CMS Gehacked, maar Hoe? - Softwareontwikkeling

maandag 22 augustus 2005 00:11

Acties:

Evil Inside

Topicstarter

Hallo,
Ik ben de beheerder van het serverpark van de regionale scholen gemeentschap knip. We hebben een tijdje geleden een website laten maken door een 'bedrijfje'. Het is opzich wel een aardig systeem, maar laatst is het gehackd door een 14 jaar oude leerling (waarschijnlijk scriptkiddie, maar dat ter zijde). Het heeft het login systeem weten te bypassen met een simpel stukje java. Hij heeft het ons keurig gemeld, maar hij wil niet vertellen hoe hij het precies heeft gedaan, omdat het volgens hem zo simpel was. Nu is en blijft dit een school, dus nu zullen er zodra het nieuwe schooljaar weer begint wel verhalen de rondte gaan en nog meer mensen gaan proberen het CMS te hacken, en waarschijnlijk praat deze jongen in questie z'n mond ook nog wel voorbij, en staat er voor we er erg in hebben de verschrikkelijkste onzin op de frontpage van de site. Nu willen we dit lek natuurlijk voor de aanvang van het nieuwe schooljaar gedicht hebben en zijn we hard op zoek naar de bron van dit kwaad. Ik heb zelf niet zo veel verstand van webgebeuren (ik ben de serverman), dus ik kom er niet uit. Ik heb de login pagina nu een paar keer bekeken en heb ht idee dat het in de html FORM codes ligt, aangezien ik wel eens wat gelezen heb over het bypassen van FORM codes met java. Er was op een site over hacking een txt file met wat info, maar daar kon ik niets mee (weg), verder dan dit een aantal vuln scanners google en GoT ben ik nog niet gekomen. Eenmaal hier aangekomen besefte ik dat er hier natuurlijk een mooi forum is. Weet iemand misschien hoe de beheer van de site gehacked is?
De url is weg
De code waar in van denk dat daar het probleem zit is gewoon simpele FORM code:

HTML:

    <td align="center" valign="middle"><form action="" method="post" name="inloggen" id="inloggen">
        <table width="300" border="0" cellpadding="5" cellspacing="0" class="centerframe">
          <tr align="center"> 
            <td colspan="2" class="centerframe-kopje"><img src="img/text_security_login.gif"></td>
          </tr>
          <tr align="center" valign="top"> 
            <td colspan="2"><font color="#FF0000" size="1"><strong></strong></font></td>
          </tr>
          <tr valign="top"> 
            <td align="right" class="centerframe-divider"><img src="img/text_gebruikersnaam.gif" width="124" height="13"></td>
            <td><input type="text" name="username" class="invoer"></td>
          </tr>
          <tr valign="top"> 
            <td align="right" class="centerframe-divider"><img src="img/text_wachtwoord.gif" width="98" height="12"></td>
            <td><input type="password" name="password" class="invoer"></td>
          </tr>
          <tr valign="top"> 
            <td class="centerframe-divider" width="200">  </td>
            <td><input name="imageField" type="image" src="img/button_inloggen.gif" width="70" height="16" border="0"></td>
          </tr>
        </table>
      </form> 
     </td>

[ Voor 21% gewijzigd door NMe op 22-08-2005 16:07 ]

(\__/)
(='.'=) This is Bunny. Copy and paste bunny into your
(")_(") signature to help him gain world domination

maandag 22 augustus 2005 00:15

Acties:

Cpt.Morgan

Ik weet heel weinig scripten en HTML, maar volgens mij kun je beter dat jochie nog eens op het matje roepen en hem duidelijk maken dat als er in de toekomst problemen zijn, hij daarvoor als eerste verantwoordelijk gesteld wordt, tenzij hij jullie verteld hoe het hem gelukt is.

maandag 22 augustus 2005 00:16

Acties:

Verwijderd

Ik zie niks raars in de 'form'. Het probleem ligt waarschijnlijk bij het valideren van de ingevoerde waardes. Het kan ook zijn dat de user/pass-combo zo simpel is dat hij te raden valt, kan dit het geval zijn?

maandag 22 augustus 2005 00:18

Acties:

NMe

Quia Ego Sic Dico.

Scan het CMS even op mogelijkheid voor cross site scripting en SQL injection attacks. Verder bevindt dit topic zich een beetje in een grijs gebied, aangezien je vraag ook te lezen is als "hoe hack ik dit en dat CMS?" Ik doe dit topic dus even dicht voor overleg.

'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.

maandag 22 augustus 2005 10:32

Acties:

NMe

Quia Ego Sic Dico.

Met dank aan gorgi_19: ga eens naar http://jouwdomein.nl/index.html?pageid=1131' (ja, inclusief die ' op het einde). Het is dus inderdaad SQL injectie die mogelijk is op je site. Ik heb intussen ook je link naar je site weggehaald, voor het geval dat er hier een stel overactieve scriptkiddies meeleest.

Verder ben ik bang dat ik dit topic dicht ga laten. Dit om de redenen die ik gister al noemde in je Schop een Modje-topic: wanneer we dit topic open laten, moeten we elk hierop lijkend topic ook open laten. Dit gat in de policy zou de weg vrij maken voor dezelfde 14-jarige scriptkiddies die jij ook al noemt.

Sowieso was het overigens handiger geweest om die leerling nogmaals op het matje te roepen en te dreigen met schorsing en/of politie. Misschien niet netjes tegenover iemand die je toch op de hoogte brengt van een beveligingslek, maar hacken blijft strafbaar, en met een drukmiddel had je hem wel aan het praten gekregen.

Mocht je trouwens je logfiles gaan scannen om te kijken wie er allemaal bezig is geweest om je te hacken, hou dan rekening met dit topic waarin je stelt dat je site hackbaar is, en vervolgens nog een link geeft ook. Er zijn vast wel een paar mensen geweest die het even geprobeerd hebben, en dat ga je in je logs terugvinden.

'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.