php-resource




Archiv verlassen und diese Seite im Standarddesign anzeigen :
Webseite angegriffen?!


 
streuner
17-12-2014, 16:17 
 
Hi,

folgende Situation: auf Domain befindet sich eine Website mit Joomla (aktuell) und in einem Unterordner ein selbstgebautes einfaches CMS zur Verwaltung von unterschiedlichen Personen (dort werden Unterlagen bereitgestellt usw.) in einem geschützten Bereich. Das selbstgebaute CMS beinhaltet ein Registrierungsformular mit Captcha, Aktivierungsemail und der Login sperrt eine IP-adresse bei 5x falscher Eingabe für eine gewisse Zeit. Programmierung mit PHP und PDO (Prepared Statements), GET-Parameter werden über eine Whitelist gehandhabt, dynamische Get-Werte auf nummerisch geprüft usw.

Jetzt gab es zu einem Zeitpunkt wohl massive Serveranfragen auf dieses Unter-CMS und die Zugriffe außerhalb von Deutschland, Schweiz und Österreich wurden gesperrt. Das teilte uns unser Provider (kleines 3-Mann Unternehmen mit gehosteten Servern) mit und hat den Zugang zu unserer Plesk Oberfläche gesperrt, so dass wir Änderungen an der Datenbank nicht mehr vornehmen können. Er hätte gerne, das wir alles abschalten, da seiner ansicht nach durch die "massive Anzahl" an Zugriffen, eine Sicherheitslücke vorhanden ist. Wir wissen jetzt nicht genau, wie wir das nachprüfen sollen und konnten so auch nichts feststellen. Was für eine Aussagekraft haben Online Scan Dienste, wie hier z.B.: Online Scanner gegen Schadsoftware (http://www.secuteach.de/webseitenscanner.html) in dem Zusammenhang?

Natürlich haben wir alle Passwörter geändert und nachgeprüft ob verdächtige Dateien o.ä. aufem Server sich befindet (FTP Zugang ist vorhanden) jedoch ist das arbeiten momentan natürlich sehr eingeschränkt, da arbeiten an der Datenbank (MySQL) immer an den "provider" als SQL File geschickt werden muss und der das irgendwann dann importiert.

Danke für Ratschläge unt tipps.

mfg

EDIT: ich hatte das bereits in phpforum gepostet und bisher noch keine Hilfestellung/Anregungen/Tipps bekommen, weswegen ich das jetzt hier noch einmal poste.

 
Quetschi
17-12-2014, 17:41 
 
und hat den Zugang zu unserer Plesk Oberfläche gesperrt, so dass wir Änderungen an der Datenbank nicht mehr vornehmen können.

Ich würd euren Provider fragen was das bringen soll?

Habt ihr vom Provider Informationen darüber bekommen, wie die Requests aussahen, die abgesetzt wurden? Das können auch irgendwelche Bots sein, die die Domain einfach mal daraufhin abklopfen ob da Wordpress/Typ3 oder Konsorten mit bekannten Sicherheitslücken am werkeln sind.

Kann euch euer Provider in irgendeiner Form beweisen, dass bei eurem CMS Sicherheitslücken vorhanden sind, die mit diesen Requests ausgenutzt wurden?

 
streuner
17-12-2014, 19:21 
 
Ich würd euren Provider fragen was das bringen soll?

Ist mir ehrlich gesagt auch etwas ein Rätsel, da unser FTP Zugang noch besteht und unsere Scripte auf die Datenbank zugreifen können. Wir können lediglich nicht mehr in die Plesk Oberfläche oder auf phpmyadmin zugreifen. Sämtliche Änderungen die gemacht werden müssen, muss ich momentan per SQL Dump zuschicken und er spielt das ein. Ziemlich umständlich und nervig, da das natürlich nicht zeitnah ist.


Habt ihr vom Provider Informationen darüber bekommen, wie die Requests aussahen, die abgesetzt wurden?

Die Information war, das mehrere hundert Serveranfragen die Minute auf unser CMS System erfolgt sind. Ich kann das leider nicht nachvollziehen und seine Aussage ist, dass eine Sicherheitslücke bei uns vorliegt (in welcher Form sagt er nicht und verweist auf die Zugriffe). Weiterhin (wie bereits erwähnt) soll es erst besser geworden sein, nachdem die Zugriffe außerhalb von Deutschland, der Schweiz und Österreich gesperrt wurden.

Das können auch irgendwelche Bots sein, die die Domain einfach mal daraufhin abklopfen ob da Wordpress/Typ3 oder Konsorten mit bekannten Sicherheitslücken am werkeln sind.

War auch meine Vermutung, da unsere Hauptwebseite mittels Joomla umgesetzt wurde.

Kann euch euer Provider in irgendeiner Form beweisen, dass bei eurem CMS Sicherheitslücken vorhanden sind, die mit diesen Requests ausgenutzt wurden?

Bisher hält er sich mit konkreten Ansagen bedeckt und verweist auf die unzähligen Serveraufrufe. Wie könnte er den "eine Sicherheitslücke" bei uns beweisen? Welche Vorkehrungen wir bei unserem eigenen, kleinen CMS System haben, hab ich ja bereits beschrieben.

Wir sind etwas ratlos, was wir machen können, oder wie wir feststellen können, ob wir wirklich eine Sicherheitslücke habe!! Gibt es eine Möglichkeit das irgendwie festzustellen? Ich bin sicherheitshalber den Code in groben Zügen nochmal durchgegangen und habe jetzt so erstmal keine "Lücke" entdeckt (kein SQL Injection, kein XSS usw) möglich (wenn ich nichts übersehen habe).

Danke für deine Hilfe.

mfg

 
Quetschi
17-12-2014, 20:04 
 
Bisher hält er sich mit konkreten Ansagen bedeckt und verweist auf die unzähligen Serveraufrufe.

Dann würd ich den Provider bitten konkrete Informationen zu liefern und falls er dieser Bitte nicht nachkommt darauf bestehen, dass die volle Funktionalität wiederhergestellt wird.

Sicherheitslücken kann meinetwegen vermuten wer will und wo er will - aber Aufgrund von Vermutungen eine bezahlte Dienstleistung einschränken geht nicht. Hier muss der Provider meiner Meinung nach einen belastbaren Nachweis erbringen und keine diffusen Informationen.

 
streuner
17-12-2014, 23:24 
 
Dann würd ich den Provider bitten konkrete Informationen zu liefern und falls er dieser Bitte nicht nachkommt darauf bestehen, dass die volle Funktionalität wiederhergestellt wird.

Sicherheitslücken kann meinetwegen vermuten wer will und wo er will - aber Aufgrund von Vermutungen eine bezahlte Dienstleistung einschränken geht nicht. Hier muss der Provider meiner Meinung nach einen belastbaren Nachweis erbringen und keine diffusen Informationen.

Ok, danke für deine Einschätzung. Bringen solche Online Tools etwas, wie oben in dem Link beschrieben?

Ich werde bei ihm nochmal nachhaken und schauen, was er sagt. Problem ist halt, das uns einfach die Informationsbasis fehlt um irgendwas einzuschätzen und wir gerade nicht wissen, wie wir irgendwas nachprüfen sollen.

-archiv-

Alle Zeitangaben in WEZ +2. Es ist jetzt 07:29 Uhr.