Wat mij opvalt is dat de laatste 2 a 3 weken verschrikkelijk veel hosters gehackt zijn, waarbij de index.php en configs leeg gemaakt worden.

Hoe kan dit?, ligt dat aan de hoster of hoe kan dit zomaar gebeuren?

Mvg,

Ivo

In vakanties is het altijd zo dat er veel meer hacks zijn als anders. Dit valt nu samen met het bekend worden van veel bugs in web applicaties. En voila, je hebt dit soort situaties.

Dit heeft te maken met een bug in Joomla!.
Onze software leverancier heeft hiervoor speciaal een patch voor Interworx gemaakt, zodat dit nu niet kan gebeuren.

Dit heeft te maken met een bug in Joomla!.
Onze software leverancier heeft hiervoor speciaal een patch voor Interworx gemaakt, zodat dit nu niet kan gebeuren.

Nu al die klanten nog zo gek krijgen om die patch overal te installeren :)

Een patch voor interworx heeft hij het over dat als dit automatisch word geinstalleerd neem ik aan..

Veel erger is, om te kijken welke klanten Joomla gebruiken, en welke versie.
En ook nog welke modules een risico vormen.

Ja, Interworx heeft speciaal na masale deface acties een kernel upgrade gemaakt, en is automatich geinstalleerd.

Ja, je weet vaak alleen maar de installs die je zelf voor klanten hebt gedaan. Ik heb er die joomla/mambo al 5 keer geinstalleerd/gedeinstalleerd hebben, er zelf aan geprutst hebben e.d.
Begin maar eens te zoeken... (en dan dus bij ELKE bug van elk pakket dat een klant kan hebben...)

Het is dus een combinatie, allereerst heb je dus die exploit in Joomla (en andere software/scripts). Daarbovenop een kernel exploit waarmee root-access wordt verkregen, waardoor de hack niet beperkt blijft tot één account.

Kleine correctie denk ik hier, de hoster wordt niet gehacked, het is Joomla.

Bij ons gebeurd het ook, maar omdat iedere klant in een jail zit wordt alleen zijn eigen website gedefaced. Het is toch echt zijn zorg om die website up to date te houden, niet die van mij :)

Zijn hier trouwens nog hosters die niet afwachten op de hack, maar die preventief gebruik maken van externe securityscans?

Je zult versteld staan van hetgeen zelfs een gratis check van securityspace.com je duidelijk maakt. Ik schat dat de helft niet meer goed kan slapen vanacht :)

De hacker verkreeg root rechten via een memory injection via een bug in Joomla! of een module daarvan, waardoor er een cron geladen wordt in het geheugen vervolgens wordt van een bestaand de eigenaar gewijzigd in root:root en gechmod naar 4755, deze injecteert in elke index*.*, home*.* default*.* “by The Hacker”.
Er wordt vervolgens de volgende cron uitgevoerd:
Cron chown root:root /chroot/path_naar_bestand/05 && chmod 4755 /chroot/path_naar_bestand/05 && rm –rf /etc/cron.d/core && kill -USR1 666666
(666666 is niet het werkelijke PID).

Sorry, maar root worden door een lek in Joomla?

Dat lijkt me wel heeel stug, aangezien de child waar Joomla in draait (van Apache) geen root is.

Zal wel een combi zijn met softwarebugs en de vakantie.

Veel scriptkiddies zijn weer lekker bezig met de vrije tijd.

Een verdere beschrijving van de kernel exploit zoals WebXtra die beschrijft staat hier: http://isc.sans.org/diary.php?storyid=1482

Ah, ok, op die manier :)

Daar hebben wij geen last van, lang leve RSBAC :)

Maar de stelling dat Hosters steeds slechter worden is incorrect, er komen gewoon steeds meer prutsers.

Gelukkig heb ik slechts 3/4 klanten die Joomla gebruiken, ik raad het ze altijd af :p

Gelukkig heb ik slechts 3/4 klanten die Joomla gebruiken, ik raad het ze altijd af :p
HAHA, 1 lek script op de server is genoeg ;)

Ik denk dat het een combinatie is van brakke, soms verouderde software, matige configuraties van servers.. En niet up to date zijn van kernel etc.

Ah, ok, op die manier :)

Daar hebben wij geen last van, lang leve RSBAC :)

Maar de stelling dat Hosters steeds slechter worden is incorrect, er komen gewoon steeds meer prutsers.

Inderdaad... Maar wij zijn en blijven toch één van de betere ;)

HAHA, 1 lek script op de server is genoeg ;)

Ik denk dat het een combinatie is van brakke, soms verouderde software, matige configuraties van servers.. En niet up to date zijn van kernel etc.
Tegen 0day exploits waar nog geen patch voor is, sta je in principe machteloos. Dus vaak zal het zo zijn, echter soms ook niet!

Rik-edit: Graag niet elkaars toko bekritiseren ....

Tegen 0day exploits waar nog geen patch voor is, sta je in principe machteloos. Dus vaak zal het zo zijn, echter soms ook niet!
Tuurlijk... maar je maak de kans wel een heel stuk kleiner.

PHP draaien is zowieso al een groot beveiligingsrisico, er zijn echter veiligere oplossingen om PHP functies te emuleren zonder php zelf te draaien. Maar er zijn inderdaad veel (beginnende) hosters die denken dat DA/Cpanel/Plesk op een out of the box BSD/Linux installatie prima werkt, stabiel blijft draaien en geen beveiligingsonderhoud nodig heeft.

Dat is een grove vergissing, niet voor niets hebben serieuze hosters een of meerdere fulltime systeembeheer/beveiligingsmedewerker(s)

Heb jij het hele zaakje in een jail draaien ofzo? Anders lijkt het me niet echt veilig om PHP zonder safe_mode, open_basedir of disable_functions te draaien als mod_php (zeker niet als apache gewoon draait onder een algemene user zoals bij jou). Verder heb je allow_url_fopen ook op On staan, dus met een lek php scriptje zou je dan zo een mooie exploit op je server kunnen krijgen.

Just wondering, no offence intended.Elke Vhost heeft een eigen gebruiker, niets safe_mode (wat ook schijnveiligheid is), open_basedir of iets anders.

Via RSBAC jail je vervolgens elke gebruiker en kunnen alle homedirs op 700 :)

Elke Vhost heeft een eigen gebruiker, niets safe_mode (wat ook schijnveiligheid is), open_basedir of iets anders.

Via RSBAC jail je vervolgens elke gebruiker en kunnen alle homedirs op 700 :)

Ik had het ook niet over jou ;)

Ik had het ook niet over jou ;)OK ;)

Jammer dat degene waarvoor het wel bedoeld was niet meer reageert.

Jammer dat degene waarvoor het wel bedoeld was niet meer reageert.

Misschien helpt het als je zegt over wie het gaat :)

Misschien helpt het als je zegt over wie het gaat :)

Als je leest blijkt dat het over WebXtra gaat... :)

Als je leest blijkt dat het over WebXtra gaat... :)

Juistem :) Was dat zo onduidelijk?

Juistem :) Was dat zo onduidelijk?

Blijkbaar wel, anders had Wido niet gereageerd.

Blijkbaar wel, anders had Wido niet gereageerd.

Hmm naja, dan alsnog bij deze: het was bedoeld voor WebXtra en ben nog steeds erg benieuwd :)

zucht heren, niet elke dame/heer heeft de security van zijn toko op en top in orde.


Tegen 0day exploits waar nog geen patch voor is, sta je in principe machteloos. Dus vaak zal het zo zijn, echter soms ook niet!

Dit ben ik niet helemaal met je eens, zo was er recentelijk een foutje in Joomla! die alleen maar werkte als register_globals op aan stond.
Dit betekende dus dat machines die ik beheer niet vulnerable waren voor deze exploit.
0 day of niet je hoort gewoon zelf bij het installeren van je server al na te denken over wat hij gaat doen en voor wie. ahv zet je bepaalde opties uit!