Webserver hacket

[magnar]

Hei,

Vi fikk nylig slettet programvare / filer i home/user-mappen på webserveren vår, samt at de slettet profilen til en av våre administratorer i CMSet vårt.

Lurer da på hvordan hackerne kunne fått tilgang til dette? Jeg er IKKE noe servertekniker eller noe sånt, men er naturligvis litt nysgjerrig på dette.

Har hatt en del problemer med sikkerhet på serverene vi har leid en god stund nå, så dette er ting som opptar meg.

1) Lurer da f.eks. på om det er mulig at de kunne ha lest ut dataene fra config-filen vår som stod til 644?

2) Kan en hacker se HELE fil og mappestrukturen som en utenforstående til webserveren via hackerverktøy ? Dvs alle filer og alle mappenavnene. Eller krever dette at han har tilgang til en bruker som han kan lese filene enten med FTP, SSH eller filbehandler i kontrollpanelet...?

3) Hvordan kan vedkommende ha fått tilgang til administrasjonsbrukeren vår? Vi brukte ikke "admin" som standardnavn på brukeren.

4) Kan folk på annen måte hente ut eller kjøre SQL-injections mot systemet og endre data i databasene våre?

Er cPanel på serveren.

Genialt om dere vil komme med noen innspill her så jeg skjønner litt mer hvordan dette fungerer. Forstår jo og hører rykter om at alle mulige løsninger blir hacket så begynner å lure på om det er CMS-systemet som var usikkert her, at de kan få tilgang til filer om de ikke var satt med riktig CHMOD eller om det evt. må ha andre årsaker...

Evt. sikkerhettips til å sikre ned alt 100%?

Vurderer ned å vrake absolutt alle velkjente CMS-løsninger og kun kjøre custom utvikling i PHP eller Ruby on Rails på alt vi utvikler.

[Tertitten]

Hei, problemene dine kan skyldes så mangt og det er en del informasjon som kunne vært fint å få listet opp her for å kunne gi deg en teori..

Hvilken versjon av apache kjøres på serveren ?
Hvilken CMS kjøres og hvilken versjon ?
Hvilken host snakker vi om (jeg har kjennskap til et par som definitivt har sikkerhetsproblemer)
Hvilken PHP versjon kjøres ?
Hvilken versjon av mysql ?
Hvilken Kernel og hvilket OS kjøres ?
Kan du lime inn teksten fra php.ini og muligens også httpd.conf her ?
Noen spesielle features som tilbys fra din host ? (ssh, webmail, osv?)

Jeg har selv driften noen mellomstore sider og har opplevd å bli hacket på forskjellige måter, det har tro det eller ei som oftest vist seg å være sikkerheten hos host som har vært årsaken, men har også opplevd at valgt CMS har hatt problemer.
Jeg har aldri opplevd at filer har blitt slettet fra server, derimot har jeg opplevd at nye mapper har blitt skapt samt nye filer, disse ofte chmodet slik at sletting over ftp har blitt vanskelig.

Uansett, informasjon er vesentlig her for å i det hele tatt kunne danne seg en teori om hva som har skjedd her.

[ak]

1) Hvis config filen ikke hadde endelse .php , hvis de klarte å skrive en .htaccess fil som slo av PHP, eller hvis de klarte å laste opp et hvilket som helst script og få det kjørt så kan de også lese innholdet av konfigurasjonsfilen.

2) Avhenger av hvordan serveren er satt opp. Det er sånt SELinux og riktige filrettigheter fikser. Men alle filene som webserveren kan vise kan de som regel få tak i, når de først er inne. Du kan jo bare skrive et lite PHP script som viser filene på harddisken, og se hvor langt du kommer.

3) Det blir nesten bare synsing hvis du ikke har loggfiler som er til å stole på, eller disken på maskinen som ble hacket. Hvis du kontrollerer serveren og dette er en gjenganger så bør du se på verktøy som TripWire.

Det største problemet med de fleste hostingløsningene (siden du nevner cPanel) er at de bruker suexec for å kjøre programmene med samme rettigheter som kontoen til brukeren. Dvs. at scriptene alltid kan modifisere seg selv (de kan jo kjøre chmod, de også), og da kan de bare hoppe over innloggingskoden.

Bedre praksis er det å ha to kontoer per bruker. En som brukes for å laste opp filene, og en som webserveren bruker. (Standard oppsett i de fleste distribusjoner er at det finnes en Apache bruker, og den kjører alt. Det er heller ikke bra, hvis du har mer enn to webkontoer på maskinen.)

4) Umulig å si. Kommer jo an på om koden har snutter som ikke escaper input riktig eller ikke. Det er fortsatt overraskende mange som oppdager at de burde oppdatert kernel, http://linux.slashdot.org/story/10/09/2 ... t-Machines

Hvis sistnevnte har skjedd så ligger det nok noe remote control rundt omkring, og de vil snart være tilbake.

Som sagt i 3) , chmod alene sikrer deg ikke nevneverdig så lenge webserveren også er eieren av filene. Men en god SELinux eller AppArmor profil kan ta deg langt.

Det er veldig få som virkelig kan det å skrive sikker kode, tenk på det før du setter i gang. Jeg er mere tilhenger av å gjennomgå applikasjonen og spesielt se på hvilke muligheter anonyme brukere har for å sende data inn i systemet. Dvs. sjekke kommentarfelt, søkefelt, opplasting av filer. Generelt ha så få av disse som mulig, sett rimelige lengdebegrensninger på resten.

[viking60]

Mye bra tips her.
Jeg er enig i at det som oftest er scriptet som er årsaken. Folk glemmer å oppdatere etc.
Egneutviklet CMS med kryptert kode høres fornuftig ut i mine ører. Ioncube anbefales og den kan også nekte "innkludering" fra andre script enn dine egne.
(Der røyk "open source" men shit au; der en lager omlett må en knuse egg )