nodemasters Gedankensphäre » IT-Sicherheit http://blog.nodemaster.de "Einer neuen Wahrheit ist nichts schädlicher als ein alter Irrtum." Tue, 17 May 2011 20:11:50 +0000 en hourly 1 http://wordpress.org/?v=3.1.2 Drei Tage Glastopf http://blog.nodemaster.de/2009/11/19/drei-tage-glastopf/ http://blog.nodemaster.de/2009/11/19/drei-tage-glastopf/#comments Thu, 19 Nov 2009 06:53:42 +0000 nodemaster http://blog.nodemaster.de/?p=482 Gestern lief der Glastopf seit drei Tagen. Während dieser Zeit sind drei Bots vorbeigekommen. Ich hätte selbst bei nicht gezielter Suche mit mehr Bots gerechnet, die zufällig das Netzwerk meines Honeypots scannen.

Viele Schlüsse lassen sich bisher also leider noch nicht ziehen (außer der Tatsache, dass zumindest mein Server nicht sehr häufig gescannt wird). Interessanterweise suchten alle drei Scans gezielt nach einer Schwachstelle innerhalb einer Applikation. Bisher gab es keinen Versuch in einem Scanvorgang Schwachstellen in mehreren Applikationen zu finden. Die Bots suchten nach: VHCS, Roundcube Webmail sowie phpMyAdmin.

An phpMyAdmin kann man gut erkennen, wie kreativ der Programmierer des Schwachstellenscanners versucht, phpMyAdmin auch an ungewöhnlichen Orten aufzuspüren:

///p/m/a/config/config.inc.php?p=phpinfo();
//myadmin/config/config.inc.php?p=phpinfo();
//php-my-admin/config/config.inc.php?p=phpinfo();
//mysql/config/config.inc.php?p=phpinfo();
//dbadmin/config/config.inc.php?p=phpinfo();
//admin/config/config.inc.php?p=phpinfo();
//pma/config/config.inc.php?p=phpinfo();
//phpmyadmin/config/config.inc.php?p=phpinfo();

Gibt es tatsächlich so viele Benutzer, die dem Security by Obscurity Prinzip folgen? Immerhin besteht die Chance bei einer neu entdeckten Schwachstelle nicht umgehend attackiert zu werden, wenn die Applikation nicht im erwarteten URL-Pfad liegt. Andererseits muss man sicherstellen, dass solche Seiten auch nicht von einem Crawler gefunden und indexiert werden. Genaugenommen ist es ein Widerspruch in sich. Man kann öffentlich zugänglichen Webseiten nicht verstecken.

]]> http://blog.nodemaster.de/2009/11/19/drei-tage-glastopf/feed/ 1 Ein neuer Glastopf http://blog.nodemaster.de/2009/11/15/ein-neuer-glastopf/ http://blog.nodemaster.de/2009/11/15/ein-neuer-glastopf/#comments Sun, 15 Nov 2009 14:36:28 +0000 nodemaster http://blog.nodemaster.de/?p=477 Vor einiger Zeit habe ich von dem Glastopfprojekt gelesen. Der Glastopf ist ein Honeypot, welcher Schwachstellen in einer Webapplikation emuliert. Sollte also ein Bot den Webserver besuchen, und nach einer verwundbaren Applikation suchen, so versucht Glastopf dem Bot vorzugaukeln, es handele sich um diese Applikation.

Ziel ist es, wie bei Honeypots üblich, Informationen über Angriffsmuster und Angreiferverhalten zu protokollieren. Durch die Aktionen, die der Angreifer ausführt lernt man dessen vorgehensweise und eventuell auch dessen Tools besser kennen. Mit diesen Informationen können Webapplikationen besser geschützt und Sicherheitslücken frühzeit erkannt werden.

Ich habe dieses Wochenende genutzt, um einen eigenen Glastopf Server einzurichten. Der schwierigste Teil ist es den URL des Servers bei Suchmaschinen bekannt zu machen. Denn die potentiellen Angreifer müssen die vermeintlichen Dienste zunächst einmal finden. Das habe ich mittels einbinden von Links auf gut frequentierten Webseiten von mir und einigen Bekannten getan. Daher an dieser Stelle auch nochmal vielen Dank für das setzen der Links! Nun heißt es abwarten, bis der erste Angreifer das Ziel findet. Sobald sich etwas tut, werde ich hier berichten.

]]> http://blog.nodemaster.de/2009/11/15/ein-neuer-glastopf/feed/ 0