ursus contionabundo: (Nicht nur) Magento liefert mit "adminer.x.x.x.php" Super-Werkzeug für den Einbruch in Webserver

Heise berichtet über Angriffe auf Magento-Online-Shops. Hilfreich für den Angriff ist die von Magento undurchdacht hinzugefügte die adminer-x.y.z.php

Demnach könnte längst nicht nur Magento betroffen sein, ist aber als Shop ein attraktives Angriffsziel.

Erste Hilfe: Fremden Zugriff auf die Datei unterbinden (Beispiel für Apache):

<filesmatch "^adminer.*$">
   AuthType Basic
   AuthName "Restricted Files"
   AuthBasicProvider file
   AuthUserFile "/path/to/passwordfile"
   Require user USERNAME
</filesmatch>

Die Datenbankpasswörter sollten geändert und das System auf geänderte Daten überprüft werde. Viel Spaß auch beim Logfile-Lesen.

Will noch jemand wissen, warum ich ungern fertiges Zeug von Dritten benutze?

akzeptierte Antworten

  1. Die Datenbankpasswörter sollten geändert und das System auf geänderte Daten überprüft werde.

    Auch die Inhalte der Datenbanken. Laut heise-Bericht wurde dort Schadcode untergebracht, der dann auf den Webseiten erschien.

    1. Hallo

      Die Datenbankpasswörter sollten geändert und das System auf geänderte Daten überprüft werde.

      Auch die Inhalte der Datenbanken. Laut heise-Bericht wurde dort Schadcode untergebracht, der dann auf den Webseiten erschien.

      Hmmm. Soweit ich verstanden habe, betreibt der Angreifer einen gepatchten (nicht selbst angreifbaren?) MySQL-Server und versucht, MySQL-Clients auf anderen Servern zu steuern. Diese wiederum sollen die adminer.x.x.x.php auf den jeweiligen Servern aufrufen und über diese an Zugangsdaten kommen. Wie funktioniert das?

      Tschö, Auge

      --
      Eine Kerze stand [auf dem Abort] bereit, und der Almanach des vergangenen Jahres hing an einer Schnur. Die Herausgeber kannten ihre Leser und druckten den Almanach auf weiches, dünnes Papier.
      Kleine freie Männer von Terry Pratchett
      1. Nee. Der Angreifer ruft selbst die adminer.x.x.x.php auf und überredet diese ganz sanft aber wirkungsvoll, eine Verbindung zu seinem gepatchtem Server aufzubauen. Hierbei erntet er die (aus der Konfiguration) gelieferten Zugangsdaten, mit denen er sich dann auf dem richtigem Server einloggen und viel Freude haben kann.

        1. Hallo

          Nee. Der Angreifer ruft selbst die adminer.x.x.x.php auf und überredet diese ganz sanft aber wirkungsvoll, eine Verbindung zu seinem gepatchtem Server aufzubauen.

          O.k., wie geht das, den fremden Server anzusprechen, wenn …

          Hierbei erntet er die (aus der Konfiguration) gelieferten Zugangsdaten

          … das Skript die Zugangsdaten für den eigenen Server verwendet.

          Tschö, Auge

          --
          Eine Kerze stand [auf dem Abort] bereit, und der Almanach des vergangenen Jahres hing an einer Schnur. Die Herausgeber kannten ihre Leser und druckten den Almanach auf weiches, dünnes Papier.
          Kleine freie Männer von Terry Pratchett
          1. Nee. Der Angreifer ruft selbst die adminer.x.x.x.php auf und überredet diese ganz sanft aber wirkungsvoll, eine Verbindung zu seinem gepatchtem Server aufzubauen.

            O.k., wie geht das, den fremden Server anzusprechen, wenn …

            Hierbei erntet er die (aus der Konfiguration) gelieferten Zugangsdaten

            … das Skript die Zugangsdaten für den eigenen Server verwendet.

            Tja. Da hat wohl genau das besagte adminer-Skript nicht grundlos ein Update bekommen.

  2. Ein MySQLd gibt ja schon ohne Passwort seine Version preis:

    >telnet localhost 3306 
      5.1.40-community... 
    

    Das grenzt schon hart an eine Einladung 😉

    1. >telnet localhost 3306 
        5.1.40-community... 
      

      Das grenzt schon hart an eine Einladung 😉

      Klar. Aber die Einladungen vom Localhorst (Telefon: 127.0.0.1/8) sind im Internet nicht sehr beliebt.

  3. Hello J.,

    Heise berichtet über Angriffe auf Magento-Online-Shops. Hilfreich für den Angriff ist die von Magento undurchdacht hinzugefügte die adminer-x.y.z.php

    Demnach könnte längst nicht nur Magento betroffen sein, ist aber als Shop ein attraktives Angriffsziel.

    Erste Hilfe: Fremden Zugriff auf die Datei unterbinden (Beispiel für Apache):

    <filesmatch "^adminer.*$">
       AuthType Basic
       AuthName "Restricted Files"
       AuthBasicProvider file
       AuthUserFile "/path/to/passwordfile"
       Require user USERNAME
    </filesmatch>
    

    Ist das bei FilesMatch nicht eine Pfadangabe zur Datei?
    Steht denn adminer.*\.php immer in der Root?
    Das Caret am Anfang deines Musters irritiert mich nämlich.

    Will noch jemand wissen, warum ich ungern fertiges Zeug von Dritten benutze?

    Darum schalte ich bei derartigen Systemen auch grundsätzlich automatische Updates aus!

    Glück Auf
    Tom vom Berg

    --
    Es gibt nichts Gutes, außer man tut es!
    Das Leben selbst ist der Sinn.
    1. Ist das bei FilesMatch nicht eine Pfadangabe zur Datei?

      Hier im DOCUMENT_ROOT, also dem aktuellen Verzeichnis der .htaccess oder dem des virtuellen Servers.

      Steht denn adminer.*.php immer in der Root?

      Jedenfalls wird es in den Berichten so dargestellt. Was das soll weiß ich auch nicht.

      Will noch jemand wissen, warum ich ungern fertiges Zeug von Dritten benutze?

      Darum schalte ich bei derartigen Systemen auch grundsätzlich automatische Updates aus!

      Das ist sicherlich gut um Beschwerden von Benutzern zu vermeiden, die sich beklagen, dass das Ermitteln des Passworts für den Datenbankzugriff nicht mehr geht.

  4. Hej ursus,

    Will noch jemand wissen, warum ich ungern fertiges Zeug von Dritten benutze?

    Weil du nie Fehler machst, andere aber ständig?

    Marc

    --
    Ceterum censeo Google esse delendam
    1. hi

      Will noch jemand wissen, warum ich ungern fertiges Zeug von Dritten benutze?

      Weil du nie Fehler machst, andere aber ständig?

      LOL 😉

      Natürlich machen Nasenbären keine Fehler, sie folgen ihrem In stinkt.

      SCNR ;

    2. Weil du nie Fehler machst, andere aber ständig?

      Das ich nie Fehler mache würde ich nicht behaupten. Aber manche Fehler vermeide ich scheinbar ausreichend sorgfältig. Man hat es versucht, aber meine Webseiten wurden nicht geknackt - statt dessen habe ich den "Spezialist" erwischt. (Die auf meinen Antrag erlassene "einstweilige" Verfügung wurde von der Unterlassungsschuldnerin, einem sich als "Marktführer" im Bereich der Erstellung und des Hostings von Webseiten bezeichnendem Unternehmen, vor Gericht als "letzte Regelung" anerkannt und gilt damit "ewig".)

      1. Hej ursus,

        Weil du nie Fehler machst, andere aber ständig?

        Das ich nie Fehler mache würde ich nicht behaupten. Aber manche Fehler vermeide ich scheinbar ausreichend sorgfältig.

        Ja, wenn man seine eigenen Schwächen (an)erkennt, kann man diese durch Sorgfalt, Planung und Konzept oft vermeiden.

        Und ja, nicht jeder arbeitet mit einem sorgfältigen Konzept.

        Andererseits gibt es gute Software und schlechte Software auch von anderen. Gerade wenn man versteht, was ein anderer gemacht hat, kann man das ja einigermaßen beurteilen.

        Insofern kann man auch mal Software von anderen verwenden. Den Vorteil eines gut laufenden Projektes mit zahlreichen Rückmeldungen und regelmäßigen Updates, das womöglich schon seit Jahren lauft, übertrifft man nicht so schnell…

        Man hat es versucht, aber meine Webseiten wurden nicht geknackt - statt dessen habe ich den "Spezialist" erwischt. (Die auf meinen Antrag erlassene "einstweilige" Verfügung wurde von der Unterlassungsschuldnerin, einem sich als "Marktführer" im Bereich der Erstellung und des Hostings von Webseiten bezeichnendem Unternehmen, vor Gericht als "letzte Regelung" anerkannt und gilt damit "ewig".)

        Sehr gut. Komisch, ich habe von diesem Marktführer noch nie gehört 😂

        Marc

        --
        Ceterum censeo Google esse delendam