Nickles › Forum › Internet › Viren, Spyware, Datenschutz

Viren, Spyware, Datenschutz 11.230 Themen, 94.467 Beiträge

Ein Fall für Sicherheitsexperten

Bomania am 15.01.2004, 00:00 / 21 Antworten / Flachansicht

Hallo,

wie ich in letzter Zeit gesehen habe, befinden sich hier im Forum einige fähige Leute. Vielleicht könnt ihr mir weiterhelfen. Zu Situation: Vor etwas zwei Wochen wurde meine Website von unbekannten gehackt (Startbildschirm wurde ausgetauscht, irgendwelche CGI-Scripte raufgeladen...). Den Eingriff habe umgehend rückgängig gemacht. Natürlich habe ich außerdem sofort meinen Provider/Webhoster (Bytecamp.net) kontaktiert. Natürlich weisen sie jegliche Schuld von sich - 1. soetwas würde bei Bytecamp nur ein bis zwei mal im Jahr passieren. 2. Schuld daran seien immer die User selbst, denn bei den Webservern würden große Sicherheitsvorkehrungen getroffen.

Es sei noch erwähnt, dass Bytecamp VOLLSTÄNDIG auf Open Source Software setzt. Da mir der Support also auch nicht unbedingt weiter geholfen hat, habe ich einige Vorkehrungen getroffen. Das FTP-Passwort ist nirgendswo auf der Festplatte gespeichert - außer natürlich im FTP-Programm selbst. Deshalb habe ich dieses deinstalliert, habe sicherheitshalber die neuesten Windowsupdates drauf gezogen, und natürlich habe ich das Passwort für den FTP-Zugang geändert.

Soweit so gut. Seitdem passierte nichts. Bis ich gestern nachmittag ein JPG-Bild im Root meines Webspace vorfand. Die Herkunft dieses Bildes war mir gänzlich unbekannt und ich ahnte übles. Das Bild ist übrigens ein Screenshot irgendeines Tools. Nach einigen Recherchen habe ich heraus gefunden, dass es sich um ein Linux-Tool handelt, mit welchem man anscheinend das Erscheinungsbild bzw. die Farben der Linuxoberfläche ändern kann. Wie gesagt, keinen blassen Schimmer wo das Bild hergekommen ist und was das überhaupt soll.
Gestern abend dann eine neue Entdeckung. Die unbekannten hatten wieder zugeschlagen. Wieder die selbe organisierte Gruppe (V4mu), diesmal aber ein anderes Mitglied. Die Person hatte allerdings vergessen, meinen Startbildschirm (PHP) zu löschen, nachdem er den neuen Startbildschirm (HTML) aufgespielt hatte. Deshalb war der neue Angriff zuerst mal unbemerkt gewesen. Ich fand erneut mir unbekannte CGI-Scripts vor, die ich samt Startbildschirm wieder löschte.

Es scheint, egal wie oft ich mein Passwort ändere, egal welches FTP-Tool ich nutze - diese Leute scheinen jedesmal Zugang zu meinem Webspace zu erlangen. Ich habe nur allerdings keine Idee mehr, welche Schwachstelle zum Komprimitieren meines Systems noch offen wäre. Nach einigen Überlegungen festigt sich mein Verdacht mehr und mehr, dass die Angreifer nicht MEIN System sondern das System meines Webhosters komprimitieren.

Hat jemand von euch damit schon Erfahrungen gemacht? Wer kennt sich in der Materie aus und könnte mir Tipps geben, wie ich nun vorgehen soll? Bitte aber keine "Allheil-Ratschläge" wie umsteigen auf Linux oder so.

Danke und Gruß,
Björn

      ...Es scheint, egal wie oft ich mein Passwort ändere, egal welches ... GarfTermy 15.01.2004, 00:00
    
      Die Einfallsmöglichkeiten sind ziemlich breit gefächert. Als erstes ... xafford 15.01.2004, 00:00
    
      Vielen Dank erstmal für die Infos. Allerdings hast du da was falsch ... Bomania 15.01.2004, 00:00
    
      Okay, das mit dem MS-Server und Rootserver hatte ich falsch verstanden bzw ... xafford 15.01.2004, 00:00
    
      An deiner Stelle würde ich mir einmal Nuke genauer anschauen Sorry ich ... Bomania 15.01.2004, 00:00
    
      Nein, dein CMS und die aktuellen Bugs. xafford 15.01.2004, 00:00
    
      Achso du meintest phpNuke. Ich verwende kein CMS. Meine Website ist komplett ... Bomania 15.01.2004, 00:00
    
      Hm...komplett daneben gelegen. Ich hielt es auf den ersten Blick für ... xafford 16.01.2004, 00:00
    
      Zum Thema JPG Dateien bist du nicht auf dem neusten Stand, man kann sehr ... jasmin S. 17.01.2004, 00:00
    
      Ich administriere ein PHPkit und denke daher dass xafford ein PHPNUKE meint. ... jasmin S. 18.01.2004, 00:00
    
      Das FTP-Passwort ist nirgendswo auf der Festplatte gespeichert - außer ... -IRON- 15.01.2004, 00:00
    
      Du musst das nicht speichern lassen sondern kannst es auch jedes Mal ... Bomania 15.01.2004, 00:00
    
      Hallöchen, wenn du deine kiste platt machst, lösche die Platte mit ... mäusebjoern 15.01.2004, 00:00
    
      Eigentlich reicht die erste Spur zu löschen mbr aber wenn du ganz sicher ... jasmin S. 18.01.2004, 00:00
    
      Schon mal versucht, die Webseite mit reinem statischen HTML und komplett ... Rika 15.01.2004, 00:00
    
      Ja, dass könnte sein. Wäre aber ein ziemlich großer Einschnitt in die ... Bomania 15.01.2004, 00:00
    
      Ein Fall für Sicherheitsexperten jasmin S. 15.01.2004, 00:00
    
        Bomania jasmin S. „Ein Fall für Sicherheitsexperten“
      
        16.01.2004, 00:00 Optionen
      
          Also den ersten Teil deines Postings kann man definitiv ausschließen. Ich habe übrigens eine "richtige" Domain, bin bei keinem dieser Hoster wie Lycos oder so - es existiert also auch keine Sicherheitsabfrage. Der Brief ist eine gute Idee, hat allerdings einen Haken. Mein Hoster kommuniziert nur über meine Domain-Mailaddresse. Da kann also auch kein Schindluder mit betrieben werden.

          "Welches PW hast du gewählt?"

          *************** ;)

          Ich verwende grundsätzlich nur sog. "starke" Passwörter, die ich in unregelmäßigen Abständen ändere. Diese Passwörter sind zwischen 8 bis 15 Zeichen lang, keine Wörter die in Wörterbüchern zu finden sind, ein bunter Mix aus Ziffern, Zahlen und Sonderzeichen. Mein Benutzername entspricht nicht der Domain.

          Wie Brute Force funktioniert, ist mir bekannt. Mein Passwort für den FTP-Zugang ist sagen wir mal 13 Zeichen lang. Alle darstellbaren Zeichen entspricht ca 56. Es existieren also 56 hoch 13 Möglichkeiten = 53265296773187132416! Das sind über 53 Trillionen Kombinationen. Es dürfte also selbst für Geheimdienste ziemlich schwierig sein, das Passwort in gegebener Zeit zu knacken. Da ich jetzt in letzter Zeit meine Passwörter häufiger ändere, würden die Hacker (eigentlich sinds ja Cracker) nie zum Zug kommen. Man muss das Problem also woanders suchen.

          "doppelklicken auf die jpg datei reicht!"

          Hab ich irgendwas verpasst? Seit wann können reine Bilddateien träger von ausführbaren Code sein? Bekannte Dateierweiterungen werden natürlich angezeigt, und es ist definitiv ein JPG-Bild. Außerdem hätte meine AV-Software sofort Alarm geschlagen (ja das hätte sie!).

          Nun gut, dann bleibt als letztes nur noch die Möglichkeit, dass irgendwo doch ein Keylogger oder Troja sein übles Werk verrichtet. Ein Blick in die Prozessliste und die Dienste brachte bis jetzt nichts zutage. Die zusätzlichen Scanner verwende ich grundsätzlich. Wenn ein akuter Verdacht besteht, scanne ich zusätzlich zu meiner AV-Software (BitDefender) sowieso standardmäßig noch mit a2 free, Ad-aware, SpyBot, The Cleaner, Elbtec Scan, Avert Stinger.....

          Falls noch ein Troja irgendwo auf meinem Webspace versteckt sein sollte, hätte das aufgedeckt werden müssen. Ich habe nämlich den gesamten Inhalt auf meinen Rechner gezogen, und mit sämtlichen Tools (siehe oben) gescannt. Ergebnis negativ.

          Also bleibt mir wohl doch nur noch der Providerwechsel übrig.
        
             bei Antwort benachrichtigen
        
      Moin, Ich verwende grundsätzlich nur sog. starke Passwörter, die ich in ... Andylol 17.01.2004, 00:00
    
      Ich lasse meine Webspaces immer überprüfen , besonders wenn von diesen ... Spacebast 18.01.2004, 00:00
    
      Da Kaspersky und Bitdefender eher nach Viren suchen, und Progs wie Spybot ... Bomania 19.01.2004, 00:00



	dauerhaft angemeldet bleiben
Jetzt Nickles Mitglied werden