Das Prinzip ist immer das gleiche und ich kann nicht begreifen, dass die Entwickler solcher CMS-Portale (wie Joomla usw.) nicht daraus lernen. Man muss es schon deutlich sagen, aber die Hacks beruhen immer auf schweren Sicherheitslücken, die die Programmierer fast schon fahrlässig in Ihre Software einbauen.
Logischerweise werden vermehrt Linux-Server gehackt, denn auf diesen laufen in aller Regel die PHP-basierten Produkte (Microsoft bietet mit ASP eine andere Sprache als PHP an, die bei weitem nicht so verbreitet ist wie PHP), die als sog. "GPL" (= freie Software mit Quellcode) ausgeliefert wird.
Da haben es Hacker ganz besonders einfach, denn sie brauchen nicht nach Passwörtern o.ä. zu fahnden, sondern sie studieren den Quellcode der Softwareprodukte und suchen gezielt die Schwachstellen, die eigentlich immer die gleichen sind (und deswegen nenne ich solche Programmierer "fahrlässig") und die eigentlich einfach zu vermeiden sind.
Der Kerntrick ist immer der gleiche: wer schon einmal ein Portal besucht hat, dem wird auffallen, dass die URLs im Browser oft "merkwürdig" lang sind, da stehen nicht nur die Domain- und Seitennamen drin, sondern da werden auch sog. "Parameter" mit übergeben, welche von einem zentralen Script ausgewertet werden und welches dann entscheidet, welcher Content angezeigt wird. Und genau beim "Zusammenbau" aus diesen Parametern wird sträflich geschludert - weil die Programmierer nur bestimmte Inhalte erwarten und außergewöhnliche Zeichenkombinationen nicht mit der nötigen Sorgfalt ignorieren. Das ist jetzt für den Laien schwer vorstellbar, aber es ist je nach Lücke möglich, komplette Teilscripts via solcher Parameter an das System zu übergeben, diese werden dann (leider) nicht ignoriert, sondern sträflich zusammengebaut und ausgeführt.
Meistens kommt dann noch dazu, dass viele Server falsch konfiguriert sind, dass der "Apache-Prozess" (das ist die eigentliche Serversoftware) mit viel zu hohen Rechten ausgestattet wird, obwohl er das eigentlich gar nicht bräuchte, und dann passiert das Unglaubliche, die "untergejubelten" Programmzeilen werden ausgeführt und durch die zu hohen Berechtigungen von Apache auf dem Webserver werden dann eine Art "Viren" eingeschmuggelt, nämlich kleinen Scripte auf der Serverplatte geschrieben, die ihrerseits dann wieder via Apache ausgeführt werden (der immer noch zu hohe Berechtigungen hat) und so kommt eins zum anderen und irgendwann ist das System gehackt und kaputt.
Das unfassbare daran: man braucht kein einziges Passwort zu knacken (das ist das, was so schwer zu verstehen ist), man benutzt einfach "um die Ecke" die UserID von Apache um den Server in die Knie zu zwingen.
Sicherlich stimmt es, dass es keine fehlerfreie Software gibt, aber diese o.g. Mechanismen sind so dermaßen ausgelatscht und bekannt, dass es nicht sein darf, dass immer wieder Programmiere diese Fehler neu machen. Es gibt in PHP sogar inzwischen eigenständige Funktionen, die die Parameterwerte "bereinigen" - nur: sie werden eben nicht benutzt. Und da hört mein Verständnis auf.
Ist so eine Lücke erst einmal aufgespürt, ist der Schaden gewaltig: weil inzwischen die Software auf x Rechnern installiert ist und jeder Admin nun gezwungen ist, ein Update einzuspielen. Jeder, der selbst eine eigene Seite führt, weiß aber, wie lästig, fehlerträchtig und unangenehm das ist. Denn im Vergleich zum Privat-PC, wo eine Software auch mal in die Binsen gehen darf, ist es auf einem Online-System für alle Beteiligten außerordentlich ärgerlich, wenn der Betrieb still steht. Und deswegen sind viele Server noch Monate und Jahre lang angreifbar, nachdem der Hack eigentlich schon längst bekannt und behoben wurde.
Warum machen Hacker sowas? Weil es ihnen Spass macht - Geld gibt es dafür nicht.
Grüße
Rainer
Thema: Hackerangriff auf Forum (Gelesen 1522 mal)