Het Internet is al jaren uit de kinderschoenen en een van de gevolgen daarvan is dat het een stuk onveiliger is geworden. Niet alleen heeft de gebruiker tal van mogelijkheden (zoals een online Gouden Gids of internetbankieren), de crimineel kan deze mogelijkheden ook benutten. Was de hacker vroeger nog een onschuldig kwaad, vandaag kan digitale criminaliteit verstrekkende gevolgen hebben.

In dit artikel proberen we duidelijk te krijgen hoe noodzakelijk een goed beveiligde website eigenlijk is.

Websites bekladden

Een alledaags voorbeeld: Een hacker breekt in op een website en vervangt de voorpagina met zijn eigen bericht - een fenomeen dat website defacement wordt genoemd. Het is een van de vele voorkomende voorbeelden van slecht beheer van de website.

Afgelopen maanden zijn honderden al dan niet duidezenden website het slachtoffer geweest van defacement. Een website van de Verenigde Naties, een website van Microsoft en de Joomla! homepage om er maar een paar te noemen.

In de meeste gevallen zijn de daders zogenaamde "script-kiddies", die met behulp van geautomatiseerde applicaties honderden websites aanvallen. De redenen zijn vaak een hunkering naar aandacht of roem, maar in sommige gevallen spelen ook politieke of zelfs financiele redenen een rol.

De kosten

Voor deze hackers is het aanvallen en "defacen" van een website een peuleschil, een "geintje". Maar het kan voor een bedrijf rampzalig zijn: Zodra de bedrijfswebsite tijdelijk is vervangen met een hacker bericht zal vroeg of laat natuurlijk werk moeten worden verricht om de schade te herstellen, en daar komen kosten bij kijken.

Maar waar veel bedrijven niet aan denken zijn de indirecte kosten. Als de website tijdelijk niet bereikbaar is, of als de website vervangen is met het logo van de hacker, zullen klanten misschien op zoek gaan naar een ander. De kosten rondom imago schade en eventuele gederfte inkomsten kunnen heel snel stijgen.

Het uitvallen van de website veroorzaakt direct verlies aan inkomsten en geeft een hoop rumoer in de eigen klantenkring.

Slechte configuratie

Het probleem van website defacement zit vaak in slecht geconfigureerde webservers en/of webapplicaties (zoals de bekende content management systemen Joomla! en Drupal). Deze systemen  zijn op zichzelf veilig, mits ze juist worden geconfigureerd.

Met een kleine ingreep is de website vaak direct op slot te zetten zodat de hackpogingen van script kiddies stranden. Het is juist de onkundigheid bij menig hosting provider en website bouwer, die fataal kan zijn.

Slecht geschreven plugins

Vaak laten standaardinstellingen van de webserver of de webapplicatie qua beveiliging te wensen over - een typisch voorbeeld is een standaard wachtwoord om in te loggen. Ook qua gebruikersrechten laat de configuratie vaak te wensen over. Maar de meeste gaten in de beveiliging worden gevormd door de slecht geschreven plugins van webapplicaties. Een webapplicatie als Joomla! of Drupal is geschreven door ervaren programmeurs die verstand van beveiliging, maar de kleine uitbreiding die hier boven op geinstalleerd kan worden is daarom niet perse veilig.

De hacker kan dergelijke derde partij extensies vaak gemakkelijk misbruiken om toegang te krijgen tot de webapplicatie zelf. Met een goed geschreven hackapplicatie kost het defacen van een website op deze manier slechts enkele seconden.

Upgrades

Het is daarom zeker te adviseren regelmatig security upgrades te installeren: Zorg er altijd voor dat de webapplicatie met de meest recente software draait. Bij het installeren van extra uitbreidingen is het altijd verstandig de code te laten evalueren - door jouzelf of door derden. Voorkomen is immers beter dan genezen.

Google is your best friend
... and your worst ememy!

Om te hacken is vaak alleen maar een webbrowser nodig. Via zoekmachines zoals Google of Live is het zeer eenvoudig om websites met security lekken op te sporen door een bepaalde zoekterm in te vullen. In het meerendeel van alle gevallen gaat het hierbij om een bepaalde tekenreeks in de URL. Via deze weg vinden script-kiddies vaak duizenden websites die zeer eenvoudig te hacken zijn.

Voor de zogenaamde SQL injections of XSS aanvallen zijn kant-en klare handleidingen beschikbaar - iedereen kan de was doen. Een hacker kan via speciale scripts ("exploits") een lekke beveiliging eenvoudig omzeilen om bijvoorbeeld gebruikersgegevens en wachtwoorden te achterhalen.

Zodra dergelijke lekken worden gerapporteerd is het natuurlijk te hopen dat de ontwikkelaars een nieuwe veiligere versie van de software beschikbaar maken, maar tegen de tijd dat dat gebeurt, zijn er vaak al honderden websites gehackt.

Do not panic!

Zodra een website is gehackt, is het allerbelangrijkste advies: Do not panic! Raak niet in paniek. Een adequate sporenanalyse is heel belangrijk. Het is niet alleen belangrijk om te weten waar het fout ging om een herhaling van de hack te voorkomen, maar ook om te weten wat de hacker precies heeft veranderd.

Het kan zijn dat de hacker de website als opstapje heeft gebruikt om de gehele webserver te hacken. Een goede analyse van logbestanden is hierom onmisbaar. In sommige gevallen is het zelfs mogelijk de dader zelf te achterhalen wat cruciaal is bij een aangifte bij de politie.

Mocht een analyse van Apache logs te complex zijn, dan is het verstandig een professionele partij hiervoor in te huren.

Noodzaak tot een goede security

De kosten van een gehackte website kunnen vaak in de duizenden euro lopen. Denk maar eens aan webwinkels die inkomsten mislopen omdat een crimineel de prijzen heeft kunnen aanpassen. Of een bedrijf wiens klantgegevens op straat komen te liggen en op die manier is diskrediet wordt gebracht - een imago schade die resulteert in dalende inkomsten.

Veiligheid is altijd al een ondergeschoven kindje geweest. Er wordt vaak gedacht dat de eigen website niet belangrijk genoeg is om gehackt te worden. Deze verwaarlozing van security resulteert in de meeste gevallen vroeg of laat in een gehackte website.

Het is daarom zaak beveiliging bijtijds aan te pakken. Security speelt nu en in de nabije toekomst. Webapplicaties brengen veel mogelijkheden met zich mee maar ook een hogere verantwoordelijkheid. Wees niet te laat!

Ray Bogman is mede-oprichter van Jira ICT. Ray is werkzaam als Joomla! en Magento consultant en implementor, en heeft dankzij een jarenlange ervaring als security manager in het serverpark van KPN ook een gedegen ervaring opgebouwd op het gebied van systeembeheer en webserver-beveiliging. Volg Jira ICT op twitter.

Het beveiligen van een Joomla! website is geen makkelijke en/of eenmalige taak. Er moet constant geupdate worden (Joomla! core updates en gebruikte componenten) en er is veel verstand van zaken nodig (DB aanpassingen, UNIX rechten, etc). Daarnaast is er ook nog sprake van een inherente handicap voor beveiligers: een aanvaller hoeft namelijk maar 1 gat te vinden terwijl de verdediger zijn hele "omheining" in de gaten moet houden.

Het is daarom verstandig om rekening te houden met het feit dat er vroeg of laat een probleem zal optreden. Na een hack, worden er in 9 van de 10 gevallen, een of meer van de volgende aanpassingen aan een site gemaakt:

• Gebruikers worden doorgestuurd naar een andere site (via een stukje HTML of een aangepast .htaccess). http://forum.joomla.org/viewtopic.php?f=267&t=341081
• Lijsten links zijn verwerkt in de content/template; Link spam bedoelt voor Link Farms/Link Clique's om andere sites hoger in Google te krijgen. http://www.seobythesea.com/?p=1248
• Malware installeren bij de gebruikers (via aangepaste HTML). http://brian.teeman.net/internet-applications/joomla-web-site-hacked.html en http://www.avast.com/eng/avast-and-forum-users-combine-to-defeat-website-hackers.html
• Defacement; complete vervanging van je template; voor de lol/eer je site veranderen. http://www.youtube.com/watch?v=0Gd4jrzVKyI

Al deze veranderingen hebben gemeenschappelijk dat de broncode van de site verandert. Als we dus dit soort veranderingen zouden kunnen detecteren dan is het mogelijk deze hacks tijdig te herkennen.

Hoe Werkt Het

De meest gebruikte manier om een bestand op veranderingen te controleren is de zogenaamde hash functie. Een hash functie is een speciale functie die als eigenschap heeft dat een kleine verandering in de input, een groot effect heeft op de output. Een andere eigenschap van een hash functie is dat deze maar een kleine waarde oplevert (de zogenaamde hash) ongeacht de lengte van de invoer.

Door de inhoud van een bestand in een hash-functie te stoppen, kunnen we dus een kleine waarde uitrekenen (een hash) die verandert als de inhoud verandert. Als we dus op 2 verschillende tijdstippen een hash uitrekenen, en deze vergelijken, dan kunnen we gemakkelijk zien of er veranderingen zijn aangebracht in de tussentijd. Immers een kleine verandering in de invoer (het bestand) heeft een groot effect op de uitvoer (de hash). Als er veranderingen zijn aangebracht in de tussentijd dan zijn de hashes verschillend.

Dit principe laat zich gemakkelijk generaliseren tot hele directories. Neem van elke bestand een hash en plak deze achter elkaar. Maak van deze lang string zelf weer een hash en sla deze op. Als 1 van de bestanden verandert zal de hash van dat bestand veranderen. Hierdoor verandert de grote string en dit zorgt ervoor dat de uiteindelijke hash ook weer verandert. Dit werkt, want een van de eigenschappen van de hash functie is dat een kleine verandering in de invoer een groot effect heeft op de uitvoer. Hierdoor zorgt een eventuele verandering voor een waterval van veranderingen die ervoor zorgt dat als er ook maar 1 teken verandert is, er een totaal andere hash uitkomt.

De scripts

Een simpel hash controle systeem, dat op de hierboven geschetste manier werkt, zou kunnen bestaan uit 2 losse scripts. Een "Check" script dat in de te controleren sites staat en een centraal "Monitoring" script dat voor ons alle sites afgaat en de check scripts uitvoert (zie afbeelding). Hierdoor kunnen we vanuit een centrale locatie, meerdere sites in de gaten houden.

Het monitor script loop alle sites na en vergelijkt hun huidige hash met de vorige hash en rapporteert eventuele veranderingen. Uiteindelijk slaat het "monitor" script de laatst ingelezen hashes op zodat we deze de volgende keer kunnen gebruiken voor de vergelijking.

Het check script werkt door alle bestanden van 1 site af te lopen en voor elk bestand een hash waarde te berekenen. Al deze hashes worden gecombineerd tot 1 uiteindelijke hash en dit wordt als antwoord teruggegeven. Het script zal gebruik maken van de standaard PHP hash functie sha1.

Het is belangrijk dat het monitor script zelf niet "in het bereik" van een check script staat (d.w.z. in een directory staat onder de directory waarin het check script draait). Er treedt dan een probleem op met de tijdelijke opslag van de vorige resultaten, immers dit verandert elke keer! De scripts mogen dus wel op dezelfde server staan maar moeten wel in gescheiden stukken van het bestandssysteem staan.

Het Check Script

Het check script werkt door alle bestanden in een Joomla! instantie af te lopen en hiervan een hash te berekenen. Deze deel-hashes worden tot een eind-hash gecombineerd en dit wordt als antwoord opgeleverd. Niet alle bestanden en directories zijn interessant om mee te nemen in de check, bv. de logs en cache mappen zijn elke keer anders. We willen ook niet elke keer dat er een nieuwe plaatje is geüpload een melding krijgen. Het script moet dus de mogelijkheid hebben om bepaalde mappen en bestanden te negeren.

Een andere eigenschap die bepalend is voor het script is de zogenaamde open_basedir restrictie die vaak aanstaat. Deze restrictie zorgt ervoor dat een script alleen maar mag lezen in de directory waarin het is opgestart, en in de directories eronder. Het script zal dus moeten werken vanuit de root van de site die we in de gaten willen gaan houden.

Het check script begint daarom als volgt:

    // lijst van bestand/directory namen die niet moeten worden meegenomen
    // NB als bv. de vermelding cache word opgenomen en deze zou 2x voorkomen
    // als '/cache' en '/admin/cache' dan zouden deze allebij worden uitgesloten!
    // NB2 '.', en '..' moeten worden opgenomen zodat de functie "omhoog" loopt en
    // "vader" directories meeneemt
    $except = array(
        '.',
        '..',
        'images',
        'cache',
        'logs',
        'tmp'
    );
    // de directory waarin dit script wordt aangeroepen
    $root = dirname(__FILE__).'/';
    // deze constante bepaalt hoe groot de tussentijdse hash mag worden 
    $MAX_HASH_SIZE = 2048;

We definiëren allereerst een array met daarin bestands- en directory- namen die niet hoeven worden meegenomen in de check ($except), hierna lezen we de huidige directory in ($root) en definiëren we een maximale tussentijdse hash size ($MAX_HASH_SIZE). Vervolgens definiëren we een hulp-functie die de lijst met bestandsnamen gaat uitrekenen door recursief alle directories en sub-directories af te lopen.

    // een recursieve functie die alle bestands namen oplevert in een directory en zijn
    // subdirectories
    function listFiles($directory, $except = array('.','..')) 
        }
        // sluit de geopende directory weer netjes af
        closedir($handle);
        return $result;
    }

De recursieve listFiles functie gebruikt standaard PHP functies om de meegegeven directory ($directory) door te lopen. Voor elk item, dat niet in de $except array voorkomt, wordt er gekeken of het een file of een directory is: is het een file dan wordt het opgeslagen in de tussentijdse lijst met bestandsnamen, is het een directory dan wordt de listFiles functie (recursief) aangeroepen op de sub-directory. Daarna wordt het resultaat van de recursieve aanroep (alle bestanden in die subdirectory en eronder) meteen samengevoegd met de tussentijdse lijst. Als alle bestanden en sub-directories opgesomd zijn dan wordt de lijst opgeleverd als het eindresultaat.

Nu zijn we toe aan het maken van de uiteindelijke hash. Eerst vragen we de lijst met bestanden in de huidige directory op ( $files) en lopen hier vervolgens doorheen. We lezen dan voor elke file de inhoud in en rekenen hier een sha1 hash van uit. Deze hash wordt achter de tussentijdse hash geplakt.

    // lees alle bestanden in
    $files = listFiles($root, $except);
    // de uiteindelijke hash
    $hash = '';
    foreach($files as $file) 
    }
    // hash de tussentijdse hash zelf naar een hash
    $hash = sha1($hash);
    // geef de hash terug
    echo $hash;

Omdat elke hash uit 40 tekens bestaat wordt de tussentijdse hash al snel erg groot. Als de totale hash langer wordt dan $MAX_HASH_SIZE dan rekenen we hier zelf weer een hash van uit. Hierdoor wordt de totale hash 40 tekens lang en gebruiken we niet teveel geheugen. Als we alle bestanden gehashed hebben, dan hashen nog 1 keer de tussentijdse hash (om er netjes 40 tekens van te maken) en sturen deze als antwoord op.

Het Monitor Script

Het centrale monitor script stelt ons in staat om eenvoudige meerdere websites te checken en bespaart ons het nodige administratieve werk. We beginnen met het definiëren van een lijst met alle sites die we zouden willen checken. Deze lijst bevat simpelweg het URL (van de root, waar dus het check.php script staat) van de websites die we willen checken. Vervolgens definiëren we een functie die via de cURL bibliotheek het antwoord van het check script ophaalt en teruggeeft.

<html>
    <head>
        <title>Website Integriteits Check</title>
    </head>
    <body>
<?php
    // deze array bevat een lijst met sites die moeten worden geverifieerd
    // NB deze urls moeten eindigen met een '/'
    $sites = array(
        ...
    );
    
    // deze functie haalt met curl een 'check.php' hash op
    function check($url) 

Vervolgens lezen we de vorige hashes van de harde schijf en lezen deze in ($previous).

    // lees de vorige hashes in
    $hashes = file_get_contents('hashes.dat');
    // hebben we al eens eerder een verificatie gedaan?
    if($hashes == '')
        // er is nog nooit een check uitgevoerd, geef dit aan met null
        // zodat we straks een database zullen opbouwen
        $previous = null;
    else
        // lees de opgeslagen php array in en maak er een echte php array van
        $previous = unserialize($hashes);

Deze stap wordt bemoeilijkt door het feit, dat als het script voor het eerst draait, er nog geen hashes database is opgebouwd. We signaleren dit door $previous null te maken. Vervolgens lopen we langs alle sites in de $sites lijst en vragen de hash van die site op ($current).

    // de huidige hash resultaten
    $current = array();
    // haal voor alle sites een hash op
    foreach($sites as $site) 

Nu kunnen we de vorige resultaten vergelijken met de huidige. Wat weer wordt bemoeilijkt door het feit dat de 1e keer dat het script draait, er nog geen database is. De variabele die de vorige resultaten zou moeten bevatten is dan null gemaakt. Als we merken dat er geen resultaten zijn ($previous == null), dan slaan we de huidige resultaten op alsof het allemaal goed is gegaan. In dit geval zijn we meteen klaar.

    // is dit de eerste keer?
    if($previous == null)  else  else  else 
            }
        }
    }

Als we al wel een keer uitgevoerd zijn, en er dus resultaten zijn om te vergelijken, dan lopen we door alle huidige resultaten heen. We kiezen voor de huidige (en niet de oude) lijst want op die manier zullen nieuwe sites die zijn toegevoegd sinds de laatste keer, automatisch worden meegenomen.

Vervolgens kijken we voor elke hash die we opgehaald hebben of het een nieuwe of een oude site is. Als de site de vorige keer ook al bestond dan vergelijken we het huidige resultaat en het vorige. Als de 2 hashes overeenkomen dan is alles ok en zijn er geen veranderingen aangebracht in de broncode. Is de hash wel anders dan is er iets veranderd en geven we meteen een melding. Was de site nog niet bekend de vorige keer, dan hebben we nog niks om te vergelijken en slaan we de site simpelweg over.

Tot slot slaan we de huidige hashes op en geven we alle resultaten nog een keer netjes weer in een klein overzichtje.

    // bewaar de huidige resultaten voor de volgende keer
    file_put_contents('hashes.dat', serialize($current));
    // toon een simpel raport
    echo "Ok: $ok<br/>";
    echo "New: $new<br/>";
?>
    </body>
</html>

Verbeteringen

De scripts vormen de basis van een heel simpel check systeem dat op veel verschillende manieren kan worden uitgebreid. Er kan een wachtwoord aan het check script worden toegevoegd zodat niet iedereen zomaar een check kan uitvoeren. Het check script zou ook sommige database tabellen kunnen meenemen zoals bv. jos_users. Ook is het mischien interresant om niet een eind antwoord uit te rekenen maar alle tussentijdse hashes gewoon op te slaan, hierdoor wordt het mogelijk om te zien in welk bestand precies een verandering is opgetreden.

Het monitor script kan natuurlijk naar believen worden uitgebreid: meer user interface, meer geschiedenis, etc. Ook zou het monitor script met een al bestaand management console kunnen worden geintegreerd. Het monitor script kan natuurlijk ook middels een cron job periodiek worden uitgevoerd.

Ook kan het systeem uitgebreid worden met een simpel protocol dat het mogelijk maakt om fouten in het check.php script op te sporen. Zo is het in het huidige check script mogelijk dat wegens rechten problemen, geen enkele file echt ingelezen kan worden. Door het gebruik van @ is dit moeilijk te detecteren want het script zal wel degelijk een hash opleveren (allemaal hashes van een lege string). Een soortgelijk probleem kan zich ook voordoen bij de directories. Een simpel protocol en wat extra veiligheidschecks zouden het mogelijk maken deze problemen naar het monitoring script te sturen, die deze dan zou kunnen rapporteren.

Tot slot, stel ik alle code in dit artikel vrijelijk beschikbaar, maar het gebruik ervan is op eigen verantwoordelijkheid.

Download het monitor script. Download het check script.

Jillis ter Hove is mens sinds 1981 en programmeur sinds 1999. Als hij niet oude vrouwtjes de straat helpt over steken dan is hij plannen aan het maken om de wereld te veroveren. Volg Jillis op twitter of bezoek zijn website.

Zoals ieder jaar organiseert Packt Publishing ook dit jaar weer de Open Source CMS Award. Afgelopen jaar is Joomla tweede geworden in de categorieën "Best PHP Based Open Source CMS" en "Overall Open Source CMS Award". Ook dit jaar is Joomla weer genomineerd voor enkele prijzen, stemmen op Joomla kan in de volgende categorieën (elke stem ondersteunt het Joomla project!):

• Best Open Source PHP CMS
• Hall of Fame Award

De Hall of Fame Award is een nieuwe categorie dit jaar, hierin kun je stemmen op de winnaars van de  Overall Open Source CMS Award van voorgaande edities. Tevens kun je voor beide Hall of Fame Award nominaties stemmen op de beste extensies en templates. De genomineerden zijn gekozen door vertegenwoordigers van beide projecten. Voor de Joomla! Award zijn de genomineerden:

Beste Joomla! Template

• Affinity
• Inspirion
• Cinema
• Creative Bliss
• Blue Fractal

Beste Joomla! Extensie

• JCE
• JoomlaPack
• J!Research
• Mosets Tree
• noixACL

Stemmen op je favoriete template en extensie kan op de Joomla! Award pagina. Stemmen is mogelijk tot 30 oktober, in november worden de winnaars bekend gemaakt.

10Gebruik de allergoedkoopste hosting provider die je kunt vinden op het net.
Gebruik bij voorbaat een gedeelde server die honderden ander sites host, sommige met zeer goedbezochte porno sites. Ga zeker niet na of de hosting geschikt is voor Joomla.

9Doe je back-ups vooral niet op regelmatige momenten.
Misschien heb je geluk en helpt de hosting provider wel…

8Verspil geen tijd met het aanpassen van instellingen voor PHP en Joomla! om de veiligheid te verbeteren.
Tja, het installeren was al heel simpel, dus de rest kan toch ook niet moeilijk zijn. Je hoeft je immers pas druk te maken als je een probleem hebt.

7Gebruik vooral voor alles dezelfde gebruikersnaam en wachtwoord.
Gebruik dezelfde gebruikersnaam en wachtwoord voor je online bank, Joomla!-account, hotmail, gmail etc. Ach, het is toch veel te moeilijk om al die gebruikersnamen en wachtwoorden te onthouden? En trouwens, het is veel eenvoudiger om ze niet te veranderen, kun je lekker overal hetzelfde gebruiken.

6Installeer je Joomla! website en klop jezelf op de schouder, goed gedaan!
Je hoeft je nergens druk om te maken. Als je toch geen aanpassingen meer doet, kan er ook niets mis gaan!

5Voer alle updates uit op uw live website…onmiddellijk.
Niemand heeft toch een ontwikkel en testomgeving nodig? Als een installatie niet goed gaat…dan verwijder je de update toch gewoon? Hopelijk herstelt dat ook de aangebrachte schade door de update weer.

4Vertrouw altijd de 3rd party extensies!
Gewoon installeren joh, al die coole add-ons. Iedereen die zo slim is om een Joomla extensie te schrijven levert geweldige code af die er ook voor zorgt dat elke hack poging wordt geblokkeerd. Al deze software wordt immers door te vertrouwen en eerlijke mensen geschreven!

3Zeker niet naar de laatste Joomla! versie updaten
Zolang er niets fout gaat op mijn site, is dat toch helemaal niet nodig? Ben al lang blij dat alles nu werkt. Niet repareren voor iets kapot gaat, toch? Zelfde voor de gebruikte extensies.

2Als de site wordt gehackt, in paniek naar Joomla fora surfen
Je plaatst direct een post met als titel “Help, mijn site is gehackt”. Verder laat je vooral geen belangrijke informatie achter, zoals de gebruikte Joomla versie en versies van 3rd party extensies die je gebruikt. En je wilt wel direct worden geholpen!

1Nadat je site is gehackt, alleen de index.php repareren, de rest zal wel goed zijn.
Zeker niet de server logs nakijken, de wachtwoorden veranderen, de directory verwijderen en schone back-ups installeren. Wanneer de hackers de volgende dag terugkomen hard roepen dat je "weer gehackt" bent en dat het allemaal de fout van Joomla is. Negeer volledig het feit dat een gehackt bestand verwijderen nog niet eens stap een is van het proces om een gehackte site te herstellen.

Deze top 10 is al eerder verschenen op onze documentatie website en is een vertaling van een topic op het Joomla forum door rliskey.