Viren, Spyware, Datenschutz 11.230 Themen, 94.475 Beiträge

Verfolgung starten Optionen

Ein Fall für Sicherheitsexperten

Bomania / 21 Antworten / Flachansicht Nickles

Hallo,


wie ich in letzter Zeit gesehen habe, befinden sich hier im Forum einige fähige Leute. Vielleicht könnt ihr mir weiterhelfen. Zu Situation: Vor etwas zwei Wochen wurde meine Website von unbekannten gehackt (Startbildschirm wurde ausgetauscht, irgendwelche CGI-Scripte raufgeladen...). Den Eingriff habe umgehend rückgängig gemacht. Natürlich habe ich außerdem sofort meinen Provider/Webhoster (Bytecamp.net) kontaktiert. Natürlich weisen sie jegliche Schuld von sich - 1. soetwas würde bei Bytecamp nur ein bis zwei mal im Jahr passieren. 2. Schuld daran seien immer die User selbst, denn bei den Webservern würden große Sicherheitsvorkehrungen getroffen.


Es sei noch erwähnt, dass Bytecamp VOLLSTÄNDIG auf Open Source Software setzt. Da mir der Support also auch nicht unbedingt weiter geholfen hat, habe ich einige Vorkehrungen getroffen. Das FTP-Passwort ist nirgendswo auf der Festplatte gespeichert - außer natürlich im FTP-Programm selbst. Deshalb habe ich dieses deinstalliert, habe sicherheitshalber die neuesten Windowsupdates drauf gezogen, und natürlich habe ich das Passwort für den FTP-Zugang geändert.


Soweit so gut. Seitdem passierte nichts. Bis ich gestern nachmittag ein JPG-Bild im Root meines Webspace vorfand. Die Herkunft dieses Bildes war mir gänzlich unbekannt und ich ahnte übles. Das Bild ist übrigens ein Screenshot irgendeines Tools. Nach einigen Recherchen habe ich heraus gefunden, dass es sich um ein Linux-Tool handelt, mit welchem man anscheinend das Erscheinungsbild bzw. die Farben der Linuxoberfläche ändern kann. Wie gesagt, keinen blassen Schimmer wo das Bild hergekommen ist und was das überhaupt soll.
Gestern abend dann eine neue Entdeckung. Die unbekannten hatten wieder zugeschlagen. Wieder die selbe organisierte Gruppe (V4mu), diesmal aber ein anderes Mitglied. Die Person hatte allerdings vergessen, meinen Startbildschirm (PHP) zu löschen, nachdem er den neuen Startbildschirm (HTML) aufgespielt hatte. Deshalb war der neue Angriff zuerst mal unbemerkt gewesen. Ich fand erneut mir unbekannte CGI-Scripts vor, die ich samt Startbildschirm wieder löschte.


Es scheint, egal wie oft ich mein Passwort ändere, egal welches FTP-Tool ich nutze - diese Leute scheinen jedesmal Zugang zu meinem Webspace zu erlangen. Ich habe nur allerdings keine Idee mehr, welche Schwachstelle zum Komprimitieren meines Systems noch offen wäre. Nach einigen Überlegungen festigt sich mein Verdacht mehr und mehr, dass die Angreifer nicht MEIN System sondern das System meines Webhosters komprimitieren.


Hat jemand von euch damit schon Erfahrungen gemacht? Wer kennt sich in der Materie aus und könnte mir Tipps geben, wie ich nun vorgehen soll? Bitte aber keine "Allheil-Ratschläge" wie umsteigen auf Linux oder so.


Danke und Gruß,
Björn

bei Antwort benachrichtigen
...Es scheint, egal wie oft ich mein Passwort ändere, egal welches ... GarfTermy
Die Einfallsmöglichkeiten sind ziemlich breit gefächert. Als erstes ... xafford
Vielen Dank erstmal für die Infos. Allerdings hast du da was falsch ... Bomania
xafford Bomania „Vielen Dank erstmal für die Infos. Allerdings hast du da was falsch verstanden....“
Optionen

Okay, das mit dem MS-Server und Rootserver hatte ich falsch verstanden bzw falsch zusammen gereimt, streich das. Ich hab mir deine Webseite auch mal angeschaut und selbst festgestellt, daß es sich um einen Apache 1.3.29 handelt.
An deiner Stelle würde ich mir einmal Nuke genauer anschauen, denn wäre der Webserver gehackt, dann hätten die Jungs garantiert auch die Seiten der anderen User auf dem Server defaced und dein Provider hätte entsprechend reagiert.
Selbst neuste Nuke-Versionen besitzen SQL-Injection-Lücken und Lücken in Upload-Modulen, die es ermöglichen eine Site ohne FTP-Zugang zu kompromittieren. Wie gesagt, falls Du Zugang zu den Logs deiner Site hast, dann schaue dir die einmal genauer an.

PS: Ich wollte auch nicht behaupten, daß OS unbezwingbar sei. Es erfordert jedoch meist mehr Aufwand und mehr Wissen einen vernünftig installierten und administrierten Linuxserver zu knacken, als einen Windowsserver zu hacken, da Windowsserver homogener sind und ein neu entdecktes Loch funktioniert mit großer Wahrscheinlichkeit auf allen Microsoftservern. Bei einem Linuxserver nicht zwingend, da die Vielfalt an Distributionen und die Vielfalt an z.B. selbt kompilierten Kerneln teilweise als Seiteneffekt hat, daß ein Exploit auf einem System funktioniert und auf einem anderen nicht.

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
An deiner Stelle würde ich mir einmal Nuke genauer anschauen Sorry ich ... Bomania
Nein, dein CMS und die aktuellen Bugs. xafford
Achso du meintest phpNuke. Ich verwende kein CMS. Meine Website ist komplett ... Bomania
Hm...komplett daneben gelegen. Ich hielt es auf den ersten Blick für ... xafford
Zum Thema JPG Dateien bist du nicht auf dem neusten Stand, man kann sehr ... jasmin S.
Ich administriere ein PHPkit und denke daher dass xafford ein PHPNUKE meint. ... jasmin S.
Das FTP-Passwort ist nirgendswo auf der Festplatte gespeichert - außer ... -IRON-
Du musst das nicht speichern lassen sondern kannst es auch jedes Mal ... Bomania
Hallöchen, wenn du deine kiste platt machst, lösche die Platte mit ... mäusebjoern
Eigentlich reicht die erste Spur zu löschen mbr aber wenn du ganz sicher ... jasmin S.
Schon mal versucht, die Webseite mit reinem statischen HTML und komplett ... Rika
Ja, dass könnte sein. Wäre aber ein ziemlich großer Einschnitt in die ... Bomania
Ein Fall für Sicherheitsexperten jasmin S.
Ein Fall für Sicherheitsexperten Bomania
Moin, Ich verwende grundsätzlich nur sog. starke Passwörter, die ich in ... Andylol
Ich lasse meine Webspaces immer überprüfen , besonders wenn von diesen ... Spacebast
Da Kaspersky und Bitdefender eher nach Viren suchen, und Progs wie Spybot ... Bomania