Viren, Spyware, Datenschutz 11.227 Themen, 94.383 Beiträge

Verfolgung starten Optionen

Ein Fall für Sicherheitsexperten

Bomania / 21 Antworten / Flachansicht Nickles

Hallo,


wie ich in letzter Zeit gesehen habe, befinden sich hier im Forum einige fähige Leute. Vielleicht könnt ihr mir weiterhelfen. Zu Situation: Vor etwas zwei Wochen wurde meine Website von unbekannten gehackt (Startbildschirm wurde ausgetauscht, irgendwelche CGI-Scripte raufgeladen...). Den Eingriff habe umgehend rückgängig gemacht. Natürlich habe ich außerdem sofort meinen Provider/Webhoster (Bytecamp.net) kontaktiert. Natürlich weisen sie jegliche Schuld von sich - 1. soetwas würde bei Bytecamp nur ein bis zwei mal im Jahr passieren. 2. Schuld daran seien immer die User selbst, denn bei den Webservern würden große Sicherheitsvorkehrungen getroffen.


Es sei noch erwähnt, dass Bytecamp VOLLSTÄNDIG auf Open Source Software setzt. Da mir der Support also auch nicht unbedingt weiter geholfen hat, habe ich einige Vorkehrungen getroffen. Das FTP-Passwort ist nirgendswo auf der Festplatte gespeichert - außer natürlich im FTP-Programm selbst. Deshalb habe ich dieses deinstalliert, habe sicherheitshalber die neuesten Windowsupdates drauf gezogen, und natürlich habe ich das Passwort für den FTP-Zugang geändert.


Soweit so gut. Seitdem passierte nichts. Bis ich gestern nachmittag ein JPG-Bild im Root meines Webspace vorfand. Die Herkunft dieses Bildes war mir gänzlich unbekannt und ich ahnte übles. Das Bild ist übrigens ein Screenshot irgendeines Tools. Nach einigen Recherchen habe ich heraus gefunden, dass es sich um ein Linux-Tool handelt, mit welchem man anscheinend das Erscheinungsbild bzw. die Farben der Linuxoberfläche ändern kann. Wie gesagt, keinen blassen Schimmer wo das Bild hergekommen ist und was das überhaupt soll.
Gestern abend dann eine neue Entdeckung. Die unbekannten hatten wieder zugeschlagen. Wieder die selbe organisierte Gruppe (V4mu), diesmal aber ein anderes Mitglied. Die Person hatte allerdings vergessen, meinen Startbildschirm (PHP) zu löschen, nachdem er den neuen Startbildschirm (HTML) aufgespielt hatte. Deshalb war der neue Angriff zuerst mal unbemerkt gewesen. Ich fand erneut mir unbekannte CGI-Scripts vor, die ich samt Startbildschirm wieder löschte.


Es scheint, egal wie oft ich mein Passwort ändere, egal welches FTP-Tool ich nutze - diese Leute scheinen jedesmal Zugang zu meinem Webspace zu erlangen. Ich habe nur allerdings keine Idee mehr, welche Schwachstelle zum Komprimitieren meines Systems noch offen wäre. Nach einigen Überlegungen festigt sich mein Verdacht mehr und mehr, dass die Angreifer nicht MEIN System sondern das System meines Webhosters komprimitieren.


Hat jemand von euch damit schon Erfahrungen gemacht? Wer kennt sich in der Materie aus und könnte mir Tipps geben, wie ich nun vorgehen soll? Bitte aber keine "Allheil-Ratschläge" wie umsteigen auf Linux oder so.


Danke und Gruß,
Björn

bei Antwort benachrichtigen
...Es scheint, egal wie oft ich mein Passwort ändere, egal welches ... GarfTermy
Die Einfallsmöglichkeiten sind ziemlich breit gefächert. Als erstes ... xafford
Bomania xafford „Die Einfallsmöglichkeiten sind ziemlich breit gefächert. Als erstes solltest...“
Optionen

Vielen Dank erstmal für die Infos. Allerdings hast du da was falsch verstanden. Ich habe keinen eigenen Webserver, den ich administrieren kann, sondern lediglich einen "ganz normalen" Webspace auf einem Webserver, dessen Speicherplatz mit vielen anderen Usern geshared wird. Dementsprechend wenig Eingriffsmöglichkeiten habe ich da. Zugriff über FTP und das wars auch schon. Ich kann den Server nicht dicht machen, maximal kann ich den Vertrag kündigen, was ich allerdings nur ungern machen würde und nur als letzte Alternative in Betracht ziehen würde.

Ich habe ein monatliches Transfer-Volumen von 15 GB inklusive. Wenn die Grenze überschritten wird, muss ich extra zahlen. Allerdings bietet mein Hoster glücklicherweise eine einfache Kontrolle per Web-Frontend an, über die ich jederzeit den aktuellen Trafficstand nachsehen kann.

"Auch wenn es wohl Entrüstung verursachen wird: Microsoft als Webserver ist nicht unbedingt die sicherste Wahl."
Wie ich bereits im Eröffnungsbeitrag erwähnt hatte, verwendet mein Hoster AUSSCHLIESSLICH OPEN SOURCE SOFTWARE. Das gilt also auch fürs Betriebssystem. Kein Microsoft. Aber sagt ja niemand, dass Open Source unbezwingbar sei...

bei Antwort benachrichtigen
Okay, das mit dem MS-Server und Rootserver hatte ich falsch verstanden bzw ... xafford
An deiner Stelle würde ich mir einmal Nuke genauer anschauen Sorry ich ... Bomania
Nein, dein CMS und die aktuellen Bugs. xafford
Achso du meintest phpNuke. Ich verwende kein CMS. Meine Website ist komplett ... Bomania
Hm...komplett daneben gelegen. Ich hielt es auf den ersten Blick für ... xafford
Zum Thema JPG Dateien bist du nicht auf dem neusten Stand, man kann sehr ... jasmin S.
Ich administriere ein PHPkit und denke daher dass xafford ein PHPNUKE meint. ... jasmin S.
Das FTP-Passwort ist nirgendswo auf der Festplatte gespeichert - außer ... -IRON-
Du musst das nicht speichern lassen sondern kannst es auch jedes Mal ... Bomania
Hallöchen, wenn du deine kiste platt machst, lösche die Platte mit ... mäusebjoern
Eigentlich reicht die erste Spur zu löschen mbr aber wenn du ganz sicher ... jasmin S.
Schon mal versucht, die Webseite mit reinem statischen HTML und komplett ... Rika
Ja, dass könnte sein. Wäre aber ein ziemlich großer Einschnitt in die ... Bomania
Ein Fall für Sicherheitsexperten jasmin S.
Ein Fall für Sicherheitsexperten Bomania
Moin, Ich verwende grundsätzlich nur sog. starke Passwörter, die ich in ... Andylol
Ich lasse meine Webspaces immer überprüfen , besonders wenn von diesen ... Spacebast
Da Kaspersky und Bitdefender eher nach Viren suchen, und Progs wie Spybot ... Bomania