6. August 2015 10:52 by mati

Unser Webchat auf webchat.jabber.at wurde gehackt. Dies geschah am 17. Februar über das Ausnützen einer Sicherheitslücke in Jappix. Der Server und alle darauf gehosteten Webseiten (also auch diese Homepage und list.jabber.at) sind daher bis Samstag nicht erreichbar. Dieser Artikel beinhaltet alle Informationen über den Hack.

Was soll ich tun?

Falls du dich seit dem 17. Februar registriert hast oder dort dein Passwort geändert hast, empfehlen wir dir, dein Passwort zu ändern Der kompromittierte Server speicherte keine Benutzerdaten (also z.B. dein Passwort, deine Kontakte, etc.), aber bei der Registrierung (bzw. beim Passwort neu setzen) via werden Passwörter über diesen Server geleitet. Wir haben keine Anhaltspunkte dafür gefunden, dass die AngreiferInnen auf diese Daten zugreifen konnte, aber zur Sicherheit raten wir trotzdem dazu, das Passwort zu ändern.

Was ist genau passiert?

Achtung: Dieser Teil ist natürlich sehr technisch. Wenn dich die technischen Details nicht interessieren, kannst du ihn getrost ignorieren :-). Der gehackte Server war unser "HTTP Host", auf dem die meisten zu jabber.at zugehörigen Seiten liefen. Das heißt webchat.jabber.at, stats.jabber.at und list.jabber.at. Nicht auf dem Server liefen diese Website und unsere APT repositories. Der Webchat auf webchat.jabber.at war eine Jappix-Installation. Die Datei server/file-share.php ist ein Skript, dass es im Endeffekt erlaubt, anonym Dateien hoch zu laden. Nachdem die Variable $user (siehe Zeile 39) in keiner Weise überprüft wurde, konnte jedeR Dateien in jedes Verzeichnis hoch laden, für die der Webserver Schreibrechte hatte. Der/Die AngreiferIn war außerdem in der Lage den Dateinamen vorzugeben, wie genau sind wir uns aber noch nicht ganz sicher. Diese Kombination erlaubte es, PHP skripte und .htaccess-Dateien in neue Verzeichnisse hoch zu laden, die PHP-Skripte konnten dank der .htaccess-Dateien auch ausgeführt werden. Damit hatte der/die AngreiferIn effektiv Shell-access (mit den Rechten des Webservers) auf dem Server. Das Skript wurde bereits am 17. Februar hoch geladen. Wir haben keine Anhaltspunkte dafür gefunden, dass damit Root-Rechte erlangt wurden, aber natürlich könnten auch längst alle Spuren verwischt sein.

Auf welche Daten konnte zugegriffen werden?

Falls der/die AngreiferIn keine Administrator-Rechte erlangte (worauf derzeit alles hindeutet), konnten keine relevanten Daten abgerufen werden. Sowohl als auch list.jabber.at rannten in separaten Prozessen mit eigenen Systemaccount, ihr Quellcode (bzw. die Konfiguration) war nur für den entsprechenden Account lesbar. Falls doch Root-Rechte erlangt wurden, könnte die XMLRPC Schnittstelle von ejabberd genutzt worden sein. Damit könnten nach belieben neue Konten registriert, Passwörter neu gesetzt, Passwörter geprüft ("Ist X das korrekte Passwort?"), Konten gelöscht oder eine komplette Nutzerliste geladen worden sein. Die XMLRPC Schnittstelle erlaubt keinen Zugriff auf sensitive Daten wie deine z.B. deine Kontaktliste. Unsere Log-Dateien geben keinen Hinweis darauf, dass diese Möglichkeit genutzt wurde. Die Homepage speichert auch E-Mail Adressen der BenutzerInnen. Sollten Root-Rechte erlangt worden sein, hätten diese auch gelesen werden können. Sollten wir dafür je einen Hinweis dafür finden, werden wir separat darauf hinweisen.