WordPress Admin-Bereich mit SSL absichern

Mit dem Admin-SSL WordPress Plugin kann man ganz bequem den Admin-Bereich eines WordPress-Blogs auf SSL umstellen. Vorher muss man nur den Apache mit SSL zum Laufen gebracht haben. Hier ein paar Zeilen aus der Apache2 Konfiguration:

<virtualhost IP-Adresse:443>
SSLEngine on
SSLCertificateFile /etc/ssl/blog.crt
SSLCertificateKeyFile /etc/ssl/blog.key
SSLCACertificateFile /etc/ssl/blog.ca-bundle
DocumentRoot […]

Weitere Infos zu WordPress plus SSL gibts auf WordPress Codex: Administration Over SSL

Sicherheitslücke im Zusammenspiel von SysCP, proftpd und Debian Sarge/Etch

Im SysCP-Blog war schon im April im Artikel Security warning: Possible remote code injection when using Debian Sarge/Etch von einer Sicherheitslücke zu lesen. In Unkenntnis davon, das es ein SysCP Blog gibt, habe ich davon erst heute erfahren.

Ursache ist der Benutzer ftp bei Debian, der als Passwort das Ausrufezeichen zugewiesen bekommt, was für „Login immer verboten“ steht. Durch einen Fehler in der SysCP Default-Konfiguration für proftp, kann man sich dann mit diesem Passwort am System anmelden. Wenn im Apache mod_userdir aktiviert ist, kann man für den FTP-Benutzer das Verzeichnis public_html anlegen und mit Dateien befüllen. Diese sind dann im Web zugänglich. Als Lösung wird folgendes aufgeführt, was bei mir auch zur Absicherung des Servers führte:

We recommend to add the following line to your /etc/proftpd.conf:
AuthOrder mod_sql.c

Ich würde allen SysCP-Usern empfehlen nach dem Verzeichnis /home/ftp/public_html zu suchen, proftpd ggf. umzukonfigurieren und dann den public_html Ordner zu löschen, wenn sein Inhalt nicht legitim ist.

Update auf WordPress 2.0.4

Vor kurzem ist das Update auf WordPress 2.0.4 erschienen, das neben ca. 50 Bugs auch eine Sicherheitslücke schließt. Ich habe das Update gerade aufgespielt und konnte bisher keine Probleme feststellen. Durch dieses Update wurden auch keine Konfigurationsdateien oder das Deutsche Theme überschrieben, von daher verlief alles reibungslos. 🙂

Bush besucht Wien

Diesesmal keine Artikel zu Computer-Sicherheit, sondern zu den Sicherheitsmaßnahmen, die in Wien für einen Besuch des US-Präsidenten Bush getroffen werden. Passend titelt der ORF dazu: Ausnahmezustand – US-Präsident Bush im Anflug auf Wien. Einige Geschäfte und Museen müssen zwangsweise schliessen. Also hält man sich am Besten morgen aus Wien fern.
Neben diesem Artikel gibt es auch noch einen zu den Behinderungen im Nachverkehr und für Autofahrer: Sperren und Öffis beim Bush-Besuch. Auch die Abwasserkanäle werde von Elitetruppen durchsucht. Das erinnert an die festgeschweissten Kanaldeckel in Mainz.
Gefunden bei Basic Thinking Blog » Warum mir die Wiener Leid tun

Bind9 DNS-Server absichern

Am 15. Februar fand, wie heise.online berichtet, eine DoS-Attacke auf DNS-Root-Nameserver statt. Dadurch werden zwei Probleme klar:

  1. Provider sollten dafür sorgen, das keine Pakete mit gefälschten Absenderadressen in ihre Netze gelangen. Das heißt: direkt den vom Endkunden eintreffenden Traffic durch eine Firewall schicken und alle Pakete mit Absender-Adressen, die nicht sein dürfen droppen.
  2. DNS-Server sollten rekursive Abfragen (also das Auflösen von DNS-Namen, für die die Server nicht lokal zuständig sind) nur für den IP-Adressbereich zulassen, für den sie als Resolver zuständig sind.

Ich habe selbst schon mitbekommen das von mir oder von Bekannten betriebene DNS-Server als Resolver misbraucht wurden, was den Traffic und die Last massiv in die Höhe trieb. Aus diesem Grund habe ich auch vor einiger Zeit angefangen meine DNS-Server dahingehend abzusichern. Der Test von www.DNSreport.com umfasst seit neuestem den Test, ob die DNS-Server für alle Clients rekursive Abfragen erlauben. Damit kann man seinen eigenen Server sehr leicht auf diese Schwachstelle testen. Um sie abzuschalten, geht man in Bind 9 (auf Debian GNU/Linux, andersfalls kann es sein das eine andere Konfigurationsdatei benutzt werden muß) wie folgt vor:

/etc/bind/named.conf.options


// In dieser ACL kann man durch Semikolon getrennt
// alle Netze eintragen, die diesen DNS-Server als
// Resolver benutzen dürfen
acl meinerechner { 192.168.1.1/24; };

options {
   [...]
   allow-recursion { meinerechner; };
   [...]
}

Plage PHP SMTP-Injection

In den letzten Wochen haben sich wieder die PHP SMTP-Injection Angriffe (auch bekannt als „mail injection“ oder „command injection“) auf meinen Webservern gehäuft. Dieses Mal konzentrierten sich die Angriffe auf osCommerce Installationen. Das Skript contact_us.php selbst und damit vermutlich auch die darin verwendete tep_mail Funktion sind für SMTP-Injection anfällig. Ich habe für contact_us.php folgenden Patch benutzt um die Sicherheitslücke in allen osCommerce Installationen zu schließen und war hoffentlich erfolgreich.

Weiterlesen

PHP mail() anfällig für SMTP-Injection

In der letzten Woche gab es verstärkt Angriffe gegen Formmail-Skripte. Die erste Welle gegen einen meiner Server nutze einen Fehler in einem Perl Skript eines Kunden aus. Die zweite Welle wurde erstaunlicherweise gegen PHP-Skripte gefahren, die nach bisherigen Erkenntnissen eigentlich nicht angreifbar waren. Eine Analyse des Angriffs offenbarte eine Schwäche in der PHP mail() Funktion, die sich ausnutzen läßt, wenn man dem Parameter additional_headers ungeprüftes Userinput übergibt. Es ist dann möglich den Mail-Header enden zu lassen und einen eigenen Text in den Body (und auch zusätzliche Cc und Bcc Empfänger) einzufügen. Die Attacke ist unter dem Link mail_with_checks Funktion näher beschrieben. Desweiteren gibt es dort auch eine Abhilfe.