Technik

Wir haben am Wochenende unser System um eine Art "zufälliges" Monitoring erweitert, bei dem wirklich jeder Webserver teilnimmt - ganz egal, ob es nun seine Aufgabe war oder nicht. Hierbei kommt zu dem normalen Test "Laufe ich selbst noch richtig" ein neues Feature hinzu, bei dem nach dem Zufallsprinzip eine Kundenwebseite herausgesucht und getestet wird - bei einem Fehler werden wir dann umgehend benachrichtigt.

Eigentlich eine super Funktion, wäre das neue System nicht sofort hingegangen und hätte jede Karteileiche in unserer Datenbank gefunden, getestet und für (zu Recht) offline befunden. :eek: Auch gesperrte Kundenwebsites hat das System als Offline erkannt, das Problem war aber eher schnell zu beheben.

... gestern durfte ich dann dementsprechend unsere Webserver-Datenbank aufräumen. Hat ja auch was!

Neben diesem Feature gab es noch ein paar weitere (für mich interessante) Updates, allerdings sind das leider mehr internas und nichts für den Blog.

Wie ich eben unter anderem berichtete, wurde letzten Monat die eine oder andere Joomla-Installation bei uns geknackt.

Für den Kunden ist sowas natürlich immer recht tragisch und wir versuchen stets zu helfen wo wir können, aber (so böse das auch klingen mag) steht er für uns in einer solchen Situation nicht im Mittelpunkt. Viel wichtiger ist herauszufinden, ob das System selbst oder andere Kunden in Mitleidenschaft gezogen wurden, und viel Interessanter ist natürlich auch die Frage, wie es der Angreifer zu uns auf die Maschine geschafft und ob er Spuren hinterlassen hat.

In einem der zurückliegenden Fälle hatte ich richtig Glück, denn ich bekam vom Kunden die gesamte Webseite zur Verfügung gestellt, auf der sich noch vielerlei Spuren fanden, u.a. auch ein Tool Namens "r57shell".

Die r57shell ist wie der Name bereits vermuten lässt eine Art PHP-Shell, die den Webserver auf seine Fähigkeiten und mögliche Schwachstellen untersucht. Darüber hinaus gibt sie dem Angreifer - oder nennen wir ihn schlichtweg "Nutzer" - die Möglichkeit Dateitransfers zu starten, Dateien zu bearbeiten, Port-Weiterleitungen zu installieren und natürlich Programme auszuführen.

Ausgeliefert wird die r57shell in einem recht unleserlichen ("obfuscated") Zustand: Der Skript ist mehrfach mittels GZIP-komprimiert und base64-enkodiert. Wie mir die Datei in die Hände fiel habe ich es zuerst von Hand versucht, aber nach dem 5. Mal im Kreise drehen habe ich dann doch ein Programm geschrieben, dass den Skript für Menschen leserlicher erscheinen lässt.

Für uns ist es natürlich immer sehr wichtig, solche Skripte in die Hände zu bekommen, denn sie veranschaulichen recht schön, was Angreifer alles auf dem System versuchen um die Sicherheitsvorkehrungen zu umgehen. Im einfachsten Fall ist es schön zu sehen, dass alle Maßnahmen gut gegriffen haben und zu keiner Zeit Gefahr für die anderen Kunden und das System bestand - dieser Fall war so einer. So geht die r57shell nun in meine Angreifer-Skript-Sammlung ein und wird dort vermutlich einstauben. Ich glaube zwar nicht direkt, dass hier jemand um die Wahrung seiner Urheberrechte besorgt wäre, biete das Dingen aus sicherlich verständlichen Gründen aber nicht zum Download an. Für Interessierte müssten im Internet ein paar Screenshots rumgeistern ansonsten lässt sich das über eine Sandbox bestimmt nachholen