, als die Angreifer ein Fernsteuerungs-System (Root-Kit) installieren wollten. So konnte er gerade noch die Sicherheitslücken schließen. Oft sind die Angreifer aber leider weniger stümperhaft und schaffen es dann, das System für ihre kriminellen Zwecke zu kapern.  Das System wird dann zum Beispiel die oben genannten Brute-Force-Scans auf anderen Systemen durchführen, als Spamschleuder dienen oder als Zielsystem für Phishing-Seiten herhalten. Das schlimme daran: die Root-Kits verstecken sich so gut,  dass die meisten Webmaster sie nicht einmal dann entdecken, wenn sie gezielt nach ihnen suchen.

Jeremy hatte den Beitrag bereits vor zwei Jahren geschrieben, er hat aber kein Stück Aktualität verloren. Webmaster und Webmistresses sollten sich das einmal ansehen, um ein Gefühl dafür zu bekommen, auf was sie bei ihren eigenen Webseiten besser achten müssen. Hier ist die Codesuche von Google dann ein aufklärerisches Werkzeug.

Weblinks:

Speichern
  • MisterWong.DE
  • Webnews.de
  • Digg
  • del.icio.us
  • Facebook
  • Google

Schlagworte: , ,

Kommentieren


Über WebmasterCoffee - Archiv - Impressum