Sicherheitslücke in pSys 0.3.0 alpha

[imara]

Hallo Leute,
ich habe noch eine alte Version (pSys 0.3.0 Alpha) im Einsatz, weil ich diese damals ins englische übersetzt hatte und sehr viele Änderungen gemacht hatte. Es ist quasi unmöglich, ein Update einzuspielen.
Heute wurde die Website durch SQL-Injection gehackt !!
Der Hacker war zwar so freundlich keinen Schaden anzurichten (zumindest kein ersichtlicher!!) und hat mir sogar mitgeteilt, dass er mit SQL-Injection Zugang bekommen hat, aber in der Zukunft vermeiden möchte ich das doch.
Wenn sich also jemand mit SQL-Injection auskennt und eventuell erkennen kann, wo die Sicherheitslücke ist, wäre ich für Hinweise dankbar.
Ausserdem wäre es schön, wenn mir jemand sagen kann, ob die Sicherheitslücke in der Zwischenzeit (bei der aktuellen Version von pSys) behoben ist.

[k00ni]

Hallo,
ich habe das mal verschoben. Betreffend der Sicherheitslücke kann ich dir nichts genau sagen. Welche PHP-Version läuft bei dir? Ich habe da ein paar Vermutungen, aber dazu bräuchte ich auch einen Link auf deine phpinfo.
 
Grüße

[dec]

Wenn sich also jemand mit SQL-Injection auskennt und eventuell erkennen kann, wo die Sicherheitslücke ist, wäre ich für Hinweise dankbar.[/quote]
Am besten schaust du in die Logs deines Servers. Dort erhälst du u. U. Hinweise zur \"Einstiegsseite\" des Hackers.

Vorteilhaft wäre es, wenn du genau beschreibst, was passiert ist.

Wieso war denn diese Issue gestern verschwunden?

[imara]

es wurde versehentlich in einen Bereich verschoben, wo ich / wir keinen Zugriff haben /uploads/emoticons/icon_e_wink.gif.3167d127940f44558fbf1ccd9b6d60a9.gif\" alt=\";-)\" />
Tja, was genau passiert ist, kann ich euch nicht sagen. Ich weis nur, dass der Hacker es geschafft hat, sich mit einem bestehenden Useraccount (mit admin-rechten) einzuloggen. Ich habe anhand seiner IP Adresse gesehen, dass er sich auch mit dem User-Account \"Admin\" eingeloggt hatte, aber offensichtlich hat ihm das Andere besser gefallen (hatte ja auch admin-rechte).
Er hat mir dann diverse PMs geschickt, ich möchte mich melden, anderen User PMs geschickt, ich solle mich melden, etc. Eigentlich nix Tragisches.
Da er ein Useraccount nutzte, war mir erst gar nicht klar, dass es ein Hacker ist, sondern dachte der eigentliche User will mich dringend sprechen. Erst später hat er sich als Hacker zu erkennen gegeben und wollte dann 10$ von mir /uploads/emoticons/icon_e_smile.gif.f7ec63a2b1c3d90a9415e40455642502.gif\" alt=\":-)\" />
Wir haben dann diverse Spielchen gespielt, wie IP-Adresse sperren und Rechte entziehen, Passwörter ändern, aber das hatte ihn immer nur wenige Minuten abhalten können.
Zum Schluss konnte ich ihn dann überreden, dass es sich um keine kommerzielle Seite handelt und ich nicht in der Position bin, Gelder zu zahlen oder sonstige Forderungen zu erfüllen. Sollte er nicht einsichtig sein, werde ich die Site einfach offline nehmen was zwar schade wäre aber kein finanzieller Verlust.
Zum Glück sah er dies ein und erklärte mir abschließend, dass ich dringend eine sicherere Platform wählen sollte. Er hätte sich mit SQL Injection Zugriff zu allen Daten verschaffen können und mich sogar noch darum gebeten, alle Passwörter zu ändern.
Ich habe mal in der Datenbank gestöbert, aber konnte dort keine Veränderungen finden. Zur Sicherheit habe ich jedoch eine Datensicherung eingespielt und alle Passwörter geändert.
Interessant ist auch, dass der Hacker eine andere, themenrelevante Website gehackt hat. Dies hab ich zufällig erfahren. Da ich weder deren Admin kenne noch dort pSys im Einsatz ist, vermute ich, dass sich der Typ auf dieses Thema fokussiert hat, statt auf bestimmte Platformen.
An technischen Details kann ich leider nicht mehr liefern, bin aber gerne bereit weitere Einzelheiten heraus zu finden sofern mir möglich (evtl. bräuchte ich Anleitungen was ich tun soll).

[Powie]

Wir haben dann diverse Spielchen gespielt, wie IP-Adresse sperren und Rechte entziehen, Passwörter ändern, aber das hatte ihn immer nur wenige Minuten abhalten können.[/quote]
Wien habt ihr denn die IP Adresse gesperrt, und wie habt ihr dessen IP Adresse ermittelt?
Das alles hört sich recht nach theatralisch an, aber so recht Sinn macht die ganze Sache nicht.
1. Wer war er? E-Mail / Kontaktdaten?
2. Wie hat er sich denn Adminrechte geholt? Wieso hat er dies nicht erklärt?
3. Ist das ADMIN Passwort \"sicher\" ?

Ich habe mal in der Datenbank gestöbert, aber konnte dort keine Veränderungen finden.[/quote]
Wie hast du nach Änderungen gesucht?

[imara]

Ich hab per MySQL Admin nachgesehen, welche zuletzt verwendete IP Adresse der Benutzer hatte und habe die per htaccess datei gesperrt. Damit war er erstmal weg vom Fenster bis er die Addresse geändert hatte.
Als ich in MySQL Admin nach der IP-Addresse des Benutzers suchte, viel mir auf, dass auch der Benutzer \"Admin\" zuletzt die gleiche IP-Addresse hatte. Also war er auch als Admin eingeloggt. Ausserdem zeigte das Forum unter \"Benutzer heute online\" den Admin an obwohl ich den sonst nie nutze.
Das Admin Kennwort ist natürlich etwas nicht nachvollziehbares. Ebenso, das Passwort welches der Benutzer hatte.
Die Fragen: \" Wer war er? E-mail / Kontaktdaten\" und \"Wieso hat er dies nicht erklärt?\" machen mich ein wenig stutzig. Äh, das war ein ernst zu nehmender Hacker!! Der wird sich doch wohl nicht zu erkennen geben bzw. seine Vorgehensweise bekannt geben!! Er macht sich strafbar und das weis er.
Letztendlich ist nix passiert, bzw. ich kann keinen Schaden erkennen, aber ich darf mich natürlich bei meinen Usern entschuldigen und die Sicherheit der Daten auf meiner Website ist in Frage gestellt inkl. der Passwörter. Ich darf Rechenschaft ablegen und Erklärungen abgeben und die Leute aus gegebenem Anlass darauf hinweisen, dass Ihre Daten auf meiner Website nicht sicher sind weil ich nicht weis wie der Hacker rein gekommen ist und ich daher die Sicherheitslücke auch nicht schließen kann.
Keine sehr erfreuliche Situation.
Die Datenbank habe ich nach ungewöhnlichen Einträgen durchstöbert (Zufallsprinzip) und zusätzlich per Suchfunktion nach Skripten und externen Links gesucht.

[Powie]

Hast du den Apache LOG aus dem betreffenden Zeitraum noch!?

[imara]

ja, sag mir wonach ich darin suchen soll.

[Powie]

Alle Zugriffe auf den Webserver die mit \"seiner\" IP gemacht wurden aus dem LOG File filtern und mir senden.
Damit kommen wir eventuell der Variante auf die Spur wie er es gemacht hat.

Ich bin auch an den Logfiles interessiert. Vielleicht kannst du ja die IP-Adressen entfernen und mir den Log per E-Mail schicken.

[imara]

@ Christoph,
habs dir an dein GMail account geschickt.

[tomku]

Auf unseren Webseiten benutzen wir grundsätzlich zwei voneinander unabhängige Log-Scripte. Dadurch haben wir schon so manchen Eindringling erkannt bevor der richtig zuschlagen konnte.
Die PScripte sind seit langem als unsicher bekannt und werden gerne zu Trainingszwecken benutzt.
Christoph hat oft genug auf die Schwächen hingewiesen.
Allerdings sind andere Scripte nicht unbedingt soooo viel sicherer.

Auf unseren Webseiten benutzen wir grundsätzlich zwei voneinander unabhängige Log-Scripte. Dadurch haben wir schon so manchen Eindringling erkannt bevor der richtig zuschlagen konnte.[/quote]
Das interessiert mich: Wie genau macht ihr das? Habt ihr ein IDS?