r57shell

Wohnzimmerhostblogger

< Anti-Virus-Backup | Neues SMS Gateway Interface >

Dienstag, 9. September 2008

r57shell

Wie ich eben unter anderem berichtete, wurde letzten Monat die eine oder andere Joomla-Installation bei uns geknackt.

Für den Kunden ist sowas natürlich immer recht tragisch und wir versuchen stets zu helfen wo wir können, aber (so böse das auch klingen mag) steht er für uns in einer solchen Situation nicht im Mittelpunkt. Viel wichtiger ist herauszufinden, ob das System selbst oder andere Kunden in Mitleidenschaft gezogen wurden, und viel Interessanter ist natürlich auch die Frage, wie es der Angreifer zu uns auf die Maschine geschafft und ob er Spuren hinterlassen hat.

In einem der zurückliegenden Fälle hatte ich richtig Glück, denn ich bekam vom Kunden die gesamte Webseite zur Verfügung gestellt, auf der sich noch vielerlei Spuren fanden, u.a. auch ein Tool Namens "r57shell".

Die r57shell ist wie der Name bereits vermuten lässt eine Art PHP-Shell, die den Webserver auf seine Fähigkeiten und mögliche Schwachstellen untersucht. Darüber hinaus gibt sie dem Angreifer - oder nennen wir ihn schlichtweg "Nutzer" - die Möglichkeit Dateitransfers zu starten, Dateien zu bearbeiten, Port-Weiterleitungen zu installieren und natürlich Programme auszuführen.

Ausgeliefert wird die r57shell in einem recht unleserlichen ("obfuscated") Zustand: Der Skript ist mehrfach mittels GZIP-komprimiert und base64-enkodiert. Wie mir die Datei in die Hände fiel habe ich es zuerst von Hand versucht, aber nach dem 5. Mal im Kreise drehen habe ich dann doch ein Programm geschrieben, dass den Skript für Menschen leserlicher erscheinen lässt.

Für uns ist es natürlich immer sehr wichtig, solche Skripte in die Hände zu bekommen, denn sie veranschaulichen recht schön, was Angreifer alles auf dem System versuchen um die Sicherheitsvorkehrungen zu umgehen. Im einfachsten Fall ist es schön zu sehen, dass alle Maßnahmen gut gegriffen haben und zu keiner Zeit Gefahr für die anderen Kunden und das System bestand - dieser Fall war so einer. So geht die r57shell nun in meine Angreifer-Skript-Sammlung ein und wird dort vermutlich einstauben. Ich glaube zwar nicht direkt, dass hier jemand um die Wahrung seiner Urheberrechte besorgt wäre, biete das Dingen aus sicherlich verständlichen Gründen aber nicht zum Download an. Für Interessierte müssten im Internet ein paar Screenshots rumgeistern ansonsten lässt sich das über eine Sandbox bestimmt nachholen :-)

Geschrieben von Bernd Holzmüller in Technik um 15:47 | Kommentare (3) | Trackbacks (0)

Trackbacks
Trackback-URL für diesen Eintrag

Keine Trackbacks

Kommentare
Ansicht der Kommentare: (Linear | Verschachtelt)

Hallo Bernd,
für Kunden und andere unangenehme Zeitgenossen wären ein paar Infos darüber, warum eure Joomla-Installationen geknackt wurden, sehr hilfreich.

Waren das ausschlieslich ungepatchte Versionen oder gabs da den ein oder anderen Haken in der Konfiguration, der dein Einbruch ermöglicht hat?

Wir betreiben hier auch mehrere handvoll Joomla-Installationen, die zwar zeitnah gepatcht werden, aber das verhindert einen Einbruch ja auch nicht zu 100%. Eine sichere Webserver-Config setze ich jetzt mal voraus ;-)
#1 Domski am 09.09.2008 17:57 (Antwort)
http://traps.darkmindz.com/2008/08/perl-php-shell-scanner-img-shell-scanner/

Kann ich auch nur empfehlen. Liefert relativ gute Resultate bei den typischen Varianten und findet auch etwas untypischere, beziehungsweise kleinere Teile ganz gut.
#2 cld am 09.09.2008 22:51 (Antwort)
Du hast eine Sammlung solcher Tools? Verstößt Du damit nicht schon automatisch gegen § 202c StGB (der Hackerparagraph)? Ansich ist doch der BEsitz dieser Tools schon strafbar?!
#3 exit am 10.09.2008 07:28 (Antwort)

Kommentar schreiben

Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.

Um maschinelle und automatische Übertragung von Spamkommentaren zu verhindern, bitte die Zeichenfolge im dargestellten Bild in der Eingabemaske eintragen. Nur wenn die Zeichenfolge richtig eingegeben wurde, kann der Kommentar angenommen werden. Bitte beachten Sie, dass Ihr Browser Cookies unterstützen muss, um dieses Verfahren anzuwenden.
CAPTCHA

BBCode-Formatierung erlaubt
 
 

Suche

Read this blog!

Linux und Christoph
Pssssst!
magerquark.de
Mein Papa bloggt(e?) (inaktiv)
Löser, Schlichter, Papa
Bestatterweblog

Archive

Kategorien



Alle Kategorien

Blog abonnieren

Buttons

tiggersWelt.net

Written with s9y

Kommentare

Bernd Holzmüller zu Wir speichern ja keine Klartext-Passwörter, aber...
Fr, 20.10.2017 13:09
Das heißt dann ja eindeutig, d ass sie Dein Passwort in Klart ext speichern. Ist schon zu lange her, dass ich mich mit PPP(oE), CHAP und PAP auseinan derg [...]
Malte zu Wir speichern ja keine Klartext-Passwörter, aber...
Fr, 20.10.2017 13:05
Ich hatte (Wochen) bevor ich m einen DSL-Anschlussbrief von 1 &1 bekommen habe im Kundeninte rface das DSL-Passwort geänder t. Im Anschlussbrief war st and [...]
Bernd Holzmüller zu Domaintransfer #faireinfacht
Mi, 28.06.2017 11:29
Diese Information ist für Inte ressierte bereits in der Übers chrift enthalten. Ich glaub e nicht, dass es mir obliegt d en Marktbegleiter durch expliz ite [...]
Alphager zu Domaintransfer #faireinfacht
Mi, 28.06.2017 11:11
Hier hilft nur name and shame.
Tux2000 zu Bestes Firmware-Update der Geschichte
Mi, 12.04.2017 00:09
Klarer Fall von "Bootloader ve rgessen". Oder, fast noch schl immer: Bootloader so verkorkst , dass das Update nicht funkti oniert. Aber das Ding ist o hneh [...]

Notice this!

Impressum
Blog Top Liste - by TopBlogs.de