Forum

Hallo,

ich habe gerade einen interessanten Beitrag zu Thema Sicherheit gefunden.

Trojaner versteckt sich auf normalen Webseiten, um User auszuspionieren
Ein neuer Trojaner mit dem Namen "Mpack", der sich über normale Webseiten verbreitet, - unabhängig davon, welcher Browser benutzt wird - dokumentiert alle Tastenanschläge mittels Keylogger, um so alle Online-Account-Daten auszuspionieren.
Innerhalb kurzer Zeit wurden ca. 11.000 Webseiten mit der Malware infiziert. Durch das Anklicken einer infizierten Webseite wird ein "Programm" gestartet, das ein zweites Fenster öffnet und dabei das Tool beim Benutzer automatisch installiert.
Das schädliche Tool stammt wahrscheinlich aus Russland. Schutzfirmen wie Avira raten als Vorsichtsmaßnahme zur Sperrung der IP-Adresse 64.38.33.13 und Installation des neuesten Softwareupdates.
Quelle: portal.gmx.net

Jetzt steht natürlich die Frage: Inwieweit sind wir OPNuker davon betroffen? Können unsere Seiten befallen werden. Und wenn ja, was kann man dagegen unternehmen?

Sicherheit ist ein Komplexes Thema

Du musst bei diesem allerdings 3 Dinge Unterscheiden

1. Server/Hoster

2. Programm (OPN)

3. User PC

Wir und ich kann maximal 2. schützen wobei 2. auch stark mit 1. zusammenhängt und daher fange ich viele Fehler die zu 1. zählen ab.

Fangen wir mit dem einfachsten an. 3.

Also dein PC sollte sicher sein. Firewall Virenscanner sollen schon da sein. Bleiben die anderen tausende Lücken in deinem OS. Aber ich denke da gehe ich dann jetzt mal weiter nicht drauf ein

Nun zu 1. da gilt dasselbe wie auch bei 3. nur das hier das ganze noch schwerer wird. Jede Software die da läuft muss gesichert gegen das OS sein. FIrewall ist da noch schwerer usw… Meistens sind es ja *nix Sys-teme die dort zum Einsatz kommen. So als Beispiel, da ist es ein häufiger Fehler das der User der Anwen-dung nicht unter den User des Systems läuft, sondern unter einem Gemeinsamen. Das sind tödliche Fehler. Gibt viele weitere.

Nun zu 2.

Ich gehe davon aus das 1. und 3. Perfekt konfiguriert sind. Wenn das der Fall ist, ist der Rest eigentlich „sim-pel“. Jede Eingabe wird getestet und nur Geprüfte Daten werden benutzt. Noch ein paar Regel dazu und Fertig.

Ok das war jetzt zu einfach betrachtet da ist schon etwas mehr zutun. Der Punkt 1. ist nie Perfekt also greift man ein und fängt schwächen von 1. ab (soweit wie möglich). Testet schwach Stellen usw… Selbst das Prüfen der Daten ist nicht ganz so einfach.

Natürlich muss auch OPN Perfekt eingestellt sein. Man kann Sicherheitseinstellelungen auch ausschalten.

Ich kann ja mal ein Paar Zahlen geben.

Im letzten Monat hatte ich auf von mir Beobachteten OPN Installationen:

42.329 Angriffe
15.516 Angriffe hat EVA erkannt
24.841 Angriffe hat OPN ohne EVA abgewährt
9429 IP Adressen wurden durch EVA Gesperrt
9214 Angriffe waren GEZIELT auf OPN gerichtet

Ich finde das schon eine Menge, achso kein Portal oder Server wurde verletzt.

Also wenn alle 3 Punkte 100% Richtig Eingestellt sind behaupte ich mal ist es sehr Sicher.

Wichtig ist eben das man den Server auch entsprechent absichert weil sonst nutzt auch ein OPN nicht wenn ich durch die Hintertür kommen

Hallo Stefan,

gut da kann ich beruhigt sein. Hatte den Beitrag nur zufällig gefunden und als interessant gefunden.

Wichtig ist eben das man den Server auch entsprechent absichert weil sonst nutzt auch ein OPN nicht wenn ich durch die Hintertür kommen

Und genau ist das meiner Meinung nach das grösste Hauptproblem.
Sehr viele Hoster haben diesbezüglich einen enormen Nachholbedarf.

Schau mal Admin - Diagnostic - Information - Portalumgebung - Config Test

Das wirst du die ersten Risiken bereists erkennen können.

gefunden safe_mode off mögliches Sicherheitsrisiko
gefunden allow_url_fopen on mögliches Sicherheitsrisiko
gefunden register_globals on Sicherheits-Risiko
gefunden mcrypt gut
gefunden PHP-USER-PROCESS gid < 500 Sicherheits-Risiko
gefunden PHP-USER-PROCESS uid < 500 Sicherheits-Risiko

Alleine mit OPN ist das eben nicht möglich genau solche Hoster Fehler zu korregieren.

Flash

Ja bei mir sieht das so aus:

Configurations Test

Unbekannt Apache/1.3.27 (Linux/SuSE) mod_fastcgi/2.4.2 FrontPage/4.0.4.3 PHP/4.4.1 mod_perl/1.27 mod_ssl/2.8.12 OpenSSL/0.9.6i
gefunden Apache gut
gefunden /www/htdocs/w0084008/city/mainfile.empty.php Sicherheits-Risiko
gefunden /www/htdocs/w0084008/city/#.htaccess Sicherheits-Risiko
gefunden /www/htdocs/w0084008/city/safetytrap/#.htaccess Sicherheits-Risiko
gefunden /www/htdocs/w0084008/city/system/micropayment/safe/#.htaccess Sicherheits-Risiko
gefunden safe_mode off mögliches Sicherheitsrisiko
gefunden allow_url_fopen on mögliches Sicherheitsrisiko
gefunden register_globals on Sicherheits-Risiko
default Daten"safetytrap/.htaccess"nicht gefunden
default Daten"themes/.htaccess"nicht gefunden
apache mod_rewrite Bitte Support befragen
gefunden mcrypt gut
> /www/htdocs/w0084008/city/safetytrap/.htaccess nicht gefunden
> /www/htdocs/w0084008/city/themes/.htaccess nicht gefunden
> /www/htdocs/w0084008/city/system/micropayment/safe/.htaccess nicht gefunden
gefunden FILE group id error - OPN did not work correctly
gefunden group gid Bitte Support befragen
gefunden PHP-USER-PROCESS uid < 500 Sicherheits-Risiko
gefunden FILE user id error - OPN did not work correctly
gefunden user uid Bitte Support befragen

PHP-USER-PROCESS      Installations Dateien      OPN erzeute Verzeichnisse      OPN erzeute Dateien      PHP erzeute Verzeichnisse      PHP erzeute Dateien
UID: 30 - wwwrun
GID: 65534 - nogroup      UID: 2258 - w0084008
GID: 1156 - w0084008      UID: 30 - wwwrun
GID: 65534 - nogroup      UID: 30 - wwwrun
GID: 65534 - nogroup      UID: 30 - wwwrun
GID: 65534 - nogroup      UID: 30 - wwwrun
GID: 65534 - nogroup

Was müsste da geändert werde?

uff ne menge bist du das herrchen des servers?

nein,
ist bei "all-incl.com"

ok dann wirst du vermutlich nicht alles korrigieren können aber

gefunden /www/htdocs/w0084008/city/mainfile.empty.php Sicherheits-Risiko
gefunden /www/htdocs/w0084008/city/#.htaccess Sicherheits-Risiko
gefunden /www/htdocs/w0084008/city/safetytrap/#.htaccess Sicherheits-Risiko
gefunden /www/htdocs/w0084008/city/system/micropayment/safe/#.htaccess Sicherheits-Risiko

löschen - geht

(db sicherung hast)

-> customizer customizer_view_cell ist installiert wenn nicht installieren

diagnostig .htaccess erzeugen (vorher wenn deins besonders war sichern)

dann noch mal config test dann sollte das schon etwas weniger sein

in dem customizer (oben) Customizer Data Browser unter default file anzeigen solltest du dann auch haben

     safetytrap/       .htaccess      
themes/       .htaccess
system/micropayment/safe/      .htaccess
            .htaccess

das letzte soltest du mal kontrollieren mit deiner vorherigen version

standart wäre

ErrorDocument 400 /safetytrap/error.php?op=400
ErrorDocument 401 /safetytrap/error.php?op=401
ErrorDocument 403 /safetytrap/error.php?op=403
ErrorDocument 404 /safetytrap/error.php?op=404
ErrorDocument 500 /safetytrap/error.php?op=500

was reichen würde. auch das auf dem server befindliche noch mal kontrollieren

Hallo Stefan,

habe soeben erst mal eine neue Datensicherung durchgeführt.
Die Dateien habe ich gelöscht.

gefunden /www/htdocs/w0084008/city/mainfile.empty.php Sicherheits-Risiko
gefunden /www/htdocs/w0084008/city/#.htaccess Sicherheits-Risiko
gefunden /www/htdocs/w0084008/city/safetytrap/#.htaccess Sicherheits-Risiko
gefunden /www/htdocs/w0084008/city/system/micropayment/safe/#.htaccess Sicherheits-Risiko

Bin aber jetzt ins Grübeln gekommen wie ich dies installiere oder sehe ob es schon installiert ist. Bei den Modulen habe ich das nicht gesehen.

-> customizer customizer_view_cell ist installiert wenn nicht installieren

Bin aber jetzt ins Grübeln gekommen wie ich dies installiere oder sehe ob es schon installiert ist. Bei den Modulen habe ich das nicht gesehen.

Das sind die Developer Module.
Die sind auch im Admin Bereich unter Developer, falls du die schon auf dem Server hast.

Flash