Nickles › Forum › Internet › Viren, Spyware, Datenschutz

Viren, Spyware, Datenschutz 11.230 Themen, 94.475 Beiträge

Ein Fall für Sicherheitsexperten

Bomania am 15.01.2004, 00:00 / 21 Antworten / Flachansicht

Hallo,

wie ich in letzter Zeit gesehen habe, befinden sich hier im Forum einige fähige Leute. Vielleicht könnt ihr mir weiterhelfen. Zu Situation: Vor etwas zwei Wochen wurde meine Website von unbekannten gehackt (Startbildschirm wurde ausgetauscht, irgendwelche CGI-Scripte raufgeladen...). Den Eingriff habe umgehend rückgängig gemacht. Natürlich habe ich außerdem sofort meinen Provider/Webhoster (Bytecamp.net) kontaktiert. Natürlich weisen sie jegliche Schuld von sich - 1. soetwas würde bei Bytecamp nur ein bis zwei mal im Jahr passieren. 2. Schuld daran seien immer die User selbst, denn bei den Webservern würden große Sicherheitsvorkehrungen getroffen.

Es sei noch erwähnt, dass Bytecamp VOLLSTÄNDIG auf Open Source Software setzt. Da mir der Support also auch nicht unbedingt weiter geholfen hat, habe ich einige Vorkehrungen getroffen. Das FTP-Passwort ist nirgendswo auf der Festplatte gespeichert - außer natürlich im FTP-Programm selbst. Deshalb habe ich dieses deinstalliert, habe sicherheitshalber die neuesten Windowsupdates drauf gezogen, und natürlich habe ich das Passwort für den FTP-Zugang geändert.

Soweit so gut. Seitdem passierte nichts. Bis ich gestern nachmittag ein JPG-Bild im Root meines Webspace vorfand. Die Herkunft dieses Bildes war mir gänzlich unbekannt und ich ahnte übles. Das Bild ist übrigens ein Screenshot irgendeines Tools. Nach einigen Recherchen habe ich heraus gefunden, dass es sich um ein Linux-Tool handelt, mit welchem man anscheinend das Erscheinungsbild bzw. die Farben der Linuxoberfläche ändern kann. Wie gesagt, keinen blassen Schimmer wo das Bild hergekommen ist und was das überhaupt soll.
Gestern abend dann eine neue Entdeckung. Die unbekannten hatten wieder zugeschlagen. Wieder die selbe organisierte Gruppe (V4mu), diesmal aber ein anderes Mitglied. Die Person hatte allerdings vergessen, meinen Startbildschirm (PHP) zu löschen, nachdem er den neuen Startbildschirm (HTML) aufgespielt hatte. Deshalb war der neue Angriff zuerst mal unbemerkt gewesen. Ich fand erneut mir unbekannte CGI-Scripts vor, die ich samt Startbildschirm wieder löschte.

Es scheint, egal wie oft ich mein Passwort ändere, egal welches FTP-Tool ich nutze - diese Leute scheinen jedesmal Zugang zu meinem Webspace zu erlangen. Ich habe nur allerdings keine Idee mehr, welche Schwachstelle zum Komprimitieren meines Systems noch offen wäre. Nach einigen Überlegungen festigt sich mein Verdacht mehr und mehr, dass die Angreifer nicht MEIN System sondern das System meines Webhosters komprimitieren.

Hat jemand von euch damit schon Erfahrungen gemacht? Wer kennt sich in der Materie aus und könnte mir Tipps geben, wie ich nun vorgehen soll? Bitte aber keine "Allheil-Ratschläge" wie umsteigen auf Linux oder so.

Danke und Gruß,
Björn

      ...Es scheint, egal wie oft ich mein Passwort ändere, egal welches ... GarfTermy 15.01.2004, 00:00
    
        xafford Bomania „Ein Fall für Sicherheitsexperten“
      
        15.01.2004, 00:00 Optionen
      
          Die Einfallsmöglichkeiten sind ziemlich breit gefächert. Als erstes solltest Du dir die Logs des Servers sehr genau anschauen um heraus zu finden, ob es auffällige Meldungen gibt, die Rückschluß auf die Art des eindringens geben. Weiterhin solltest Du ebenso dringends den Server dahingehend überprüfen, ob sie eine Backdoor installiert haben, das ist nämlich oftmals das erste, was ein Eindringling macht, um sich wieder Zugang verschaffen zu können, falls die ursprüngliche Lücke geschlossen ist.

          Die Tatsache, daß Daten auf deinen Webserver geladen wurden muß im Übrigen nicht zwingend darauf hin deuten, daß sie FTP genutzt haben zum Eindringen, sie könnten auch einen anderen Exploit genutzt haben und sich dann lokal die Zugangsrechte verschafft haben, also prüfe auch alle existierenden Accounts und deren Rechte.

          Im Übrigen gibt es ganz unpretentiöse nette kleine Lücken in CGI-Scripten oder CMS-Systemen. Nuke hat in älteren Versionen z.B. einige Lücken, für die sich Crackerkiddies sogar schon Webfrontends gebastelt haben um reihenweise Sites zu defacen. Aktualisiere also ggf. alle CGIs, CMS, etc die Du auf dem Server nutzt, schmeiße alle raus, die Du nicht nutzt, vor allem auch eventuell vorhandene, die standardmäßig mitinstalliert wurden, gerade z.B. beim IIS wurden teilweise CGIs mitinstalliert, die Cross-Site-Scripting anfällig waren, und genau so etwas könnte dir zum Verhängnis geworden sein.

          Falls Du Traffic extra bezahlst, dann würde ich an deiner Stelle auch den Server erst einmal dicht machen, so lange Du nicht genau weißt, was passiert ist.

          Am Besten machst Du auch eine Auflistung deiner installierten Software und recherchierst auf Bugtraq nach beannten Lücken, frag beim Provider nach, was gepatcht wurde und was nicht. Auch wenn es wohl Entrüstung verursachen wird: Microsoft als Webserver ist nicht unbedingt die sicherste Wahl.

          PS: Ich muß garf widerpsrechen. Falls Du einen Rootserver hast, und danach klingen deine Ausführungen eigentlich, so bist Du selbst für den Betrieb und die Sicherheit des Systems verantwortlich, nicht der Provider. Dies ist bei Rootservern anders, als in Shared Hosts oder dedizierten Servern.
        
         Pauschalurteile sind immer falsch!!!
      
             bei Antwort benachrichtigen
        
      Vielen Dank erstmal für die Infos. Allerdings hast du da was falsch ... Bomania 15.01.2004, 00:00
    
      Okay, das mit dem MS-Server und Rootserver hatte ich falsch verstanden bzw ... xafford 15.01.2004, 00:00
    
      An deiner Stelle würde ich mir einmal Nuke genauer anschauen Sorry ich ... Bomania 15.01.2004, 00:00
    
      Nein, dein CMS und die aktuellen Bugs. xafford 15.01.2004, 00:00
    
      Achso du meintest phpNuke. Ich verwende kein CMS. Meine Website ist komplett ... Bomania 15.01.2004, 00:00
    
      Hm...komplett daneben gelegen. Ich hielt es auf den ersten Blick für ... xafford 16.01.2004, 00:00
    
      Zum Thema JPG Dateien bist du nicht auf dem neusten Stand, man kann sehr ... jasmin S. 17.01.2004, 00:00
    
      Ich administriere ein PHPkit und denke daher dass xafford ein PHPNUKE meint. ... jasmin S. 18.01.2004, 00:00
    
      Das FTP-Passwort ist nirgendswo auf der Festplatte gespeichert - außer ... -IRON- 15.01.2004, 00:00
    
      Du musst das nicht speichern lassen sondern kannst es auch jedes Mal ... Bomania 15.01.2004, 00:00
    
      Hallöchen, wenn du deine kiste platt machst, lösche die Platte mit ... mäusebjoern 15.01.2004, 00:00
    
      Eigentlich reicht die erste Spur zu löschen mbr aber wenn du ganz sicher ... jasmin S. 18.01.2004, 00:00
    
      Schon mal versucht, die Webseite mit reinem statischen HTML und komplett ... Rika 15.01.2004, 00:00
    
      Ja, dass könnte sein. Wäre aber ein ziemlich großer Einschnitt in die ... Bomania 15.01.2004, 00:00
    
      Ein Fall für Sicherheitsexperten jasmin S. 15.01.2004, 00:00
    
      Ein Fall für Sicherheitsexperten Bomania 16.01.2004, 00:00
    
      Moin, Ich verwende grundsätzlich nur sog. starke Passwörter, die ich in ... Andylol 17.01.2004, 00:00
    
      Ich lasse meine Webspaces immer überprüfen , besonders wenn von diesen ... Spacebast 18.01.2004, 00:00
    
      Da Kaspersky und Bitdefender eher nach Viren suchen, und Progs wie Spybot ... Bomania 19.01.2004, 00:00



	dauerhaft angemeldet bleiben
Jetzt Nickles Mitglied werden