Sicherheitsproblem cwings.php

Ich habe auf meinem Server (docroot) das Skript cwings.php vorgefunden und
kann mich nicht entsinnen, es dort installiert zu haben. Mit diesem Skript
lassen sich php-Skripte im Klartext auslesen, was durchaus mal Passworte
sichtbar macht.

Im www habe ich keine Informationen dazu finden können. Ist von Euch
jemandem cwings.php ein Begriff? cwings.php komme mit einer Datei
cwings.html daher, die den Wortlaut "cwings was here" enthält.

Vermutlich besteht bei mir irgend ein Sicherheitsproblem, das das
Niederlegen dieser Datei ermöglicht oder cwings kam mit irgend einer
Bibliothek daher und ich habe dem zu wenig Aufmerksamkeit geschenkt.

Wie so oft im Leben: Man schläft so lange, bis man geweckt wird. Leider
gilt dies in besonderem Maße für auch Sicherheitsfragen.

Martin

Re: Sicherheitsproblem cwings.php

Martin Lemke schrieb:

> Im www habe ich keine Informationen dazu finden können. Ist von Euch
> jemandem cwings.php ein Begriff?

Google? cwings.org?

> cwings.php komme mit einer Datei
> cwings.html daher, die den Wortlaut "cwings was here" enthält.
>
> Vermutlich besteht bei mir irgend ein Sicherheitsproblem

Ja.

Grüße, Matthias

Re: Sicherheitsproblem cwings.php

Martin Lemke schrieb:
> Vermutlich besteht bei mir irgend ein Sicherheitsproblem, das das
> Niederlegen dieser Datei ermöglicht oder cwings kam mit irgend einer
> Bibliothek daher und ich habe dem zu wenig Aufmerksamkeit geschenkt.

Dann bennen die Datei für kurze Zeit um, schaue nach ob irgendwas
drunter oder drüber in den Verzeichnissen nicht funktioniert und wenn
alles weiterhin geht, dann lass die Datei umbenannt bzw. entziehe ihr
zusätzlich alle Rechte.

In 1 oder 2 Wochen spätestens würde ich die Datei komplett entfernen.

LG

Re: Sicherheitsproblem cwings.php

Am Wed, 02 Aug 2006 16:28:17 +0200 schrieb Sebastian Wessel:

> In 1 oder 2 Wochen spätestens würde ich die Datei komplett entfernen.

Warum so lange warten? Ich habe die Dateien natürlihc sofort gelöscht.
Warum sollte ich die Zugangsdaten für meine Datenbanken zwei Wochen länger
für allewelt lesbar verfügbar halten?

Martin

Re: Sicherheitsproblem cwings.php

Am Wed, 02 Aug 2006 14:28:48 +0200 schrieb Matthias P. Wuerfl:

>> Vermutlich besteht bei mir irgend ein Sicherheitsproblem
>
> Ja.

Geht es etwas konkreter?

Martin

Re: Sicherheitsproblem cwings.php

Am Wed, 02 Aug 2006 20:44:28 +0200 schrieb Matthias P. Wuerfl:

> Alternativ könnte man auch bei zone-h.org im "Attacks Archive" schauen,
> ob die Domain bei den 1656 dabei ist, mit denen sich "cwings" brüstet.

Der Suchbegriff "cwings" brachte bei zone-h.org keinen einzigen Treffer.

Martin

Re: Sicherheitsproblem cwings.php

Sebastian Wessel schrieb:

[cwings]

> Dann bennen die Datei für kurze Zeit um, schaue nach ob irgendwas
> drunter oder drüber in den Verzeichnissen nicht funktioniert und wenn
> alles weiterhin geht, dann lass die Datei umbenannt bzw. entziehe ihr
> zusätzlich alle Rechte.
>
> In 1 oder 2 Wochen spätestens würde ich die Datei komplett entfernen.

Alternativ könnte man auch bei zone-h.org im "Attacks Archive" schauen,
ob die Domain bei den 1656 dabei ist, mit denen sich "cwings" brüstet.

Grüße, Matthias

Re: Sicherheitsproblem cwings.php

Am Thu, 03 Aug 2006 08:56:18 +0200 schrieb Sebastian Wessel:

> Das kann von einem veränderten Buchstaben bis hin zu einem völlig
> kryptischen Namen gehen.

Security by obscurity war schon immer keine gute Lösung.

Schadcode sollte man sofort entfernen.

Die Frage ist, welche Tür offen stand/ steht. Am häufigsten stoße ich auf
cwings in Zusammenhang mit Fotogalerien, wo man etwas hoch laden kann. Oft
wird diese Datei aber als cwings.jpg gespeichert, was die Sache wohl etwas
entschärft.

Martin

Re: Sicherheitsproblem cwings.php

Am Wed, 2 Aug 2006 20:18:51 +0200 schrieb Martin Lemke:

> Am Wed, 02 Aug 2006 14:28:48 +0200 schrieb Matthias P. Wuerfl:
>
>>> Vermutlich besteht bei mir irgend ein Sicherheitsproblem
>>
>> Ja.
>
> Geht es etwas konkreter?
>
> Martin

Ohne Code von Dir wohl kaum, von uns wird jetzt keiner versuchen Deine
Site zu hacken um Dir zu sagen was das Problem ist. Wir wissen im moment
ja nicht einmal um welche es sich handelt. Dann hätte man zumindest vom
Interface her auf typisches tippen können. Aber so ist jetzt das einzige
was mir zu dem Thema einfällt:

Traue nie dem Nutzer, überprüfe alles!

Re: Sicherheitsproblem cwings.php

Martin Lemke schrieb:
> Am Wed, 02 Aug 2006 16:28:17 +0200 schrieb Sebastian Wessel:
>
>> In 1 oder 2 Wochen spätestens würde ich die Datei komplett entfernen.
>
> Warum so lange warten? Ich habe die Dateien natürlihc sofort gelöscht.
> Warum sollte ich die Zugangsdaten für meine Datenbanken zwei Wochen länger
> für allewelt lesbar verfügbar halten?

Ich sagte ja: umbenennen!
Das kann von einem veränderten Buchstaben bis hin zu einem völlig
kryptischen Namen gehen.
Sollte dir in den kommenden 1 oder 2 Wochen etwas auffallen, das nicht
mehr funktioniert und das diese Datei gebraucht hätte (warum auch
immer), dann darfst du sie dir von irgendwoher wieder besorgen ...

LG

Re: Sicherheitsproblem cwings.php

Martin Lemke schrieb:

> Im www habe ich keine Informationen dazu finden können. Ist von Euch
> jemandem cwings.php ein Begriff?

Oh.

Nachdem auch intensives Mit-der-Nase-draufstossen nichts bringt hier
jetzt alles ausführlich erklärt mit ganz viel Wörtern und ganz konkret:

Ich habe von "cwings" noch nie etwas gehört. Also habe ich bei Google
gesucht. Nicht nur deutschsprachiges, sondern auch fremdsprachiges.

http://www.google.de/search?q=cwings

Auf der Stelle 5 habe ich da www.zone-h.org mit einer Liste aller von
dem Attacker "cwing" gecrackten Sites.

http://www.zone-h.org/component/option,com_attacks/Itemid,43 /filter_defacer,Cwings/

Alle diese Sites haben gemeinsam, dass da im DocumentRoot eine
"cwings.html" existiert. Das bringt mich zu der vagen - nein - schon
recht starken Vermutung, dass die Website von einem Kerl "ge0wned"
wurde, der sich "cwings" nennt.

Grüße, Matthias, das alles ohne Code, nur mit Google (erste Seite des
Suchergebnisses) herausgefunden habend

Re: Sicherheitsproblem cwings.php

Am Thu, 03 Aug 2006 11:16:56 +0200 schrieb Matthias P. Wuerfl:

> Auf der Stelle 5 habe ich da www.zone-h.org mit einer Liste aller von
> dem Attacker "cwing" gecrackten Sites.

Diesen Link habe ich wohl übersehen, da ich nach Informationen suchte, die
erläutern, was cwings überhaupt ist.

[...]
> Alle diese Sites haben gemeinsam, dass da im DocumentRoot eine
> "cwings.html" existiert.

Viel schlimmer noch. Meist existiert auch eine Datei cwings.php, die dann
so etwas wie dies ermöglicht: http://shortlink.org/553

Klartextanzeige einer Datei, die sicherheitsrelevante Daten im Klartext
anzeigt:

: ########## Database Info ##########
: $db_server = 'localhost';
: $db_name = 'galirpas_smf1';
: $db_user = 'galirpas_smf1';
: $db_passwd =XXXXXXXXXXXXX';
: $db_prefix = 'smf_';
: $db_persist = 1;
: $db_error_send = 0;

(Passwort von mir unkenntlich gemacht)

Man hat Zugriff auf den gesamten Dateibaum und kann selbst Passwortdateien
auslesen.

Solange die Sicherheitslücke unentdeckt ist, hift mir hoffenltich dies:

if (is_file('./cwings.php'))
{
unlink('./cwings.php');
}
if (is_file('./cwings.html'))
{
unlink('./cwings.html');
}

Martin

Re: Sicherheitsproblem cwings.php

Martin Lemke schrieb:

>>Auf der Stelle 5 habe ich da www.zone-h.org mit einer Liste aller von
>>dem Attacker "cwing" gecrackten Sites.
>
> Diesen Link habe ich wohl übersehen, da ich nach Informationen suchte, die
> erläutern, was cwings überhaupt ist.
>
> [...]

Alleine schon von allem, was bisher dazu geschrieben wurde:
1. Eine Sicherheitslücke
2. Eine Sicherheitslücke, die massenhaft ausgenutzt wird
3. Eine Sicherheitslücke, die vermutlich durch ein FileInjection (bzw.
RCE) gekommen ist.

Spätestens beim lesen von Punkt 1, solltest du ernsthaft in Erwägung ziehen:
1. Den betroffenen Rechner vom Netz nehmen
2. Den Verursacher der Lücke finden und ihm ein Sicherheitsbuch schicken
3. Den betroffenen Rechner neu aufsetzen.

Falls du der Überzeugung bist, dass Punkt 2 nicht hilft, solltest du
dein Sicherheitskonzept überarbeiten.

Gruß,
Torsten

Re: Sicherheitsproblem cwings.php

Martin Lemke schrieb:

> Viel schlimmer noch. Meist existiert auch eine Datei cwings.php, die dann
> so etwas wie dies ermöglicht: http://shortlink.org/553

Viel schlimmer noch. Es existiert offenbar ein Weg, so etwas auf den
Server zu bringen. *Das* ist das Problem. Der rest sind nur Folgen.

> Solange die Sicherheitslücke unentdeckt ist, hift mir hoffenltich dies:
>
> if (is_file('./cwings.php'))
> {
> unlink('./cwings.php');
> }
> if (is_file('./cwings.html'))
> {
> unlink('./cwings.html');
> }

"Helfen" ist relativ. Das ist Symptombehandlung. Es stellt sich die
Frage, ob nich jemand anderes auch Dateien auf den Server gebracht hat,
die nicht so prominent angebracht sind, sondern die im Gegenteil
versteckt sind. Vielleicht ist da noch ein ungepatchter Kernel, so dass
man sich vielleicht sogar root-Rechte verschaffen kann und irgendwelche
Prozesse, die man laufen lässt verstecken kann. Gleiches für Dateien.

Auf Deutsch: Du weisst nicht mehr was Dein Server macht, weil Du seinen
Anzeigen nicht mehr trauen kannst. Du solltest in naher Zukunft mal eine
Nachtschicht einlegen und das Ding neu aufsetzen.

Grüße, Matthias

Re: Sicherheitsproblem cwings.php

Am Thu, 03 Aug 2006 13:57:08 +0200 schrieb Torsten Zühlsdorff:

> 2. Den Verursacher der Lücke finden und ihm ein Sicherheitsbuch schicken

Ich habe die Sicherheitslücke gefunden

Das Skript wird überarbeitet

Martin

Re: Sicherheitsproblem cwings.php

Am Thu, 03 Aug 2006 15:21:18 +0200 schrieb Matthias P. Wuerfl:

> Viel schlimmer noch. Es existiert offenbar ein Weg, so etwas auf den
> Server zu bringen. *Das* ist das Problem. Der rest sind nur Folgen.

Das ist wohl wahr.

> "Helfen" ist relativ. Das ist Symptombehandlung.

Ganz richtig.

> Es stellt sich die
> Frage, ob nich jemand anderes auch Dateien auf den Server gebracht hat,
> die nicht so prominent angebracht sind, sondern die im Gegenteil
> versteckt sind.

Über dieses Skript können Dateien beliebig geändert werden.

Martin

Re: Sicherheitsproblem cwings.php

Am Fri, 04 Aug 2006 09:51:25 +0200 schrieb Torsten Zühlsdorff:

> Außerdem ist es sinnvoll, über eine Art "Scanner" für solche Lücken
> nachzudenken.

Auf jeden Fall ist es wichtig, Sicherheitsdenken zu schärfen. In meinem
Falle war zwar ein Sicherheismechanismus implementiert, der aber ungenügend
ausgetestet worden war, sodass ich nicht erkannte, dass er nicht wie
gewünscht arbeitet. Das ist unentschuldbar.

Ob so ein Scanner realisierbar ist, da habe ich so meine Zweifel.

Ich möchte nur an dieser Stelle unterstreichen, dass man Sicherheitsfragen
auf keinen Fall vernachlässigen sollte. Peinlicher als cwings.php alias
webadmin.php kann es kaum kommen, weil dann praktisch alles offen liegt und
Dateien nicht nur einsehbar sind, sondern mit dem Tool verändert werden
können (sofern entsprechende Schreibrechte existieren).

Martin

Re: Sicherheitsproblem cwings.php

Martin Lemke schrieb:

>>Es stellt sich die
>>Frage, ob nich jemand anderes auch Dateien auf den Server gebracht hat,
>>die nicht so prominent angebracht sind, sondern die im Gegenteil
>>versteckt sind.
>
> Über dieses Skript können Dateien beliebig geändert werden.

Es freut uns, dass du den/die betroffen/en Rechner vom Netz genommen
hast und sie neu aufsetzt.

Außerdem ist es sinnvoll, über eine Art "Scanner" für solche Lücken
nachzudenken. Da sie für gewöhnlich immer ähnlich aufgebaut sind, weiß
man, wann der Rechner eine Neuinstallation benötigt.

Gruß,
Torsten

Re: Sicherheitsproblem cwings.php

Martin Lemke schrieb:
>
> Auf jeden Fall ist es wichtig, Sicherheitsdenken zu schärfen. In meinem
> Falle war zwar ein Sicherheismechanismus implementiert, der aber ungenügend
> ausgetestet worden war, sodass ich nicht erkannte, dass er nicht wie
> gewünscht arbeitet. Das ist unentschuldbar.

Oder wenn man einer für rund 700 USD gekauften Auktionssoftware traut.
Die war so grausam schlecht, daß wir noch mal 300 für die sog. Source-
code version draufgelegt haben und ich dann ca. zwei Monate dran gesessen
habe um das zu überarbeiten. Dummerweise hatte ich ein ziemlich versteckes
Script übersehen. An einem Sonntag war's dann so weit - der Server wurde
nach und nach von irgendwo aus Russland "umkonfiguriert".

In so einem Fall macht es sich dann bezahlt, daß man "etwas" mehr als
39 EUR pro Monat für seine ded. Server ausgibt. Der Server war innerhalb
kürzester Zeit platt und aus dem nächtlichen Backup wiederhergestellt,
inkl. Benutzerdaten versteht sich. :-)


Gruß
JPM

Re: Sicherheitsproblem cwings.php

Am Fri, 04 Aug 2006 13:30:31 +0200 schrieb Jens Peter Moeller:

> Dummerweise hatte ich ein ziemlich versteckes
> Script übersehen.

Das ist auch der Grund, weshalb ich Sicherheitschecks nicht Open
source-Frameworks u. ä. anvertraue. Einen Fehler muss ich selber bezahlen
(mit Geld oder Arbeit). Dann kann ich es auch gleich selber implenentieren
und so besser verantworten.

Ausgiebige Testung vor dem Release steht ab sofort im Pflichtenheft ganz
oben.

Martin