Sonstiges

Hau wech den Hack: Alarmanlage für Blog-Hacks!

Johannes Oppermann, der Autor der exzellenten BlogDesk-Software, hat mich angemailt und auf eines seiner weiteren Tools hingewiesen. Diesmal etwas aus der Waffenkammer: HackDetect (Windows 95, 98, NT, 2000, ME, XP und Vista, leider kein Mac noch Linux). Das Tool ist so simpel und einfach, wie nur möglich, let a pic speak:
HackDetect
Es scanned die Verzeichnisse auf dem Webserver und meldet, was verĂ€ndert wurde. Was ich also bisher immer nur manuell gemacht habe (Anzahl Files und GrĂ¶ĂŸe der Files, das Tool kann aber noch mehr Parameter checken), kann ich automatisch und noch umfangreicher erledigen lassen. Way cool. Installieren auf dem PC, Serveradresse wie beim FTP angeben (IP/Domain, User+PW), Verzeichnisse auswĂ€hlen, Scanvorgang regelmĂ€ĂŸig anstoßen und verdĂ€chtige Änderungen anzeigen lassen. Dat wars. Ideal fĂŒr das zeitige Bemerken von Blog-Hackereien, die letzte Zeit immens zugenommen haben. Ausgenommen Hacks, die direkt EintrĂ€ge in die Datenbank schreiben, da kann HackDetect auch nix mehr machen. Es ĂŒberwacht „nur“ die Verzeichnisse und Dateien des Blogs, wenn man es jetzt auf Blog-User bezieht (fĂŒr diesen speziellen Fall gibt es fĂŒr WordPress-Blogger auch etwas: DigoWatchWP)

Sinn? So wie in meinem Fall heute verĂ€ndert ein Angreifer bestimmte Dateien auf dem Webserver, um sein Werk anzurichten. Das können bestehende Dateien sein (bei mir war es eine Datei im wpinclude-Ordner), das können natĂŒrlich auch frische Dateien sein, die der Angreifer hochlĂ€dt. So bleibt aber der Hack ĂŒber den Detector nicht unbemerkt, denn ein Verzeichnis Ă€ndert damit umgehend seine GrĂ¶ĂŸe. Werde es gleich installieren und testhalber laufen lassen. Mehr spĂ€ter.

About zum Prinzip dieser Alarmanlage:

Das Prinzip ist ganz simpel: HackDetect macht sich beim Scannen eine Liste aller Dateien und merkt sich deren Eigenschaften (Soll-Zustand). Bei jeder Kontrolle wird dann ĂŒberprĂŒft, ob der aktuelle Ist-Zustand weiterhin dem Soll-Zustand entspricht. Werden Abweichungen entdeckt, erhalten Sie einen detaillierten Report mit allen neuen, fehlenden oder verĂ€nderten Dateien.

Update:
Installation ging super glatt. Kurz den Zielserver angegeben und HackDetect scanned momentan die Verzeichnisse. Bei der Installation sieht man auch bereits am Optionsmenue, welche Parameter ĂŒberwacht werden:
hack1

hack2

Johannes, kurze Frage: Das Limit von 1.000 Verzeichnissen habe ich beim ersten Komplettscan erreicht. Habe nun eher unwichtige Verzeichnisse ausgenommen, so dass ich unter das Limit komme. Gabs ein KByte-Limit im Programm bei den Variablen bzw. Arrays oder wie kommt die Grenze von 1.000 Verzeichnissen zu Stande? WĂ€re imho einer Verbesserung, wenn man kurz vor dem ersten Scan ein Programm drĂŒberlaufen lĂ€sst, das die Anzahl der Verzeichnisse durchzĂ€hlt und dem User angibt, dass er beim Scan das Limit erreichen wird. So war / ist mir unklar, welche Verzeichnisse bzw. Unterverzeichnisse das Tool nicht erfasst hat, die ich aber gerne ĂŒberwachen lassen wĂŒrde. Es stand auch nirgens was von 1.000er Limit, einfach beim Konfigurieren im Server-Menue darauf hinweisen;) Zentralproblem ist beim Erreichen des Limits nochmals kurz zusammengefasst: Welche Verzeichnisse sind außen vor geblieben und wie bemerkt das Tool das unerlaubte Anlegen neuer Verzeichnisse, sobald Limit wieder erreicht wurde? Was fĂŒr einen Blogger an sich kein Probblem darstellen sollte, da mW kein Blog-System auch nur annĂ€hernd an die 1.000 Ordner anlegt. Kommt nur dann vor, wenn man mehr auf dem Server laufen hat bzw. mehrere Blogs angelegt hat.

Hack3

Und Frank verweist btw auf spezielle WordPress-Lösungen, einfach mal in diesen Sicherheits-Thread reinschauen (aber Obacht, einige Plugins sind nix fĂŒr schnelle Finger;)

Jobs in der IT-Branche


Wir tun bei BASIC thinking jeden Tag, was wir lieben. Das kannst du auch! Finde in unserer neuen Jobbörse noch heute deinen Traumjob in der IT-Branche unter vielen Tausend offenen Stellenanzeigen!

Über den Autor

Robert Basic

Robert Basic ist Namensgeber und GrĂŒnder von BASIC thinking und hat die Seite 2009 abgegeben. Von 2004 bis 2009 hat er ĂŒber 12.000 Artikel hier veröffentlicht.

31 Kommentare

  • Bei Tools, die meine Zugangsdaten benötigen, damit sie funktionieren, bekomme ich immer Bauchschmerzen.
    Nichts gegen Johannes Oppermann, aber wenn ich das Tool eh auf Windows installieren muss, kann ich gleich meine Dateien per FTP runterladen und lokal auf meinem Rechner vergleichen.
    Zum einen habe ich dann gleich eine Datensicherung.
    Zum anderen minimiere ich so die Tools, denen ich meine Zugangsdaten anvertrauen muss.

  • Hm, stimmt….
    … mĂŒssen wir uns vielleicht doch mal anschauen.
    Dachte schon, das wĂ€re wieder was fĂŒr die Faulen, die keine Datensicherungen machen.
    Wir checken das mal. 🙂

  • 1000 Verzeichnisse oder Files? Unter Linux ja im Prinzip dasselbe. Files wĂ€ren recht wenig. Da kannste doch kein etwas umfangreicheres CMS mit testen. TYPO3 braucht allein fĂŒr das System schon ein Vielfaches davon.

  • … solche Lösungen gibt es auch als Plugin, du liest schon wieder nicht die News zu deinem System 😉
    Es gibt Plugins in WP, die das machen, wenig Aufwand.

  • So war es auch nicht gemeint, aber du nutzt wp, wirst viel gelesen und bist eine optimale Zielgruppe fĂŒr Hacker. Da vermutet man, dass du Blogs liest die dir diese Info geben und umsetzt. Sie knnten dir das Leben erleichtern.
    Nichts gegen das Tool, es ging mir lediglich um dein aktuelles Problem. Klar das auch andere Seiten sowas benötigen können.

  • ja und nein, denn es löst das Problem von vielen anderen Blog-USern nicht. Es muss einen Weg geben, allen gerecht zu werden. Da sehe ich HackDetect allen voran, denn viel simpler und einfacher geht es fĂŒr Normalos kaum noch (auch wenn das Tool nicht mehr das jĂŒngste ist). Gibt mit Sicherheit auch andere Tools, so hoffe ich, die man fĂŒr den Mac und Linux analog nutzen kann, ohne Kommandozeilenfetischist zu sein oder Corefiles Ă€ndern zu mĂŒssen, wovon ich nix halte. One tool for all wĂ€re natĂŒrlich am besten, aber leider wohl nicht machbar zZt.

  • Ganz klar, die Idee ist klasse. Trotzdem mag ich online-anwendungen, bin viel unterwegs, viele Clients, Desktoptools stehen bei mir hinten an und ich gebe einem Plugin, wofĂŒr auch immer, den Vorrang.

  • darĂŒber habe ich vorhin auch nachgedacht, wie es wĂ€re, dass die Filestruktur inkl. der Infos online abgelegt werden kann, um darauf von verschiedenen Rechnereinheiten aus zugreifen zu können. Onlinezugriff aber, um Filechecks zu machen ist heikel:)

    Bin mir sicher, dass so ein Tool in Kombination Online (Fileinfos) und local (Check) einige zahlende Subscriber finden wĂŒrde…

  • @Frank: Ein Plugin mit dem Check der Dateien zu beauftragen macht doch wenig Sinn.
    Wenn jemand das WordPress kompromitiert, dann kommt er evtl. auch an das Plugin und dann taugt das nix mehr.
    Oder es kommt eine neue WP Version raus und du kannst nicht updaten, weil dein Sicherheitsplugin vom Entwickler noch nicht aktualisiert ist.
    Je mehr Plugins du hast, desto höher ist die Wahrscheinlichkeit, dass eines Dich beim Update deines WP ausbremst.
    Und jedes weitere Plugin erhöht das Risiko, dass man sich eine SicherheitslĂŒcke einfĂ€ngt.

  • eine weitere Lösung:

    Einfach bei google.com/webmaster anmelden. Laut Matt Cutts, Head of Google’s Webspam team, wird man dann von Google informiert, ob die Seite gehacked ist.

    Mindestens eine Option fĂŒr unterwegs….

    Des Weiteren noch eine Vorhersage von Matt Cutts fĂŒr dieses Jahr:

    2008 will be the year that hacking and search engine optimization (SEO) collide in a major way. By the end of the year, a nontrivial fraction of blackhat SEO will involve illegally hacking sites for links or landing pages.

  • @C.J. Sobald nur ein Teil verĂ€ndert wird, kann man eine Nachricht erhalten. Klar, wenn er an alles ran kommt, dann hackt man auch das Plugin. Aber die Kette wird damit lĂ€nger und erschwert es. Entscheidend ist aber, man muss es erst mal merken.
    Eine ganze Reihe von BeitrÀgen bekommen von Hackern unsichtbare Links in alte BeitrÀge gelegt und die merkt man nur schwer.

    Def. richtig – mit jedem Plugin steigt das Risiko einer weiteren SicherheitslĂŒcke. Auch richtig, mehr Plugin können fĂŒr Update-Probleme sorgen.

    Trotzdem empfinde ich das PrĂŒfen per Desktop-Tool weniger gut, weil mit einfach die Zugriffe auf einem Client fehlen.

  • Wer soetwas unter Linux braucht, kann sich mal Tripwire in der OpenSource Version anschauen: http://en.wikipedia.org/wiki/Tripwire_(software). Tripwire ist in so ziemlich jeder Linux Distribution enthalten.

    Ein Tool zur Erkennung von VerĂ€nderungen sollte aber nur eine SekundĂ€rlösung sein, um den Fall der FĂ€lle einfacher zu erkennen. PrimĂ€r sollte man darauf achten, EinbrĂŒche von vornherein zu verhindern.

  • Wie wĂ€re es, das ganze CMS einfach in ein Versionskontrollsystem zu packen und darĂŒber zu schauen, ob VerĂ€nderungen erfolgt sind? Also z.B. mit GIT kann man sich ja auch eine lokale Kopie anlegen (und damit auch recht einfach Backups machen). Vorteil gegenĂŒber nur Überwachung ist auch, dass man die Änderungen auch gleich rĂŒckgĂ€ngig machen kann. Damit der Angreifer das Versionskontrollsystem nicht verĂ€ndern kann, kann man es ja außerhalb des basedirs (von PHP) platzieren.

  • bloggen kann mehr als ein Hobby sein…

    […] schließlich könnte er gehackt werden etc. KĂŒrzlich hat er ein Tool empfohlen, dass ich euch nicht vorenthalten […]…

  • @Michael: seh ich Ă€hnlich. Hatte zuerst an ein einfaches rsync via cron gedacht (wobei man hier das cms auch aus svn/git auschecken könnte – hookscript foo) oder, oder, oder… Scheinbar bleibt hier die Begeisterung fĂŒr win32gui-zeug und manuelles checken jedoch ungebrochen. Naja, wer’s mag – bitteschön.

  • @Robert
    Hatte gerade wieder Kontakt, aber dieses Mal hat jemand versucht einen Link einzuschleusen nach kvantservice[.]com zu verlinken und hat mir dabei den Artikel nach dem More-tag gelöscht. Habe nun aus einem DB-Backup den Artikel wieder herausgekrammt.
    Ich wĂŒrde ja zu gerne deren Seite mal Arbeit machen, aber ich habe diese kriminelle Energie nicht!
    Ich werde mir wohl mein gesamtes Blog vornehmen mĂŒssen hinsichtlich Sicherheit. Grummel!
    @all
    Wie soll man bloß kontrollieren, ob auch die Artikel nicht verĂ€ndert wurden?

  • Ich denke das kommt auf das System an, im Prinzip kann man bei Datenbankbasierten Systemen ja einfach regelmĂ€ĂŸige Backups der Datenbank machen (nicht komprimiert) und vergleichen. Da könnten aber auch Logs, Cache (und natĂŒrlich Kommentare) drin sein, also eventuell muss man da mit ein paar Filtern etwas nachhelfen…

    Fein raus sind natĂŒrlich mal wieder die Datenbanklosen Systeme (wie DokuWiki mit BlogSuite), wobei man natĂŒrlich auch da gewisse Dateien/Pfade ausschließen um den Überblick nicht zu verlieren.

Kommentieren