Hack the Hacker Marc Ruef | 28.01.2008 In einer Biographie zu Immanuel Kant habe ich gelesen, dass er in gewisser Weise von diversen Zwangsneurosen geplagt war. Sein Tagesablauf war klar strukturiert und wich im besten Fall niemals von der erwarteten Prozedur ab. Manchmal habe auch ich ein bisschen diese Züge, obschon ich fortwährend darum bemüht bin, meinen eher unspektakulären Zwängen nicht zu erliegen. Einer dieser Zwänge ist das Anhäufen von Wissen und Informationen. Nur wenn ich ausserordentlich müde oder emotional instabil bin, interessiere ich mich nicht für die Dinge, frage nicht nach. Dieser Durst nach aktuellen Daten, die sich bestmöglich statistisch auswerten und durch sie solide Implikationen erarbeiten lassen, ist natürlich ganz besonders durch den Computer als wichtiges Instrument gestützt. Mitunter weisen all meine Webseiten eigens entwickelte Addons zur Überwachung von Angriffen auf. Diese Module nenne ich schlicht "Intrusion Prevention Systeme" (IPS), denn in erster Linie sind sie darum bemüht, dass meine geschätzten Besucher nur auf jene Komponenten zugreifen können, die für sie auch vorgesehen sind. Will denn mal jemand einen Zugriff durchführen, der nicht so gedacht war, erhalte ich eine kurze Nachricht, welche mich auf die drohende Gefahr hinweist: commandHACK ATTEMPT DETECTED (ID 198325) A malicous access attempt has been detected. The following information could be gathered about the attack: Date: Thursday, 24. January 2008 07:23:34 CET IP address: 192.168.0.10:1475 (debian.computec.ch) Web client: libwww-perl/5.72 Request: http://www.computec.ch/RTE_file_browser.asp String Length: 20 bytes Request method: GET Reason: Microsoft ASP access attempt (id 94) The username and IP address should be blocked in the SQL database. Therefore, the user would not be able to access the full web site anymore. You should start further investigation of the incident and contacting the user via email at abuse@computec.ch/command In der meiner Datenbank kann ich sodann das Verhalten des Benutzers in Echtzeit beobachten, sofern ich das für wichtig erachte. In den meisten Fällen geben die Leute aber nach einem Zugriffsversuch auf /etc/passwd oder der Eingabe von scriptalert(document.cookie);/script schnell wieder auf. Bei besonders schwerwiegenden und langwierigen Angriffsversuchen werden die jeweiligen Benutzer temporär auf eine Blacklist gesetzt. In letzter Zeit fällt mir auf, dass automatisierte Attacken vermehrt durch andere Webserver durchgeführt werden. Hauptsächlich wird sich dabei an einer klassischen OS Command Injection über PHP versucht. In den meisten Fällen als GET-Parameter der HTTP-Anfrage wird ein vom Angreifer gehostetes PHP-Skript verlinkt, dass sodann durch die angegriffene Webseite eingelesen und interpretiert werden soll. Als ich letzte Woche rund eine halbe Stunde zu früh erwacht bin (eine unwichtige Abweichung meiner Tagesstruktur), habe ich einen der jüngsten Attacken mal etwas genauer unter die Lupe genommen. Der Administrator von gayblackplanet.com (interessant!) hat sich dabei um die Ausnutzung einer Schwachstelle im Web Wiz Rich Text Editor (http://www.securityfocus.com/archive/1/486868), den ich auf keiner meiner Webseiten zu nutzen pflege, bemüht. Dabei habe ich natürlich durch mein IPS ebenfalls gesehen, welches PHP-Dokument injiziert werden wollte. Durch die klassische exec() Funktion sollte eine interaktive Shell auf dem damit übernommenen System erlangt werden. Nichts Neues, nichts Interessantes. Viel interessanter schien jedoch, dass auf dem genannten Porno-Server, leider stehe ich mehr auf nordländische Blondinen, die Leserechte falsch gesetzt waren. So war es mir innert weniger Sekunden möglich, durch die relativ komplexe Verzeichnisstruktur zu navigieren. Dabei stiess ich ebenfalls auf eine Fülle von selber geschriebenen PHP-Skripten, die teilweise gravierende Sicherheitslücken aufwiesen. Mit simplen URL-Aufrufen wäre ich in der Lage gewesen, das System nach Belieben fernzusteuern (root-Rechte, yeah!). Wer sich selber daran versuchen will, soll mal diesem Link folgen und selber suchen (auf eigene Gefahr!): http://gayblackplanet.com/ct/includes/ Na ja, da ich besseres zu tun habe, weder irgendwelche schmuddeligen Webserver zu kompromittieren und zwischenzeitlich bald mein Bus kommen sollte, fuhr ich meinen Rechner herunter und spazierte zur Bushaltestelle. Und dabei habe ich definitiv nicht an schwarze Schwule gedacht. Viel mehr habe ich mich innerlich einmal mehr über die ersten 10 Minuten der DVD Futurama: Bender's Big Score (http://www.imdb.com/title/tt0471711/) amüsiert: Das Internet kann halt schon sehr viel Ärger verursachen... "What are you, a whining machine? If you want to worry about something, worry about the Yetis!"