June 2015 Archives

Malware in Bilddateien finden

Es ist ein Alptraum. Die Liveumgebung deines Kunden wurde gehackt und du weisst nicht, wie genau und welche Daten gestolen wurden. Schnell muss also untersucht werden, wo die Schwachstelle liegt um solche Angriffe in Zukunft besser abzufangen. Natürlich gibt es verschiedene Wege sich Zugang zu einer Liveumgebung zu verschaffen. In diesem Post möchte ich nur kurz darauf eingehen, wie mittels Bilddateien beliebiger Code eingeschleust werden kann.

Wie auf Snapfast und Sucuri beschrieben, kann beliebiger Code in EXIF von Bilddateien untergebracht werden. Oft genügt schon ein einfaches Script um einen neuen Administrator account zu erstellen. Alles weitere passiert dann im Hintergrund, oft unerkannt.

Leider hilft ein svn status oder git status nicht um geänderte Dateien zu erkennen, denn oft sind Verzeichnisse wie /media/ nicht versioniert.

Hier ein einfacher Befehl wie du solche Bilddateien mit “find” aufspüren kannst.

$ cd /var/www/{{{MAGENTO}}}/
$ find . -iregex '.*\.\(jpg\|gif\)' -exec grep -o -P 'base64_decode' {} \;

1 2	$ cd /var/www/{{{MAGENTO}}}/ $ find . -iregex '.*\.$jpg\\|gif$' -exec grep -o -P 'base64_decode' {} \;

Sollten Dateien auf dem Produktivsystem infiziert sein, bekommst du folgendes Suchergebnis.

Binary file ./media/test.jpg matches

1	Binary file ./media/test.jpg matches

5 praktische Beispiel für die tägliche Arbeit mit Magento

1. Sicherung von media/catalog

So erstellst du eine Sicherung von media/catalog ohne dem /cache/ Verzeichnis.

$ cd /var/www/{{{MAGENTO}}}/media/
$ tar -czf ~/catalog.tar.gz catalog --exclude 'catalog/product/cache/*'

1 2	$ cd /var/www/{{{MAGENTO}}}/media/ $ tar -czf ~/catalog.tar.gz catalog --exclude 'catalog/product/cache/*'

Das gleiche mit dem aktuellen Datum im Dateinamen.

$ tar -czf ~/"catalog_$(date '+%Y%m%d').tar.gz" catalog --exclude 'catalog/product/cache/*'

1	$ tar -czf ~/"catalog_$(date '+%Y%m%d').tar.gz" catalog --exclude 'catalog/product/cache/*'

2. Dateien ohne Berechtigungen für Apache

So findest du Dateien welche nicht die nötigen Berechtigungen für Apache besitzen. Das macht Sinn wenn du Berechtigungsprobleme früh erkennen möchtest. Zum Beispiel Schreib- oder Leseberechtigungen bei Dateien oder Verzeichnissen für diverse Upload Funktionen.

$ cd /var/www/{{{MAGENTO}}}/
$ find . \! -group www-data \! -user www-data

1 2	$ cd /var/www/{{{MAGENTO}}}/ $ find . \! -group www-data \! -user www-data

3. SQL / CSV Dateien im Projektverzeichnis

Manchmal ist es keine gute Idee Datenbank Sicherungen oder andere exportierte Dateien mit sensiblen Informationen im Projektverzeichnis abzulegen. Je nach Sicherheitseinstellungen können solche Dateien von dritte heruntergeladen werden. Um mögliche Sicherungen auf dem Produktivsystem auffinden zu können, brauchst du nur ein einfachen ” find ” Befehl mit der Option ” iregex “.

$ cd /var/www/{{{MAGENTO}}}/
$ find -iregex '.*\.\(sql\|tar\|gz\|zip\|csv\)'

1 2	$ cd /var/www/{{{MAGENTO}}}/ $ find -iregex '.*\.$sql\\|tar\\|gz\\|zip\\|csv$'

4. Report Dateien der letzten 24 Stunden

$ cd /var/www/{{{MAGENTO}}}/var/report/
$ find . -type f -ctime -1

1 2	$ cd /var/www/{{{MAGENTO}}}/var/report/ $ find . -type f -ctime -1

Hier sind weitere Optionen fuer ” -ctime “.

# find files created greater than 24 hours ago
find . -type f -ctime +0

# find files created between now and 1 day ago
# (i.e., in the past 24 hours only)
find . -type f -ctime 0

# find files created less than 1 day ago
find . -type f -ctime -1

# find files created between 24 and 48 hours ago
find . -type f -ctime 1

# find files created more than 48 hours ago
find . -type f -ctime +1

# find files created greater than 24 hours ago

find . -type f -ctime +0

# find files created between now and 1 day ago

# (i.e., in the past 24 hours only)

find . -type f -ctime 0

# find files created less than 1 day ago

find . -type f -ctime -1

# find files created between 24 and 48 hours ago

find . -type f -ctime 1

# find files created more than 48 hours ago

find . -type f -ctime +1

5. Logdateien leeren

Schnell wachsende Logdateien wie system.log oder exception.log können eine Ursache für einen Serverausfall sein. Mit Hilfe von ” truncate ” kannst du log Dateien ohne Risiko auf deinem Produktivsystem leeren.

$ cd /var/www/{{{MAGENTO}}}/var/log
$ truncate -s 0 system.log

1 2	$ cd /var/www/{{{MAGENTO}}}/var/log $ truncate -s 0 system.log

Wenn du nicht alles entfernen möchtest, kannst du auch einen Teil für die Fehlersuche behalten.

$ truncate -s 10M system.log

1	$ truncate -s 10M system.log

Praktische Beispiele für deine Magento Logdatei Analyse

Verbessere deine wöchentliche Logdatei Analyse mit ein paar einfachen ” grep ” Befehlen. Verwende diese vor jedem Rollout um sicher zu gehen, dass dein Code einwandfrei funktioniert und keine Fehlermeldungen generiert. Um bei grösseren Logdateien die Übersicht zu behalten, kannst du mit ” tail ” die letzten 1000 Zeilen überprüfen, oder zunächst einfach mit ” wc -l ” schauen wie hoch die Anzahl an Fehlermeldungen überhaupt ist.

Zähle die Resultate mit ” wc -l ” am Ende.

$ grep -oi 'undefined index' system.log | wc -l

1	$ grep -oi 'undefined index' system.log \| wc -l

Zeige die letzten 1000 Zeilen von system.log mit ” tail -n 1000 ” an.

$ tail -n 1000 system.log | grep -i 'undefined index' system.log

1	$ tail -n 1000 system.log \| grep -i 'undefined index' system.log

1. System.log

1.1 Zugriffe auf ein Array mit einem Key welcher nicht existiert

$ grep -i 'undefined index' system.log

1	$ grep -i 'undefined index' system.log

1.2 Zugriff auf eine Variable welche nicht definiert ist

$ grep -i 'undefined variable' system.log

1	$ grep -i 'undefined variable' system.log

1.3 Debug Ausgaben mit Mage::log() generiert

$ grep -i 'debug' system.log

1	$ grep -i 'debug' system.log

1.4 Diverse fehlgeschlagene Versuche eine Datei oder ein Verzeichnis zu erstellen oder manipulieren

$ grep -i 'permission denied' system.log

1	$ grep -i 'permission denied' system.log

1.5 Falsch definierte oder nicht existierende Template Dateien

$ grep -i 'not valid template file' system.log

1	$ grep -i 'not valid template file' system.log

1.6 Fehler bei Zugriff auf ein Objekt

$ grep -i 'trying to get property of non-object' system.log

1	$ grep -i 'trying to get property of non-object' system.log

1.7 Parameter an eine Funktion nicht korrekt übergeben

$ grep -i 'missing argument' system.log

1	$ grep -i 'missing argument' system.log

1.8 Ungültige Variable an eine Schleife übergeben

$ grep -i 'invalid argument supplied' system.log

1	$ grep -i 'invalid argument supplied' system.log

Alles mit einmal finden:

$ cat system.log | egrep -i '(debug|notice: undefined|permission denied|not valid template file|trying to get property of non-object|missing argument)'

1	$ cat system.log \| egrep -i '(debug\|notice: undefined\|permission denied\|not valid template file\|trying to get property of non-object\|missing argument)'

2. Exception.log

2.1 Generelle Probleme mit XML Dateien

$ grep -i 'xml schema' exception.log

1	$ grep -i 'xml schema' exception.log

2.2 Spezifische Probleme mit dem Authorize.net Gateway

$ grep -i 'paygate.*gateway' exception.log

1	$ grep -i 'paygate.*gateway' exception.log

2.3 Spezifische Probleme mit dem PayPal Gateway

$ grep -i 'paypal.*gateway' exception.log

1	$ grep -i 'paypal.*gateway' exception.log

2.4 Generelle Probleme mit CURL

$ grep -i 'curl' exception.log

1	$ grep -i 'curl' exception.log

Alle mit einmal finden:

$ cat exception.log | egrep -i '(xml schema|paygate.*gateway|paypal.*gateway|curl)'

1	$ cat exception.log \| egrep -i '(xml schema\|paygate.gateway\|paypal.gateway\|curl)'

3. Reports

Report Dateien auf der Konsole zu überprüfen ist mühsam. Mit den folgenden Befehlen kannst du schnell die neusten 10 Reports mit einmal durchsuchen.

3.1 MySQL Verbindungen

$ ls -1t | head -10 | xargs grep -i 'mysql server' -sl

1	$ ls -1t \| head -10 \| xargs grep -i 'mysql server' -sl

3.2 Invalid config field

$ ls -1t | head -10 | xargs grep -i 'invalid config field' -sl

1	$ ls -1t \| head -10 \| xargs grep -i 'invalid config field' -sl

3.3 Unable to read response

$ ls -1t | head -10 | xargs grep -i 'unable to read response' -sl

1	$ ls -1t \| head -10 \| xargs grep -i 'unable to read response' -sl

3.4 External urls redirect

$ ls -1t | head -10 | xargs grep -i 'external urls redirect' -sl

1	$ ls -1t \| head -10 \| xargs grep -i 'external urls redirect' -sl

Alle mit einmal finden:

ls -1t | head -10 | xargs  egrep -i '(mysql server|invalid config field|unable to read response|external urls redirect)' -sl

1	ls -1t \| head -10 \| xargs egrep -i '(mysql server\|invalid config field\|unable to read response\|external urls redirect)' -sl

4. Apache error logs

4.1 Fehlende Dateien im Projektverzeichnis

$ tail -n 1000 /var/log/httpd/{virtualhost}-error_log | grep -i 'file does not exist'

1	$ tail -n 1000 /var/log/httpd/{virtualhost}-error_log \| grep -i 'file does not exist'