Forum plat door hackpoging: OPGELOST!

[test]

Zoals jullie wellicht gemerkt hebben was het forum van zaterdagavond tot zondagmiddag uit de lucht. De reden hiervoor was dat de provider alles had platgegooid omdat er een veiligheidsprobleem was. Dit was de mail die ik kreeg:

Helaas hebben we vandaag moeten constateren dat via de heartbeatforum.nl is geprobeerd onze server te hacken. Het blijkt voor derden mogelijk om bestanden te plaatsen in de /garage/upload/ folder. Onze monitoringsoftware heeft de hackpoging geblokkeerd maar om verder misbruik te voorkomen hebben we de website ontoegankelijk moeten maken.
Graag vernemen wij hoe u de veiligheid van uw website gaat verbeteren. U kunt hierbij bijvoorbeeld denken aan het upgraden van de huidige phpBB installatie. Wij zullen de site weer activeren nadat u de veiligheid hebt verbeterd.

Ik heb een bericht terug gestuurd: we werken al met de meest recente versie van onze forumsoftware en de genoemde folder staat inderdaad open om bestanden te plaatsen, daar kunnen gebruikers namelijk de fotos van hun autos uploaden. Volgens de provider is dit dus een beveiligingsprobleem.

Nu (zondagavond) is het forum weer online gezet, maar zijn alle uploadfolders geblokkeerd voor upload:

Ik heb de folders die chmod stonden op 777 aangepast naar 755 en de site weer opengezet. Het forum is dus weer bereikbaar.
Waarschijnlijk hebben deze verkeerd ingestelde rechten het probleem veroorzaakt maar aangezien we de phpBB code niet kennen is dit niet 100% te garanderen. Kunt u controleren of u verdere stappen kunt nemen om de site te verbeteren? Mocht het probleem terugkomen dan zullen we de site helaas opnieuw moeten afsluiten.

Dit betekent dus dat we geen auto-foto's meer kunnen uploaden, maar ze hebben nu ook de avatar-directory dicht gegooid, we kunnen dus ook geen avatars meer uploaden...

Aangezien ik de ballen verstand heb van beveiliging van servers bij providers weet ik niet wat ik hun moet vertellen. Ik weet alleen dat ons forum nu mank loopt. Verder lijkt het mij erg sterk dat de genoemde directory-instelling een dergelijk groot beveiligingsprobleem veroorzaakt, want veel andere sites/fora hebben dezelfde mogelijkheden.

Iemand van jullie toevallig veel verstand van dit soort zaken en iemand met een idee?

[Ace]

er zijn 3 verschillen in UNIX

User
Group
World

de 7 voor User is goed
Als alle gebruikers in de groep Group zitten zou die op 6 moeten ( read =4 write =2 execute =1)
Voor World is 5 goed (read + execute)

de 755 zorgt dat de dat alleen de User (zie dat als server admin) files kan uploaden/plaatsen.

Dus
Ik denk dat je eerst moet kijken waar de gebruikers van het forum (volgens UNIX) staan.

777 is inderdaad NIET een goede instelling als je wilt dat iedereen bij die folder kan.

[Cenobyte]

Uhm, uiteraard was het eerste bericht door mij geplaatst

de 755 zorgt dat de dat alleen de User (zie dat als server admin) files kan uploaden/plaatsen.

Dus Ik denk dat je eerst moet kijken waar de gebruikers van het forum (volgens UNIX) staan.

777 is inderdaad NIET een goede instelling als je wilt dat iedereen bij die folder kan.

Volgens de instructies van de Garage mod, moet de directory juist wel op 777 staan, omdat iedereen foto's moet kunnen uploaden. Elke forumgebruiker valt volgens mij op server-administratief gebied onder "public", want forumgebruikers zijn geen administrators en vallen volgens mij ook niet onder "group". Het probleem wat je daarmee creeert is dat inderdaad iedereen iets in die map kan posten. Wat ik echter niet snap is hoe dan vervolgens iemand misbruik kan maken van de server?!

Dit forum draait ook op een database waarin iedereen kan posten. Straks gooit men dat ook dicht met als argument "iedereen kan in jullie database posten en dat vormt een beveiligingsrisico!". Dat argument raakt toch kant noch wal? Een beetje clubsite kan toch niet zonder publiek te gebruiken gedeelte?

[Ace]

Als ze via die folder toegang tot de server hebben staan de rechten op de server niet goed
Dat zou namenlijk niet moeten mogen.

Als iedereen in de "public" groep zit is het inderdaad niet mogenlijk om gebruik te maken van de 765 optie.

Als ik jou was zou ik zoeken via google naar een "fix" voor die posting pics optie, ik neem aan dat meer forums deze optie gebruiken en dus al eerder dit probleem hebben gehad.

Als je wilt zal ik straks ok even wat mensen vragen hoe die het opgelost hebben.

[Cenobyte]

Als ze via die folder toegang tot de server hebben staan de rechten op de server niet goed
Dat zou namenlijk niet moeten mogen.

Lijkt mij ook. Ik hoor echter wel dat er op deze manier ook scripts vanaf deze directory kunnen worden gerund en dat schijnt het beveiligingsprobleem te veroorzaken. Het gekke is dat de directory perse 777 moet zijn, terwijl 766 ook strikt gezien voldoende zou moeten zijn: dit is namelijk lezen en schrijven, niet uitvoeren. Het gaat alleen om plaatjes te uploaden, dus uitvoeren is niet nodig. Toch werkt het met 766 niet, alleen met 777. En 777 mag weer niet van de provider...

Als je wilt zal ik straks ok even wat mensen vragen hoe die het opgelost hebben.

Ja graag. Ik heb ook al op diverse fora (phpbb en op MyGarage) vragen gepost, maar nog steeds geen antwoord gekregen.

[Cybje]

Het probleem is PHP ... ik vraag mij ook al jaren af waarom die taal nou zo populair is, want het is een grote ramp. Maar dat even terzijde.

PHP draait zonder aanpassingen (dus niet als PHP-CGI) onder de gebruiker van de webserver software, vaak username en group 'httpd' of 'apache'. Dat betekent dat alle directories waar PHP scripts in moeten kunnen schrijven, op writable moeten staan voor deze gebruiker. De gebruiker is niet gelijk aan jouw gebruikersnaam en zit ook niet in jouw groep, dus moeten de rechten 777 zijn.

Ik vraag me alleen een beetje af wat voor hackpoging er dan is gebeurd. Want normaal gesproken is het geen probleem om een directory op 777 te zetten. Mensen van buitenaf kunnen er toch niet naar schrijven, want dan moet je echt op de betreffende Unix systeem zijn ingelogd. Dus alleen hun eigen klanten kunnen ermee rotzooien en alle PHP scripts die draaien op de server. Maar dan moeten ze al wel eerst de exacte locatie van de directory weten.

Wel mogelijk is dat er een bug zit in een van de PHP scripts op deze site, maar dan helpt het veranderen van de rechten niet helemaal. Het is meer symptoonbestrijding te noemen dan.

[Cenobyte]

Ik vraag me alleen een beetje af wat voor hackpoging er dan is gebeurd. Want normaal gesproken is het geen probleem om een directory op 777 te zetten. Mensen van buitenaf kunnen er toch niet naar schrijven, want dan moet je echt op de betreffende Unix systeem zijn ingelogd. Dus alleen hun eigen klanten kunnen ermee rotzooien en alle PHP scripts die draaien op de server. Maar dan moeten ze al wel eerst de exacte locatie van de directory weten.

De betreffende directory is er een waar de avatars en de foto's van de garage naartoe worden geschreven als je als forumgebruiker een foto upload. De locatie van die directory is volgens mij gemakkelijk te achterhalen, da's een kwestie van even zoeken. Maar stel nou dat je die directory weet. Dan kun je er als een beetje scriptkiddie ook nog wel een bestand naartoe zenden wat anders is dan een afbeelding, bijvoorbeeld een script. Misschien kun je dat script dan zelfs runnen. Moet het dan niet aan de provider zijn om dit soort situaties dichtgetimmerd te hebben? Nee, de provider zegt simpelweg: "directories mogen geen 777 rechten hebben". Beetje kort door de bocht volgens mij, maar ik ga ze morgen gewoon even bellen om te vragen wat zij als alternatief hebben. Avatars en foto's van de garage moeten gewoon uploadbaar blijven volgens mij. Andere providers kunnen dit ook bieden, dus waarom zij niet?

En wat PHP zelf betreft: och, de één zweert bij PHP de ander bij ASP. Persoonlijk heb ik genoeg problemen gehad met ASP, dus op dit moment gaat mijn lichte voorkeur naar PHP. Daarbij is ASP eigenlijk van Microsoft (daar ben ik al geen fan van en dat kost 10x meer dan Unix) en PHP hoort bij Unix/Linux, en dat laatste is IMHO toch gewoon beter in netwerk-/internetsituaties dan Microsoft.

[Cybje]

Ik ken ASP niet echt, omdat ik alleen Unix/Linux gebruik op zowel servers als mijn PC. Maar PHP zorgt toch altijd voor veel problemen.

Ik doe zelf webhosting. Het is voor de provider bijna onmogelijk om dit soort dingen dicht te timmeren. Aan de andere kant is bij PHP scripts het gebruik van 777 als rechten op directories onmogelijk te verbieden. Elk PHP script heeft dit gewoon nodig voor uploads. En natuurlijk kan er iets misgaan. Ik heb ook wel eens gezien dat er complete DVD films zijn geupload, doordat dingen niet helemaal veilig ingesteld stonden. Maar ja, aan de andere kant kun je ook niet halve websites platleggen. Want sommige sites zijn afhankelijk van de uploads.

Zolang er altijd de nieuwste versies van PHP scripts worden gebruikt, blijft het lastig tot onmogelijk voor mensen om vreemde zaken te uploaden. Het achterhalen van de directories bij andere gebruikers is ook lastig. Als dit te gemakkelijk is, dan is het schijnbaar voor gebruikers al mogelijk om in hogere directories te kijken. Dan zit dat probleem bij de provider. Mocht je toevallig SSH toegang hebben, moet je maar eens kijken of er te zien is wat er in /home staat. Zoiets is al slim om af te schermen, gewoon als extra veiligheid. Als het is afgeschermd, krijg je iets als dit:

$ ls /home
ls: home: Permission denied

Doordat je dan al niet makkelijk verder kunt zoeken, kun je ook niet op die manier verder zoeken naar directories waarin volledig schrijven mogelijk is.

[Chriscarz]

Is het wellicht ook mogelijk om een restrictie op het te uploaden bestand te zetten? Dat er bijv alleen .JPG en .BMP bestanden geupload kunnen worden?
Dit zal dan waarschijnlijk aan de scriptkant opgevangen moeten worden.

[Cenobyte]

Is het wellicht ook mogelijk om een restrictie op het te uploaden bestand te zetten? Dat er bijv alleen .JPG en .BMP bestanden geupload kunnen worden?
Dit zal dan waarschijnlijk aan de scriptkant opgevangen moeten worden.

Dit is volgens de schrijvers van de forumsoftware en van de Garage maximaal dichtgetimmerd. Ik vermoed ook dat het dichtgooien van de site wegens een "hackpoging" een voorbarige paranoide actie is geweest van de provider...

[Cenobyte]

Vandaan nog even gebeld met de provider en het lijkt hen inderdaad ook sterk dat er van buitenaf in de betreffende directory geschreven kan worden. Da's alvast één probleem opgelost.

Brengt ons meteen bij het tweede probleem: dan heeft dus een forumlid de betreffende zooi ge-upload! Bljkbaar heeft iemand zich met deze bedoelingen aangemeld... Erg vervelend. We gaan dan maar de nieuwe aanmeldingen wat strenger controleren.

[Cybje]

Ik weet niet precies welke phpBB versie wordt gebruikt, want dat kan ik niet zo snel terugvinden, maar als dat versie 2.0.17 of lager is, dan is het ook voor niet-leden mogelijk om dingen te uploaden en zelfs aan te passen.

[Cenobyte]

Ik weet niet precies welke phpBB versie wordt gebruikt, want dat kan ik niet zo snel terugvinden, maar als dat versie 2.0.17 of lager is, dan is het ook voor niet-leden mogelijk om dingen te uploaden en zelfs aan te passen.

We werken met de laatste versie, 2.0.22. Ik heb gisteravond nog even met de ontwikkelaar van MyGarage gesproken en hij claimt dat ook bij hem alles goed is dichtgetimmerd.

[Corvette Maniac]

Kan mijn simpele hersenpan zijn, maar het moet toch mogelijk zijn, te achterhalen welke gebruiker welke content heeft geupload???????

[Cenobyte]

Kan mijn simpele hersenpan zijn, maar het moet toch mogelijk zijn, te achterhalen welke gebruiker welke content heeft geupload???????

Dat lijkt mij ook. Als je iets upload, moet dat perse via de forumsoftware en is de naam van het bestand hierbij gekoppeld aan de gebruiker. Ik hoop dat ze er bij de provider achter kunnen komen, want ik weet niet wat de bestandsnaam was van het kwaadaardige bestand.

[Corvette Maniac]

De avatar's doen ut weer!!!!

[Cenobyte]

De avatar's doen ut weer!!!!

Yep, de betreffende directory had tijdelijk andere permissies, waardoor sommige avatars niet meer werkten.

De hackpoging blijkt nu te zijn uitgevoerd door een lekje in onze chatmodule! Ik heb onmiddellijk de laatste nieuwe versie van de chat geinstalleerd, waarmee dit lek is gedicht als het goed is. Hopelijk zijn we hiermee van deze problemen af.

De avatar en de garage directories zijn weer teruggezet naar 777, waardoor uploaden weer mogelijk is en alles weer ouderwets functioneert! Het enige wat nu blijft is dat nieuwe leden voortaan door de admin worden gecontroleerd, voordat een nieuwe account wordt geactiveerd.

[VetteFreak]

Uhm, uiteraard was het eerste bericht door mij geplaatst

Goh...?

[Cenobyte]

Uhm, uiteraard was het eerste bericht door mij geplaatst

Goh...?

Hehe hij kijkt weer net op het moment dat er toevallig net een appel-avatarretje staat. Ik had gisteren de avatar directory opengegooid en moest het uploaden dus even testen. Ik heb dit appeltje geleend van iemand van het MacoOSX forum

[jaws]

Heren ik heb dit abacadabra verhaal gevolgd en ik vind:

ZO NU EERST EEN BIERTJE ( om geen merknaam te noemen ) dat hebben jullie dan wel verdiend.

Goed dat alles weer opgelost is.