# Script Kidies



## planet_fox (16. Apr. 2008)

Hi Leuts ich hab heute den zweiten Sitehack gehabt auf zwei verschiedenen Seiten. Schema das selbe interessannt ist folgendes beides sind joomla seiten. Jedoch ist die erste betroffene Seite eine 1.15 gewesen und die zweite nun eine 1.5 gwesen. Ich kann euch den code posten wenn gewünscht. Auf jeder einzelnen seite plaziert der script kidie am ende der seiten ein iframe. 
folgende frage, gibt es irgendeine Lösung um das ein zu dämmen. ?


----------



## Till (17. Apr. 2008)

Es wird vermutlich nicht dass sein, was Du hören möchtets: Nimm ein anderes CMS als Joomla.

Ich sehe mir ja hin und wieder Server von Kunden an, nachdem sie gehackt wurden und in fast allen Fällen ist Joomla daran beteiligt. Ich vermute mal, dass es noch nichtmal daran liegt dass der Joomla Code viel schlechter ist als der von anderen CMS ist, auf Joomla haben sich die ganzen Script Kiddies halt eingeschossen.

Zum konstruktiven Teil 

Möglicherweise kannst Du Dein System durch den Einsatz von mod_security http://www.modsecurity.org/ weiter sichern und zusätzlich suphp mit einer möglichst restriktiven php.ini für die Joomla hosts einsetzen, die alle nicht notwendigen PHP Funktionen deaktiviert.


----------



## planet_fox (17. Apr. 2008)

wie Windows halt, ok so in etwa war das auch mein gedanke, ich hab heute schon von ner anderen seite gehört selbe effekt aber eigenprogrammierung. Da weiss ich nur das die auch php5 laufen haben.Die Warnungen zu angriffen wachsen dieses Jahr extrem. Nervige halt ich erkenn keinen sinn. Das ganze ist wie die leute zu sehn die in der S-Bahn die scheiben zerkratzen.


----------



## planet_fox (17. Apr. 2008)

*mod_security*

di frage zu mode

Ich erhalte da folgendes


```
W: GPG error: http://etc.inittab.org etch/ Release: The following signatures couldn't be verified because the public key is not available: NO_PUBKEY C514AF8E4BA401C3
W: You may want to run apt-get update to correct these problems
```
Wie kann ich den key importieren ?


----------



## Till (17. Apr. 2008)

Schau mal hier:

http://edseek.com/archives/2007/03/17/apt-key-gpg-key-import-on-ubuntu-and-debian/


----------



## brave_snoopy (17. Apr. 2008)

ich hatte vor ein paar jahren mal eine eigene kleine webseite mit einem kleinen php script laufen.
irgendwann bekam ich von meinem damaligen hoster ne mail das spam über den mailserver verschickt wurde und mein script dazu geführt hat.
als ich es mir näher ansah und in einem forum drüber diskutiert wurde, wurde klar, das solche jungs mit suchmaschienen nach lücken auf wahllosen seiten suchen. und alles was denen unter die finger kommt angreifen.


----------



## sumsebum (13. Mai 2008)

Ich kann Dir nur empfehlen mal ossec zu installieren, danach hast Du gleich weniger Kopfschmerzen mit den Scriptkidies......


----------



## markusm (23. Mai 2008)

hin und wieder news lesen ist auch nicht verkehrt, über massenhacks wird  sogar auf heise berichtet:
http://www.heise.de/newsticker/suche?q=massenhack&search_submit=Suchen&rm=search

gerne dabei: phpBB & joomla


mex


----------



## Clemens (5. Okt. 2008)

Der Thread ist schon ein paar Tage alt, aber vielleicht trotzdem ein paar Ratschläge.

Die Kiddies suchen gezielt in Suchmaschinen nach bekannten CMS-, Blog und Foren-Tools. Deren Source-Code ist meistens Open Source und damit allen zugänglich. Der ein oder andere "Hacker" sieht sich den Code an und man findet eigentlich bei beinahe allen Tools verwundbare Stellen. Wird so etwas gefunden, tauschen die Kiddies ihre Tricks untereinander aus und machen sich dann auf die Suche in Suchmaschinen. Denn nur über Suchmaschinen können Sie Website finden, die mit den bekannten Tools arbeiten. Schließlich hängt jedes Tool sein Copyright in den Fuß oder in die Metas der Website. Daher meine Ratschläge:

Verfolge täglich ob es neue Updates für das Tool verfügbar ist (gemeint sind auch Plugins, Module etc.). Installiere jegliches Update, auch wenn es nicht so wichtig scheint. Aber so bleibst zu immer uptodate und hast dann auch nicht mehr soviel Mühe, wenn es wirklich wichtige Updates gibt.

Lösche sämtliche Hinweise darauf mit welchen Tools du arbeitest von den Websites. Diese Copyright-Zeilen sind regelrechte Einladungskarten an die Kiddies. Wenn es ein Copyright-Hinweis sein soll, dann nur als Bild.

Schau immer wieder auf deinen Server nach dem Rechten. Ich habe mir heute mod_security2 angesehen. Scheint recht brauchbar diesbezüglich zu sein.

Gruß


----------



## planet_fox (5. Okt. 2008)

Das Gefährlicheste meiner Meinung nach ist derzeit Joomla mit seinen mods und plugins


----------



## Clemens (6. Okt. 2008)

Diese Behauptung kann ich nicht unterschreiben. Es kommt auf die Komponenten, Module und Plugins an. Daher ist es wichtig, dass man nicht alles installiert, was blinkt und funkelt. Als Administrator sollte man sich daher auch mit Programmierung auskennen und in die Teile hinein sehen, ob die vorgegebenen Konventionen eingehalten werden (Programmstruktur, Variablenabarbeitung etc.). Joomla 1.5.7 ist schon ziemlich sicher und bei Entdeckung von Lücken, wird sehr schnell reagiert. Aber wenn in einer Komponente dann irgendwo GET- oder POST-Variablen ohne das Joomla-System abgearbeitet werden, dann reißt der Programmierer wieder eine Riesenlücke auf, wofür das Joomla selbst kaum verantwortlich gemacht werden kann.

Wie sicher ein System ist, hängt auch vom Administrator eines Systems ab! In diesem Zusammenhang habe ich mod_security2 auf meinen Debian geworfen und mich in die möglichen Regeln eingearbeitet. Wow, das ist ein mächtiges Teil. Zumindest was das http-Protokol betrifft, kann man sehr viel anstellen (aber auch vermurksen).

Schöne Woche noch.


----------



## planet_fox (6. Okt. 2008)

Da hast du recht, die module und plugins die stark bekannt sind haben lücken schnell gelösst. Aber manche komponenten werden schlecht gepflegt bis gar nicht. Aber ich mach denen nun auch keinen vorwurf. Da hat einer für sich mal was gebaut und der Community zu verfügung gestellt. Aber danach werden die m,odule dann nicht mehr gepflegt oder die Entwickler werden beschimpft und legen ihre arbeit nieder. Ich habs schon mal gesagt, die deutsche Joomla Community ist sehr schlecht im vergleich zu anderen Projeckten. Denoch erstaunlich das sich immer noch joomlaos und die schweizer das ganze so gut betreuen.Dies hat die Community eigendlich nicht verdient.


----------

