C99 & Brute Force

[R619m]

Moin ,

Ich hab 2 Fragen also die erste die kann ich verhindern das wenn irgend jemand an mein PW in meinem Forum kommt und dann eine C99 Datei hochlädt also ein Script das den Blockiert


Und die zweite die kann ich Brute Force attacken verhindern also das bei ca. 10 mal das PW Falsch ist das ein Script oder keine ahnung was die IP dann blockiert.

Achja Forensoftware ist WBB 2.3.6 vllt weiß ja jemand bescheid und hat irgend welche links für mich sonst frag ich im WBB Support Forum.

Gegoogelt hab ich schon aber leider nichts gefunden

 

[Elderan]

Hallo,
eine ordentliche Grammatik trägt zum Verständnis eines Posts ungemein bei, nichts für ungut.

Denn deine erste Frage haben ich trotz mehrmaligem Lesen nicht einwandfrei verstehen können, würde aber einfach mal pauschal sagen, du solltest ganz einfach verhindern, dass keiner an dein PW kommt.

die kann ich Brute Force attacken verhindern

Auch hier wieder: Einfach ein sicheres Passwort verwenden.
Wenn du 8 Zeichen Groß- und Kleinbuchstaben sowie Zahlen verwendest, wird keiner auf die Idee kommen, dieses per Brute Force zu knacken, vorallem nicht wenn er nur über deine HP das Passwort testen kann, sprich wenn er also nicht den Hashwert hat.
Denn dort schafft man, wenns hoch kommt, ca. 200 Versuche pro Sekunde, und den Rest kannst du dir selber ausrechnen.
Vorallem fällt es ja irgendwann auf

Sonst:
Musst du dir entweder einen Hack suchen, der dir so einen Schutz einbaut oder eben selber Programmieren.

Und mit Google findet man genügend Hacks zu dem Thema für das WBB

 

[Bytestream]

Zur C99: Naja einfach in den Anhängen keine php-dateien erlauben bzw. nicht interpretieren lassen. Weiters solltest du die PHP-Settings dementsprechend setzen, das auch wenn man eine C99-Shell hat nichts ausführen kannst. (siehe safe_mode etc.)

Das mit dem Brute Force zahlt sich wie Elderan schon gesagt hat, nicht wirklich aus, aus der Sicht des Angreifers. Es belastet nur deinen Server ein wenig.
Eine Erweiterung, sodass man nur X Versuche zum Einloggen hat gibt's bestimmt. Schau einfach auf diverse Supportforen für das WBB a la www.mywbb.de oder www.yourwbb.de.

 

[stone.dr]

Ein ganz wichtiger Tipp vieleicht noch - das Passwort für die Datenbank sollte niemals das selbe sein, wie das ftp bzw. dass Pw für Dein Confixx / Plesk oder ssh.

Wenn jemand ne c99 auf Deinen Server bekommt - hast Du aber generell ein Problem (config.inc.php - Datenbank Infos etc.).

Auch bei PHP-Safemode on kann man zur Datenbank connecten.

Kleine Info am Rande.

Zum Thema Sicherheit wbb kann ich noch sagen, aktuelles Updaten draufspielen (pl2) und acp mit nem htaccess schützen .

 

[Nimda05]

Ich möchte nochmal bekannt geben dass das Woltlab Burning Board eine nicht öffentliche Schwachstelle hat. Es sind enorm viele Boards davon betroffen. Der zurückgelieferte Hash bringt alleine nicht viel. Man kann sich zwar via cookie faking einloggen und beiträge löschen aber man kommt ohne gecracktes Passwort nicht ins ACP. Deswegen: Immer ein zufällig generiertes Passwort mit mehr als 20 Stellen wählen. Passwortmanager helfen da sehr weiter! (ich empfehle Keepass. funktioniert unter linux und windows). Desweiteren sollte man unbedingt eine htaccess datei in das ACP/ModCP Verzeichniss knallen um sich gegen unbefugten Zugriff zu schützen sollte der Hash dennoch gecrackt werden.

Nimda05

BTW: Dieses Forum hier z.B. ist nicht anfällig für diese Sicherheitslücke. Ihr habt nen guten Techmin / Arsch für den Server ;-).

 

[chrisch]

Original von Nimda05
Ich möchte nochmal bekannt geben dass das Woltlab Burning Board eine nicht öffentliche Schwachstelle hat. Es sind enorm viele Boards davon betroffen. Der zurückgelieferte Hash bringt alleine nicht viel. Man kann sich zwar via cookie faking einloggen und beiträge löschen aber man kommt ohne gecracktes Passwort nicht ins ACP. Deswegen: Immer ein zufällig generiertes Passwort mit mehr als 20 Stellen wählen. Passwortmanager helfen da sehr weiter! (ich empfehle Keepass. funktioniert unter linux und windows). Desweiteren sollte man unbedingt eine htaccess datei in das ACP/ModCP Verzeichniss knallen um sich gegen unbefugten Zugriff zu schützen sollte der Hash dennoch gecrackt werden.

Nimda05

BTW: Dieses Forum hier z.B. ist nicht anfällig für diese Sicherheitslücke. Ihr habt nen guten Techmin / Arsch für den Server ;-).

Kannst du auch einen Tipp geben, wie man diese Schwachstelle schließen kann? Ich betreue ein Board, was davon leider auch betroffen ist.

 

[fetzer]

Nein, das kann er nicht, denn er will ja den Fehler nicht öffentlich machen, sodass auch andere Boards in Gefahr sind </sarkasmus>. Nebenbei hat er gerade eben eine Straftat zugegeben, sofern er nicht die Erlaubnis eines Admins zu dieser Attacke auf den Server hatte.

@chrisch: wenn du dich mit PHP Sicherheit, Server usw beschäftigst dürftest du schonmal die größten Fehlerquellen ausschalten. Beispielsweise nutzt eine einfache PHP Shell den Befehl execute(). Verhinderst du die Ausführung dieses Befehls ( geht in der php.ini ), so verhinderst du auch die Benutzung dieser Shell, da keine Commands ausgeführt werden können.
Ein anderes Beispiel beim Thema PHP Sicherheit wäre allow_url_fopen.
Beim Thema Websicherheit gibts htaccess, dann koenntest du das Passwort noch anders verschluesseln, sodass es keine vordefinierten Tables dafuer gibt ( und die Hashes aus der Db auch nicht alleine weiter verwendet werden koennen ), usw.
Am besten ist immer, eine aktuelle Version am laufen zu haben. Viele Lücken, die von solchen Leuten benutzt werden, sind innerhalb 1 Woche öffentlich oder gefixt. Als Laie bleibt dir also da dann nicht viel Spiel.

 

[xeno]

Original von chrisch
Kannst du auch einen Tipp geben, wie man diese Schwachstelle schließen kann? Ich betreue ein Board, was davon leider auch betroffen ist.

sobald der hash des admins geknackt ist (sache von ~1 minute bei nem einfachen pw) kann der angreifer seine chell über das acp hochladen. dazu nutzt man die möglichkeit sie als avatar hochzuladen, da dort nicht auf die dateiendung geachtet wird.

die sicherheitslücke über die man an den hash kommt liegt meines wissens nach in der search.php. deaktiviere mal die suche für nicht-registrierte user, damit solltest du script kiddy's schonmal abschrecken.

 

[Elderan]

Hallo,
hier mal ein kleines Hotfix gegen die Auswirkungen von solchen Lücken:

Schau per phpinfo() nach, wie PHP eingebunden ist. Dort steht entweder Apache Handler oder bei den meisten Shared Hostern dann CGI.
Sollte bei die Apache Handler stehen, kannst du hier aufhören zu lesen, steht da aber CGI, viel Spaß beim weiterlesen:

Erstelle eine php.ini mit folgendem Inhalt:

register_globals = off
allow_url_fopen = off
safe_mode = on
magic_quotes_gpc = on
display_errors = off
disable_functions = exec,system,passthru,shell_exec,escapeshellcmd,proc_open,proc_nice,ini_restore,popen

(Hier werden auch Fehlermeldungen unterdrückt, wenn man möchte kann man dies auch entfernen)

Lade diese php.ini in jedes Verzeichnis auf deinem Webspace.

Diese php.ini bewirkt für das jeweilige Verzeichnis( ohne Untervezeichnisse!) die Änderung der entsprechenden PHP-Einstellung.
Sprich, ist die php.ini in dem Verzeichnis vorhanden, kann z.B. exec oder system nicht mehr aufgerufen werden und die Shell, die durch eine Lücke hochgeladen wurde, wird unbrauchsam.

PS:
Natürlich kann man noch weitere Funktion deaktivieren, wie z.B. mkdir, rmdir, rename, unlink, copy, chgrp, chown, chmod, highlight_file, show_source, fopen, file, readfile, file_get_contents, file_ put_ contents, fgets, fwrite

Dies kann allerdings zu Problemen führen, unlink und highlight_file wird oft von Boards verwendet, manche schlechte Scripts verwenden auch copy statt move_uploaded_file und andere brauchen wieder chmod.
File-Funktionen (lesen, schreiben, etc.) sind auch deaktiviert. Viele Scripts die mit einer DB arbeiten brauchen die Funktionen nicht, andere wiederum schon.

Wenn man all die Funktionen deaktiviert hat, sollte selbst ein eingeschleuster PHP Code relativ wenig schaden anrichten können.
Der sollte eigentlich weder Code auslesen&ausgeben können, noch irgendwelche Seiten defacen können.

Artikel: PHP-Grundsicherung

 

[chrisch]

Danke für die Tips.

Der ACP-Bereich ist per .htaccess geschützt, PHP-Dateien über die Avatar-Funktion hochladen ist nicht möglich. PHP läuft als Apache Modul mit Safe Mode on, allow_url_fopen ist off. Das Board ist auch auf dem aktuellen Stand. Hoffentlich ist es jetzt einigermaßen dicht.