Server Support Forum
Security-Website-Tool in PHP

Zurück   Server Support Forum > >


Antwort
 
Themen-Optionen Thema bewerten
  #1  
Alt 07.08.2017, 14:44
Shoto Shoto ist offline
Registered User
 
Registriert seit: 10.2007
Beiträge: 24
Security-Website-Tool in PHP

Hallo Leute,

in 2012 haben wir ALPHASCRAMBLE entwickelt - zu dieser Zeit kam auch "stopthehacker" - von denen habe ich jetzt nicht mehr soviel gehört. Huschi hielt davon damals nichts, weil es über einen externen Scanner läuft.

Wir haben jetzt ALPHASCRAMBLE 2.0 veröffentlich und damit auch eine FREEWARE Version. Entgegen "stopthehacker" läuft das Script bei euch lokal und ein weiterer Vorteil ist, das auch "neue Angriffe" erkannt werden.

Ich würde mich freuen, wenn Ihr eure Meinung dazu mal schreibt und die Freeware Version testet/benutzt. Aktuell bereiten wir das Tool als Joomla-Komponente vor - sollte in circa 14 Tagen veröffentlicht werden. In Planung ist dies auch als PLESK Extension.

https://alphascramble.de

Grüße

Shoto
Mit Zitat antworten

  #2  
Alt 07.08.2017, 15:01
Benutzerbild von d4f
d4f d4f ist offline
Support Guru
 
Registriert seit: 04.2007
Ort: /dev/urandom
Beiträge: 4.265
d4f eine Nachricht über ICQ schicken d4f eine Nachricht über MSN schicken
"Marktneuheit". Spätestens da habe ich angefangen an der Seriosität zu zweifeln. Wir reden hier über ein IDS-System welches PHP-basiert aufgebaut ist und als serverseitige Lösung, Plugin oder von Drittanbietern reihenweise existiert.

Das "Alphascramble" System hat keinen (zumindest beworbenen) Anti-Tamperschutz. Wie soll es auch, wenn es im gleichen Konto und nur als Cronjob läuft?

Des Weiteren fehlt eine Erkennungsdatenbank für Malware wie einige andere IDS-Systeme es anbieten - man erhält also ellenlange false-positives bspw bei den automatischen Updates von Wordpress wo dann die echten Angriffe schlicht untergehen.

Das System erkennt im gesunden Zustand nur Änderungen wie es scheint, kann diese aber weder blockieren noch die Angriffe schützen. Man merkt es also erst nach der Tatsache - und liest es dann generell zusammen mit der Abuse-Meldung des Webhosters zusammen.

Bitte nicht falsch verstehen, Schutzsysteme sind durchaus lobenswert. Aber hier fehlt sowohl Neuheit als auch ein durchdachter Schutz. Das System ist nur solange sicher wie es von automatisierten Angriffswerkzeugen noch nicht erkannt wird, also solange das System recht unbekannt bleibt. Das dann als Non-plus-Ultra zu bewerben wird unbedarfte Anwender schnell in einer Sicherheit wiegen lassen die nicht besteht.
__________________
Einige Beiträge sind auf meinem Smartphone verfasst. Bitte Tippfehler und Abkürzungen entschuldigen!
Bitte keine ICQ/MSN/Skype Kontaktaufnahmen ohne vorherige persoenliche Absprache.
Mit Zitat antworten
  #3  
Alt 07.08.2017, 15:23
Shoto Shoto ist offline
Registered User
 
Registriert seit: 10.2007
Beiträge: 24
Hi!

Danke für dein Feedback.

Reihenweise existiert sowas? Nenne mir bitte was und ich werde umgehend "Neuheit" von der Website streichen. Mir ist bis dato eine solche Lösung nicht unter gekommen. Ich lasse mich da gerne eines besseren belehren.

Was nützen denn Erkennungsdatenbanken vor neuen Infizierungen? Ist die Realität nicht so, dass viele erst nach Tagen bemerken, dass die eigene Website gehackt wurde oder Schadscripte ihr Unwesen dort treiben? Genau DAS passiert dann eben NICHT mehr, weil man sehr schnell reagieren kann.

Der Hintergrund zur Software liegt genau darin: Bots verteilen über Lücken Beispielsweise einem CMS hackershells, die so erstmal überhaupt nichts machen, nur rumliegen. Nach teilweise Wochen kommen "informierte" oder andere Bots und fangen an diese Hackershells zu benutzen.

Wenn ich weiß, dass da was liegt, ist das generell schon mal ein Schutz (in der Vollversion würde das auch schon in Quarantäne verschoben werden). Und machst du selbst eine Veränderung an deiner Seite, Wordpress update, was auch immer, erstellst du direkt danach einen neuen Snapshot und du bekommst keine einzige false-positive Meldung.

Wenn du deinen Cronjob nur einmal die Woche darauf laufen lässt, erhältst du sicherlich erst die Meldung mit der Abuse Meldung deines Hosters. Sorry, aber das ist echt Quatsch...

Zur Sicherheit des Systems:
Es bleibt dir überlassen, wo du es installierst. Der Scanner braucht keine weiteren Rechte, du könntest den Benutzer davon ändern, oder extern überprüfen - ich denke Möglichkeiten gibt es da genug...

PS: Es ist auch echt immer wieder Schade zu sehen das generell erstmal alles "Daumen runter" ist (ohne konkret eine Alternative zu nennen (egal ob "reihenweise Anbieter" oder ansich für die Idee/das Problem)) - auch wenn es hier mit "Bitte nicht falsch verstehen" abmildert ist. Erstmal dagegen und negativ sehen "!Nicht Seriös!" - Warum? Sowas verstehe ich immer nicht. Ich will hier niemanden betrügen oder das Geld aus der Tasche ziehen...

Geändert von Shoto (07.08.2017 um 16:05 Uhr) Grund: Ergänzung PS
Mit Zitat antworten
  #4  
Alt 07.08.2017, 19:54
marce marce ist gerade online
Registered User
 
Registriert seit: 10.2009
Ort: Dettenhausen
Alter: 43
Beiträge: 1.325
AIDE, tripwire, snort, ...
Mit Zitat antworten
  #5  
Alt 07.08.2017, 23:35
Benutzerbild von Joe User
Joe User Joe User ist offline
Registered User
 
Registriert seit: 11.2008
Ort: Hamburg
Alter: 39
Beiträge: 3.836
Nach zwei Minuten überfliegen des Source der Freeware:

Mindestens zwei Sicherheitslücken, mehrere (Anfänger) Bugs, Inkompatibilitäten zwischen PHP-Versionen, unnötig redundanter Code, miserable HTML...



Ansonsten: Ein Shellscript mit rekursivem Aufruf von shasum und diff ist erheblich schneller und sicherer, gepaart mit Techniken wie zum Beispiel inotify wird es dann auch noch fast Realtime...


Fazit: Finger weg!
__________________
PayPal.Me/JoeUserWings for LifeWings for Life World Run
RootForum CommunityFreeBSD Remote InstallationFreeBSD Web Hosting System

„If there’s more than one possible outcome of a job or task, and one of those outcomes will result in disaster or an undesirable consequence, then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.
Mit Zitat antworten
  #6  
Alt 08.08.2017, 06:07
Shoto Shoto ist offline
Registered User
 
Registriert seit: 10.2007
Beiträge: 24
Zitat:
Zitat von marce Beitrag anzeigen
AIDE, tripwire, snort, ...
AIDE, snort - und wie setzt das ein stink normaler Webhosting-User bei zum Beispiele 1und1 ein??

ALPHASCRAMBLE ist ein PHP Script welches über eine URL aufgerufen wird, das sollte noch jeder hinbekommen.

tripwire ist natürlich erheblich seriöser wenn ich ein Demo oder den Preis (in Singapur) anfragen muss. Wird aber bestimmt nicht mehr als 20 Euro kosten und genauso funktionieren, daher werde ich noch heute den Text auf der Website mit Marktneuheit abändern. Ich bat ja um Feedback und daher mache ich das auch.
Mit Zitat antworten
  #7  
Alt 08.08.2017, 06:35
Shoto Shoto ist offline
Registered User
 
Registriert seit: 10.2007
Beiträge: 24
Daumen hoch

Zitat:
Zitat von Joe User Beitrag anzeigen
Nach zwei Minuten überfliegen des Source der Freeware:

Mindestens zwei Sicherheitslücken, mehrere (Anfänger) Bugs, Inkompatibilitäten zwischen PHP-Versionen, unnötig redundanter Code, miserable HTML...
Ja, selbstverständlich kannst du besseren Code schreiben. Getestet wurde das mit PHP 5.4, 5.6, 7.0 und 7.1 - läuft ohne Probleme. Danke fürs testen.

Zitat:
Zitat von Joe User Beitrag anzeigen
Ansonsten: Ein Shellscript mit rekursivem Aufruf von shasum und diff ist erheblich schneller und sicherer, gepaart mit Techniken wie zum Beispiel inotify wird es dann auch noch fast Realtime...
Exakt - weil genau diese Möglichkeiten und das Wissen dafür jeder x-beliebige Webseitenbetreiber hat. Toller Kommentar - aber besser ist daher noch dieser:

Zitat:
Zitat von Joe User Beitrag anzeigen
Fazit: Finger weg!
Ich fasse mal die Begründung dafür zusammen - da du diese ja leider nicht mitlieferst:

- UNSERIÖS!
(Freeware war schon immer unseriös!)

- Wir warten lieber auf Post vom Hoster oder Webseitenbesucher, die uns informieren, dass sie auf Pornoseiten umgeleitet werden
(Warum sollte man das auch vorher selbst in Ordnung bringen?)

- Bekannte PHP-Dateien sind in der Zukunft total unsicher
(deswegen ist auch schon seit Jahren Joomla oder Wordpress ausgestorben)

- reihenweise Software am Markt die Hinz und Kunz bedienen und einsetzen kann zum Schnäppchenpreis

- voller totaler Anfänger-Bugs (und das html erst - ach du lieber Gott!)
(man kann sich nicht erklären, warum es läuft)


Ja, Leute, dann danke fürs Gespräch. Man kann ja mal nachfragen. Vielleicht nicht im Forum der Supernerds. Aber ihr macht das Web im Handumdrehen schon sicherer.
Mit Zitat antworten
  #8  
Alt 08.08.2017, 09:33
Benutzerbild von d4f
d4f d4f ist offline
Support Guru
 
Registriert seit: 04.2007
Ort: /dev/urandom
Beiträge: 4.265
d4f eine Nachricht über ICQ schicken d4f eine Nachricht über MSN schicken
Zitat:
Reihenweise existiert sowas? Nenne mir bitte was und ich werde umgehend "Neuheit" von der Website streichen. Mir ist bis dato eine solche Lösung nicht unter gekommen
PHPIDS, PHP-RIPS, PHP-Filewatcher um ein paar zu nennen. Dabei gehen PHP-IDS und PHP-RIPS primär über direkte Threat-Bewertung statt über statische Analyse geänderter Dateien.

Das Ganze gibt es dann hübsch integriert noch als Plugin für bspw Wordpress (iThemes Security), Joomla (Eyesite), ...

Zitat:
Und machst du selbst eine Veränderung an deiner Seite, Wordpress update, was auch immer, erstellst du direkt danach einen neuen Snapshot
Wordpress aktualisiert sich bei Security-Updates über Cronjob selber damit man nicht auf manuelle Updates angewiesen ist und damit Sicherheitslücken schnell geschlossen werden können.

Zitat:
Was nützen denn Erkennungsdatenbanken vor neuen Infizierungen? Ist die Realität nicht so, dass viele erst nach Tagen bemerken, dass die eigene Website gehackt wurde oder Schadscripte ihr Unwesen dort treiben?
Nicht lokale Erkennungsdatenbanken sondern von einem zentralen Anbieter gepflegt, ähnlich der extended Database für clamav oder CXS. Die eingesetzte Backdoor-Skripte ändern sich meist nur marginal so dass man diese leicht erkennen kann.




Zitat:
Wir warten lieber auf Post vom Hoster oder Webseitenbesucher, die uns informieren, dass sie auf Pornoseiten umgeleitet werden
Ich arbeite für einen Webhoster und kann aus Erfahrung sagen dass Kunden generell die Meldung von uns genau so schnell erhalten wie von eigenen Security-Systemen. Es sind mir sogar Fälle untergekommen wo populäre eigene Security-Systeme beim Angriff einfach gepatcht wurden (Ithemes Security).
Meistens erkennen Hoster-basierte Intrusion-/Firewall-Systeme böswillige Dateien sehr schnell und zuverlässig, nur in seltenen Fällen bleibt eine missbrauchte Seite lange unentdeckt.

Zitat:
Wenn du deinen Cronjob nur einmal die Woche darauf laufen lässt, erhältst du sicherlich erst die Meldung mit der Abuse Meldung deines Hosters. Sorry, aber das ist echt Quatsch...
Ehrlich gesagt, ich würde mir bei dem Arbeitstempo einen neuen Webhoster suchen

Zitat:
er Scanner braucht keine weiteren Rechte, du könntest den Benutzer davon ändern, oder extern überprüfen
Ein getrennter Benutzer hat in Webhosting-Umgebung nicht Zugriff auf deine Dateien, bei sauberer Webhosting-Trennung sieht er den eigentlichen Webspace-Nutzer dann nicht mal. FTP wäre tatsächlich eine (langsame) Lösung aber wird für viele Leute wegen der Traffic-Quotaberechnung leider wegfallen. Man könnte natürlich jedes Mal über FTP ein neues Check-Skript in einen zufälligen Ort hochladen das dann die Integrität des Hauptskriptes überprüft. Dies liesse sich aber auch via auto_prepend_file umgehen, ein perfekter Schutz ist es also nicht ohne weiteres.

Zitat:
Warum? Sowas verstehe ich immer nicht. Ich will hier niemanden betrügen oder das Geld aus der Tasche ziehen...
Zitat:
Vielleicht nicht im Forum der Supernerds. Aber ihr macht das Web im Handumdrehen schon sicherer.
Es geht hier nicht um Daumen-runter oder "schlechtmachen". Viele im Forum, ich inklusive, haben uns sehr lang und sehr intensiv mit dem Thema beschäftigt und auch eigene Lösungen dahingehend zu entwerfen versucht. Generell scheitert man als Entwickler aber immer an den gleichen inherenten Einschränkungen und der Betreiber glaubt seine Seite sei "unhackbar" weil er paar Skripte installiert hat. Direkt hinter den "ich kann kein Virus haben, ich hab Mac!" Kunden ist das eine der schwierigsten Zielgruppen bei der Aufräumung.
Negative Kritik bedeutet lediglich es steht dem Entwickler noch Arbeit an - leider ist IT-Security keineswegs ein rosiges und entspanntes Feld.
Als Anmerkung, mit Tripwire meint @marce nicht Tripwire Inc sondern das hier: https://sourceforge.net/projects/tripwire/

Schlusswort
Zitat:
gepaart mit Techniken wie zum Beispiel inotify wird es dann auch noch fast Realtime...
Dem Kunden der inotify über sein ganzes Webspace spannt würde ich schneller einen Fusstritt geben als er schauen kann
__________________
Einige Beiträge sind auf meinem Smartphone verfasst. Bitte Tippfehler und Abkürzungen entschuldigen!
Bitte keine ICQ/MSN/Skype Kontaktaufnahmen ohne vorherige persoenliche Absprache.
Mit Zitat antworten
  #9  
Alt 08.08.2017, 09:43
marce marce ist gerade online
Registered User
 
Registriert seit: 10.2009
Ort: Dettenhausen
Alter: 43
Beiträge: 1.325
Btw - wenn ich mir den Code richtig angeschaut habe - ein reiner Check auf Änderungsdatum und Dateigröße ist nicht sonderlich sicher.

Das Script mag "nett" sein für eine einzelne Instanz, die nur ich benutze - sobald aber externe Redakteure darauf herumturnen und ich Änderungen oder Erweiterungen nicht mehr zeitlich kontrollieren kann bekomme ich ggf. bei jedem Durchlauf einen false-positiv.
Mit Zitat antworten
  #10  
Alt 08.08.2017, 13:20
NM78 NM78 ist offline
Registered User
 
Registriert seit: 03.2008
Beiträge: 242
Naja, nach Lesen des (interessanten) Threads bekommt man als unbeteiligter Dritter aber wirklich das Gefühl hier fühlen sich einige der "Experten" persönlich angegriffen/beleidigt durch die Veröffentlichung von Shoto. Ein etwas entspannterer Umgang würden dem Forum sicher gut tun und im Idealfall sogar zur Verbesserung diverser Lösungen beitragen.

Persönlich denke ich, dass selbst eine noch nicht ganz ausgereifte Lösung besser ist als Nichts bzw. als sich auf den Hoster zu verlassen.

Ich kenne weder Shoto noch sein Tool, aber ich finde es super, dass er sich als Zielgruppe die Leute aussucht, die selbst keine Zeit oder Ressourcen haben sich zum Experten weiterzubilden um eine der vermeintlich besseren Lösungen zu nutzen. Wenn es so kompliziert ist, dass es nur wenige nutzen können ist es ebenso keine gute Lösung.

Unter gut verstehe ich Heutzutage, dass man es kauft, installiert, einen Knopf drückt und sich dann in 99% der Fälle nicht mehr damit befassen muss...
Mit Zitat antworten
  #11  
Alt 08.08.2017, 14:13
Benutzerbild von DeaD_EyE
DeaD_EyE DeaD_EyE ist offline
Registered User
 
Registriert seit: 07.2010
Ort: Hagen
Alter: 34
Beiträge: 1.790
DeaD_EyE eine Nachricht über ICQ schicken
Mich würde mal eher interessieren, welche Anfänger-Fehler bemängelt werden? Kenne mich zwar mit PHP nicht aus, bekomme aber schon einen Blutsturz, wenn ich das Statement global sehe, aber vielleicht ist das bei PHP ja die übliche Vorgehensweise.
__________________
>>> join('white', 'red', 'yellow', 'black')
'freedom'
Mit Zitat antworten
  #12  
Alt 08.08.2017, 14:26
Benutzerbild von d4f
d4f d4f ist offline
Support Guru
 
Registriert seit: 04.2007
Ort: /dev/urandom
Beiträge: 4.265
d4f eine Nachricht über ICQ schicken d4f eine Nachricht über MSN schicken
Zitat:
bekommt man als unbeteiligter Dritter aber wirklich das Gefühl hier fühlen sich einige der "Experten" persönlich angegriffen/beleidigt durch die Veröffentlichung von Shoto.
Ich kann natürlich nur für mich reden und als Experte würde ich mich im Feld der IT-Sicherheit nicht benennen sondern eher als Enthusiast.
Ich fühle mich allerdings auch nicht persönlich angegriffen sondern reagiere lediglich auf die Marketing-Art des Produktes. Hier werden grundlegende Funktionen der IT-Sicherheit als Marktneuheit beworben, es fehlt also an Marktrecherche. Hier werden Funktionen als perfekter Schutz beworben welche -aus gutem Grund- generell nur noch als Sekundärschutz eingesetzt werden. Hier werden inherente Probleme ignoriert oder kleingeredet.

Ja, ich mag dass sich jemand die Mühe macht für den "kleinen Betreiber" einer eigenen Webseite Schutzsysteme zu bauen welche nicht an den Webhoster gekoppelt sind. Ja ich mag dass dieses System leicht zu bedienen sein soll.
Aber ja, ich kritisiere auch inherente Probleme des Systems - weil ich jeden Tag mit Kunden zu tun haben welche Schutzsysteme einsetzen und dann ihre Webseite vernachlässigen weil "das Programm passt ja auf".
Kann der Entwickler für die Faulheit der Leute? Nein. Soll man ein noch nicht ausgereiftes System gewinnbringend auf dem Markt positionieren und dann beleidigt reagieren wenn Leute die sich in der Thematik auskennen negativ reagieren? Auch nein.

Wir reden hier nicht über ein Freizeitprojekt zum Wohl der Menschheit sondern über ein kommerzielles Produkt welches in abgespeckter Version kostenfrei ist. Entsprechend ist auch die Kritik angepasst.

Zitat:
Kenne mich zwar mit PHP nicht aus, bekomme aber schon einen Blutsturz, wenn ich das Statement global sehe
Mit dem eigentlichen Quellcode habe ich mich selber noch nicht auseinandergesetzt aber global ist weder inherent schlecht noch böse. Ähnlich goto kann es Effizient, Simplizität und Interkommunikation von Modulen sehr vereinfachen wenn es richtig eingesetzt wird.
__________________
Einige Beiträge sind auf meinem Smartphone verfasst. Bitte Tippfehler und Abkürzungen entschuldigen!
Bitte keine ICQ/MSN/Skype Kontaktaufnahmen ohne vorherige persoenliche Absprache.

Geändert von d4f (08.08.2017 um 14:29 Uhr)
Mit Zitat antworten
  #13  
Alt 08.08.2017, 20:01
Benutzerbild von danton
danton danton ist offline
Registered User
 
Registriert seit: 04.2009
Ort: Ennigerloh
Alter: 44
Beiträge: 2.369
Security-Website-Tool in PHP
Zitat:
Zitat von NM78 Beitrag anzeigen
Ich kenne weder Shoto noch sein Tool, aber ich finde es super, dass er sich als Zielgruppe die Leute aussucht, die selbst keine Zeit oder Ressourcen haben sich zum Experten weiterzubilden um eine der vermeintlich besseren Lösungen zu nutzen.
Das Problem dabei ist, dass dieses Script eine trügerische Sicherheit vortäuscht, da es nur einen sehr einfachen Schutz bietet, aber die Webseiten den Eindruck eines sehr umfangreichen Schutzes vermittelt. Viele PHP-Scripte erstelen neue Dateien, löschen Dateien oder ändern diese - und ganz bewußt und gewollt. Für Laien stellt sich da die Frage, ist das ein False Positive oder ein echter Angriff.
Wenn ich den Quellcode der Freeware richtig interpretiert habe, werden Dateiänderungen anhand der Dateigröße und Modifiziert-Datum ermittelt - beides IMHO umgehbar. Dateiänderungen lassen sich viel besser über einen Hashwert erkennen.
Bezüglich Sicherheit sag ich nur: Traue keinen vom Nutzer übermittelten Daten
__________________
Event-List - PHP/MySQL-Veranstaltungskalender für die eigene Homepage
Mit Zitat antworten
Antwort

Lesezeichen


Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist aus.
HTML-Code ist aus.

Gehe zu

Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
Plesk 12.0.18 - Ubuntu 14.04.3 - Plesk Update Fehler catwiesel Plesk 9 13.09.2015 17:18
Upload failed: Server returned HTTP-Status #500 eichenkranz Virtuelle Server 25 12.04.2013 16:12
500 Internal Server Error Ephram Plesk 2 11.05.2010 08:34
Log file, was ist falsch konfiguriert? flug Webserver 8 27.11.2007 15:29


Security-Website-Tool in PHP
Security-Website-Tool in PHP
Security-Website-Tool in PHP Security-Website-Tool in PHP
Powered by vBulletin® Version 3.8.11 (Deutsch)
Copyright ©2000 - 2017, vBulletin Solutions, Inc.
Search Engine Optimisation provided by DragonByte SEO (Pro) - vBulletin Mods & Addons Copyright © 2017 DragonByte Technologies Ltd.