Logfile Analyse - Sicherheitslücken erkennen (Schlund)

**HomerX-)** · 21.07.2006 10:21

Hallo zusammen,

beim durchforsten einer Schlund Webstatistik vielen mir unter dem Punkt "WebStatistik > Seitenzugriffe > Fehlerseiten" eine Vielzahl von Zugriffen auf, die nicht vorhandenen Mambo / Joomla Komponenten aufgerufen haben.

Bspl.

Code:

217.160.52.xxx//cms/components/com_minibb.php
63 217.160.52.xxx//cms/components/com_performs/performs.php

Aber nicht nur nach Mambo / Joomla wurden gesucht, sondern auch nach wordpress, drupal, ...

Bspl.

Code:

217.160.52.xxx/b2/xmlsrv/xmlrpc.php 
27 217.160.52.xxx/blog/xmlrpc.php
32 217.160.52.xxx/community/xmlrpc.php
33 217.160.52.xxx/drupal/xmlrpc.php 
34 217.160.52.xxx/xmlrpc/xmlrpc.php

Es wir also Systemtisch nach Sicherheitslücken gesucht.

Hier eine Liste mit Anfragen nach Mambo / Joomla Komponenten aus den Logfiles (Liste überarbeitet. Alte Liste unten)

Code:

"GET /components/com_smf/smf.php HTTP/1.1"
"GET /components/com_extcalendar/admin_events.php HTTP/1.1" 
"GET /components/com_hashcash/server.php HTTP/1.1" 
"GET /components/com_htmlarea3_xtd-c/popups/ImageManager/config.inc.php HTTP/1.1" 
"GET /components/com_sitemap/sitemap.xml.php HTTP/1.1" 
"GET /components/com_forum/download.php HTTP/1.1" 
"GET /components/com_performs/performs.php HTTP/1.1" 
"GET /components/com_sitemap/sitemap.xml.php HTTP/1.1" 
"GET /components/com_pccookbook/pccookbook.php HTTP/1.1" 
"GET /components/com_galleria/galleria.html.php HTTP/1.1" 
"GET /components/com_rss/rss.php HTTP/1.1" 
"GET /components/com_simpleboard/image_upload.php HTTP/1.1" 
"GET /components/com_simpleboard/file_upld.php HTTP/1.1"

Hier eine Erklärung wie die Schlund-Logfiles aufgebaut sind: http://service.schlund.de/service/st...hp3?q=logfiles

Was kann man tun?
Logifies nach Zugriffen in Beziehung zu den Http Statuscodes (http://de.selfhtml.org/servercgi/ser...tatuscodes.htm) prüfen. Solage soche Anfrgane 4xx als Antwort erhalten gibt es kein Problem. Anders ist das bei 2xx Statuscodes. Also Aufgepasst!

Weiter Möglichkeit ist auf irgendeine Weise diese Zugriffe für die Community zu Dokumentieren. Um ggf. über diese Lücken zu informieren und an ihnen zu arbeiten.

Was aber immer wichtig ist BACKUP machen!
Solange man es nicht braucht kostet es Zeit und nerven.
Wenn man es barucht ist man UNENDLICH GLÜCKLICH es zu haben.
Gruss HXCM

ALT -------------------

Code:

70.85.205.xxx- - [17/Jul/2006:18:35:44 +0200] "GET /components/com_smf/smf.php HTTP/1.1" 
70.85.205.xxx- - [17/Jul/2006:18:35:44 +0200] "GET /components/com_extcalendar/admin_events.php HTTP/1.1" 
70.85.205.xxx- - [17/Jul/2006:18:35:45 +0200] "GET /components/com_hashcash/server.php HTTP/1.1" 
70.85.205.xxx- - [17/Jul/2006:18:35:45 +0200] "GET /components/com_htmlarea3_xtd-c/popups/ImageManager/config.inc.php HTTP/1.1" 
70.85.205.xxx- - [17/Jul/2006:18:35:45 +0200] "GET /components/com_sitemap/sitemap.xml.php HTTP/1.1" 
70.85.205.xxx- - [17/Jul/2006:18:35:45 +0200] "GET /components/com_simpleboard/image_upload.php HTTP/1.1" 
70.85.205.xxx- - [17/Jul/2006:18:35:46 +0200] "GET /components/com_forum/download.php HTTP/1.1" 
70.85.205.xxx- - [17/Jul/2006:18:35:46 +0200] "GET /components/com_galleria/galleria.html.php HTTP/1.1" 
70.85.205.xxx- - [17/Jul/2006:18:35:46 +0200] "GET /components/com_pccookbook/pccookbook.php HTTP/1.1" 
70.85.205.xxx- - [17/Jul/2006:18:35:47 +0200] "GET /components/com_performs/performs.php HTTP/1.1" 
70.85.205.xxx- - [17/Jul/2006:18:35:47 +0200] "GET /components/com_rss/rss.php HTTP/1.1" 
70.85.205.xxx- - [17/Jul/2006:18:49:45 +0200] "GET /components/com_smf/smf.php HTTP/1.1" 
70.85.205.xxx- - [17/Jul/2006:18:49:46 +0200] "GET /components/com_extcalendar/admin_events.php HTTP/1.1" 
70.85.205.xxx- - [17/Jul/2006:18:49:47 +0200] "GET /components/com_hashcash/server.php HTTP/1.1" 
70.85.205.xxx- - [17/Jul/2006:18:49:48 +0200] "GET /components/com_htmlarea3_xtd-c/popups/ImageManager/config.inc.php HTTP/1.1" 
70.85.205.xxx- - [17/Jul/2006:18:49:49 +0200] "GET /components/com_simpleboard/image_upload.php HTTP/1.1" 
70.85.205.xxx- - [17/Jul/2006:18:49:49 +0200] "GET /components/com_forum/download.php HTTP/1.1" 
70.85.205.xxx- - [17/Jul/2006:18:49:49 +0200] "GET /components/com_sitemap/sitemap.xml.php HTTP/1.1" 
70.85.205.xxx- - [17/Jul/2006:18:49:50 +0200] "GET /components/com_pccookbook/pccookbook.php HTTP/1.1" 
70.85.205.xxx- - [17/Jul/2006:18:49:50 +0200] "GET /components/com_galleria/galleria.html.php HTTP/1.1" 
70.85.205.xxx- - [17/Jul/2006:18:49:51 +0200] "GET /components/com_performs/performs.php HTTP/1.1" 
70.85.205.xxx- - [17/Jul/2006:18:49:51 +0200] "GET /components/com_rss/rss.php HTTP/1.1"

**DietmarH** · 21.07.2006 10:45

Find ich ja echt nett von den Hackern, eine umfangreiche Übersicht der potentiell anfälligen Dateien zu liefern. Die Frage ist allerdings, bis zu welcher Version sie anfällig sind. Einige sind ja inzwischen alte Bekannte und teilweise bereits gefixed. Andere, wie htmlarea3_xtd-c werden wohl so selten eingesetzt, daß sie hier noch nicht als Lücke aufgetaucht sind.
Auf jeden Fall kann man mit dieser Liste mal die eigenen Erweiterungen durchgehen und bei den Entwicklern/in den Release Notes nachsehen, ob da Lücken in letzter Zeit gestopft wurden oder möglicherweise noch bestehen.

Was mich ein wenig irritiert ist die Suche nach der Joomla-Komponente com_rss. War die in einer älteren Version unsicher und ist inzwischen gefixed oder muß man da noch mit Lücken rechnen?

**juergentraum** · 21.07.2006 10:58

also die Liste ist doch mal gut...
mit der com_galleria kann ich auch dienen, nur hab ich das letzte Update für diese RS Gallery gemacht.

Und wenn da jetzt der Fehlercode 404 kommt bin ich doch schon auf der sicheren Seite oder?

Wenn so nach Komponenten gesucht wird, wäre es dann nicht sicherer die Komponente vor dem Aufspielen umzubenennen? Dann würde man sie nicht mehr finden oder bzw. Joomla so zu programmieren das sie für jede neu installierte Komponente einen zufälligen Zahlencode als Verzeichnes anlegt.. (wird aber sicher schwierig sein)

Jürgen

**DietmarH** · 21.07.2006 11:16

Zitat von juergentraum

Wenn so nach Komponenten gesucht wird, wäre es dann nicht sicherer die Komponente vor dem Aufspielen umzubenennen?

Damit finden Hacker sie nicht mehr bei der Namenssuche, aber auch Zusatzmodule und andere Komponenten, die darauf zugreifen wollen, nicht. Du hättest bei jeder Zusatzinstallation Probleme mit größeren Mengen von Fehlermeldungen, und Komponenten wie CBE, die auf sehr viele Komponenten zugreifen, würden dich mit Fehlermeldungen entweder erschlagen oder diese Komponenten ganz einfach nicht finden und die entsprechenden Funktionen nicht anbieten.

Was dann hier im Forum abgeht, möchte ich gar nicht erleben...

**HomerX-)** · 21.07.2006 11:31

Hier noch eine List mit Satuscodes 200 / 404.

200

Code:

"GET /index2.php?option=com_content&do_pdf=1&id=1 HTTP/1.1" 200
"GET /index.php?option=com_content&do_pdf=1&id=1 HTTP/1.1" 200 
"GET /thisdoesnotexistahaha.php HTTP/1.1" 200

Was erhofft man sich aus dem PDF?

404

Code:

"GET /mambo/index2.php?option=com_content&do_pdf=1&id=1 HTTP/1.1" 404  
"GET /mambo/index.php?option=com_content&do_pdf=1&id=1 HTTP/1.1" 404 
"GET /components/com_forum/download.php HTTP/1.1" 404  
"GET /components/com_simpleboard/file_upload.php HTTP/1.1" 404  
"GET /components/com_simpleboard/image_upload.php HTTP/1.1" 404 
"GET /cvs/index2.php?option=com_content&do_pdf=1&id=1 HTTP/1.1" 404  
"GET /cvs/index.php?option=com_content&do_pdf=1&id=1 HTTP/1.1" 404  
"GET /webshop/includes/header.inc.php HTTP/1.1" 404  
"GET /includes/header.inc.php HTTP/1.1" 404  
"GET /shop/includes/header.inc.php HTTP/1.1" 404 
"GET /skins/advanced/advanced1.php HTTP/1.1" 404  
"GET /SQuery/lib/gore.php HTTP/1.1" 404

**Biomehaniker** · 21.07.2006 18:29

PDF hat in einigen Versionen Sicherheitslöcher die das ausführen von externen Code ermöglichen. Allerdings kenne ich das nur in fertigen PDF Dateien...

**aruttkamp** · 21.07.2006 21:51

Wir können diese Liste ja mal erweitern.
Hier wird täglich nach der main.php gesucht. Man ist quasi versucht mal eine zu deopnieren ;-)

Code:

212.227.97.37 - - [21/Jul/2006:19:55:54 +0200] "GET /phpmyadmin/main.php HTTP/1.0" 404 1045 "-" "-"
212.227.97.37 - - [21/Jul/2006:19:55:54 +0200] "GET /PMA/main.php HTTP/1.0" 404 1045 "-" "-"
212.227.97.37 - - [21/Jul/2006:19:55:54 +0200] "GET /mysql/main.php HTTP/1.0" 404 1045 "-" "-"
212.227.97.37 - - [21/Jul/2006:19:55:54 +0200] "GET /admin/main.php HTTP/1.0" 404 1045 "-" "-"
212.227.97.37 - - [21/Jul/2006:19:55:54 +0200] "GET /db/main.php HTTP/1.0" 404 1045 "-" "-"
212.227.97.37 - - [21/Jul/2006:19:55:54 +0200] "GET /dbadmin/main.php HTTP/1.0" 404 1045 "-" "-"
212.227.97.37 - - [21/Jul/2006:19:55:54 +0200] "GET /web/phpMyAdmin/main.php HTTP/1.0" 404 1045 "-" "-"
212.227.97.37 - - [21/Jul/2006:19:55:54 +0200] "GET /admin/pma/main.php HTTP/1.0" 404 1045 "-" "-"
212.227.97.37 - - [21/Jul/2006:19:55:54 +0200] "GET /admin/phpmyadmin/main.php HTTP/1.0" 404 1045 "-" "-"
212.227.97.37 - - [21/Jul/2006:19:55:54 +0200] "GET /admin/mysql/main.php HTTP/1.0" 404 1045 "-" "-"
212.227.97.37 - - [21/Jul/2006:19:55:54 +0200] "GET /phpmyadmin2/main.php HTTP/1.0" 404 1045 "-" "-"
212.227.97.37 - - [21/Jul/2006:19:55:54 +0200] "GET /mysqladmin/main.php HTTP/1.0" 404 1045 "-" "-"
212.227.97.37 - - [21/Jul/2006:19:55:54 +0200] "GET /mysql-admin/main.php HTTP/1.0" 404 1045 "-" "-"
212.227.97.37 - - [21/Jul/2006:19:55:54 +0200] "GET /main.php HTTP/1.0" 404 1045 "-" "-"
212.227.97.37 - - [21/Jul/2006:19:55:54 +0200] "GET /phpMyAdmin-2.5.6/main.php HTTP/1.0" 404 1045 "-" "-"
212.227.97.37 - - [21/Jul/2006:19:55:54 +0200] "GET /phpMyAdmin-2.5.4/main.php HTTP/1.0" 404 1045 "-" "-"
212.227.97.37 - - [21/Jul/2006:19:55:54 +0200] "GET /phpMyAdmin-2.5.1/main.php HTTP/1.0" 404 1045 "-" "-"
212.227.97.37 - - [21/Jul/2006:19:55:54 +0200] "GET /phpMyAdmin-2.2.3/main.php HTTP/1.0" 404 1045 "-" "-"
212.227.97.37 - - [21/Jul/2006:19:55:54 +0200] "GET /phpMyAdmin-2.2.6/main.php HTTP/1.0" 404 1045 "-" "-"
212.227.97.37 - - [21/Jul/2006:19:55:54 +0200] "GET /myadmin/main.php HTTP/1.0" 404 1045 "-" "-"
212.227.97.37 - - [21/Jul/2006:19:55:54 +0200] "GET /phpMyAdmin-2.6.0/main.php HTTP/1.0" 404 1045 "-" "-"
212.227.97.37 - - [21/Jul/2006:19:55:55 +0200] "GET phpMyAdmin-2.6.0-pl1/main.php HTTP/1.0" 404 1045 "-" "-"
212.227.97.37 - - [21/Jul/2006:19:55:55 +0200] "GET phpMyAdmin-2.6.3-pl1/main.php HTTP/1.0" 404 1045 "-" "-"
212.227.97.37 - - [21/Jul/2006:19:55:55 +0200] "GET /phpMyAdmin-2.6.3/main.php HTTP/1.0" 404 1045 "-" "-"
212.227.97.37 - - [21/Jul/2006:19:55:55 +0200] "GET phpMyAdmin-2.6.3-rc1/main.php HTTP/1.0" 404 1045 "-" "-"
212.227.97.37 - - [21/Jul/2006:19:55:55 +0200] "GET phpMyAdmin-2.6.2-rc1/main.php HTTP/1.0" 404 1045 "-" "-"

Andreas

**aruttkamp** · 21.07.2006 21:54

Nachtrag

Code:

61.211.238.113 - - [09/Jul/2006:18:37:46 +0200] "GET /thisdoesnotexistahaha.php HTTP/1.1" 404 1045 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
61.211.238.113 - - [09/Jul/2006:18:37:47 +0200] "GET /components/com_simpleboard/image_upload.php HTTP/1.1" 404 1045 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"
61.211.238.113 - - [09/Jul/2006:18:37:47 +0200] "GET /components/com_forum/downloads.php HTTP/1.1" 404 1045 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"

**amarok** · 21.07.2006 21:57

ich mach hier mal auf 2 erfolgversprechende projekte aufmerksam:

http://www.bot-trap.de/wiki/wikka.php?wakka=BotTrapWiki
http://www.spider-trap.de/

wir sind noch am analysieren wie man diese tools am besten einsetzt.

**aruttkamp** · 21.07.2006 22:03

Auch wenn ich das jetzt nur überflogen habe.
Es klingt sehr interessant und ich werde mich damit mal am
Sonntag mehr beschäftigen.

Danke

Andreas

Thema: Logfile Analyse - Sicherheitslücken erkennen (Schlund)

LinkBack

Themen-Optionen

Thema durchsuchen

Anzeige

Logfile Analyse - Sicherheitslücken erkennen (Schlund)

Liste mit Statuscodes

Lesezeichen

Lesezeichen

Berechtigungen