Viren, Spyware, Datenschutz 11.213 Themen, 94.181 Beiträge

Ein Fall für Sicherheitsexperten

Bomania / 21 Antworten / Flachansicht Nickles

Hallo,


wie ich in letzter Zeit gesehen habe, befinden sich hier im Forum einige fähige Leute. Vielleicht könnt ihr mir weiterhelfen. Zu Situation: Vor etwas zwei Wochen wurde meine Website von unbekannten gehackt (Startbildschirm wurde ausgetauscht, irgendwelche CGI-Scripte raufgeladen...). Den Eingriff habe umgehend rückgängig gemacht. Natürlich habe ich außerdem sofort meinen Provider/Webhoster (Bytecamp.net) kontaktiert. Natürlich weisen sie jegliche Schuld von sich - 1. soetwas würde bei Bytecamp nur ein bis zwei mal im Jahr passieren. 2. Schuld daran seien immer die User selbst, denn bei den Webservern würden große Sicherheitsvorkehrungen getroffen.


Es sei noch erwähnt, dass Bytecamp VOLLSTÄNDIG auf Open Source Software setzt. Da mir der Support also auch nicht unbedingt weiter geholfen hat, habe ich einige Vorkehrungen getroffen. Das FTP-Passwort ist nirgendswo auf der Festplatte gespeichert - außer natürlich im FTP-Programm selbst. Deshalb habe ich dieses deinstalliert, habe sicherheitshalber die neuesten Windowsupdates drauf gezogen, und natürlich habe ich das Passwort für den FTP-Zugang geändert.


Soweit so gut. Seitdem passierte nichts. Bis ich gestern nachmittag ein JPG-Bild im Root meines Webspace vorfand. Die Herkunft dieses Bildes war mir gänzlich unbekannt und ich ahnte übles. Das Bild ist übrigens ein Screenshot irgendeines Tools. Nach einigen Recherchen habe ich heraus gefunden, dass es sich um ein Linux-Tool handelt, mit welchem man anscheinend das Erscheinungsbild bzw. die Farben der Linuxoberfläche ändern kann. Wie gesagt, keinen blassen Schimmer wo das Bild hergekommen ist und was das überhaupt soll.
Gestern abend dann eine neue Entdeckung. Die unbekannten hatten wieder zugeschlagen. Wieder die selbe organisierte Gruppe (V4mu), diesmal aber ein anderes Mitglied. Die Person hatte allerdings vergessen, meinen Startbildschirm (PHP) zu löschen, nachdem er den neuen Startbildschirm (HTML) aufgespielt hatte. Deshalb war der neue Angriff zuerst mal unbemerkt gewesen. Ich fand erneut mir unbekannte CGI-Scripts vor, die ich samt Startbildschirm wieder löschte.


Es scheint, egal wie oft ich mein Passwort ändere, egal welches FTP-Tool ich nutze - diese Leute scheinen jedesmal Zugang zu meinem Webspace zu erlangen. Ich habe nur allerdings keine Idee mehr, welche Schwachstelle zum Komprimitieren meines Systems noch offen wäre. Nach einigen Überlegungen festigt sich mein Verdacht mehr und mehr, dass die Angreifer nicht MEIN System sondern das System meines Webhosters komprimitieren.


Hat jemand von euch damit schon Erfahrungen gemacht? Wer kennt sich in der Materie aus und könnte mir Tipps geben, wie ich nun vorgehen soll? Bitte aber keine "Allheil-Ratschläge" wie umsteigen auf Linux oder so.


Danke und Gruß,
Björn

bei Antwort benachrichtigen
Andylol Bomania „Ein Fall für Sicherheitsexperten“
Optionen

Moin,

"Ich verwende grundsätzlich nur sog. "starke" Passwörter, die ich in unregelmäßigen Abständen ändere. Diese Passwörter sind zwischen 8 bis 15 Zeichen lang, keine Wörter die in Wörterbüchern zu finden sind, ein bunter Mix aus Ziffern, Zahlen und Sonderzeichen"

--> tja, da wird die Wahl langsam eng ;-)

Aber eines gebe ich dennoch zu bedenken:

Auch ein noch so starkes Passwort ist unsicher !!! .. solange es wie bei ftp im KLARTEXT und somit unverschlüsselt übers Netz übertragen wird !!!

Ist bei FTP leider nichts dran zu ändern ... und einen ssh-Zugang haben die mir bekannten Webspace-provider leider auch nicht :-(.

darum tippe ich auch eher (wenn es denn schon keine Sicherheitslücke beim Provider ist) darauf, dass irgendjemand etwas auf deinem rechner installiert hat, dass ihm in schöner Reglmäßigkeit Deine "starken Passwörter" im Klartext überträgt ;-)

Ist natürlich nur eine Hypothese ;-)

.....aber eine reinigende Neuinstallation ist IMMER noch wesentlich besser, als sich auf die "Erkenntnisfähigkeit" eines Ad-Aware, Spybot o.ä. zu verlassen.

Mögen aber auch die Sicherheitskopien (auch Deines Webauftritts), die Du hinterher wieder raufkopierst vollständig virenfrei sein.... sonst stehst Du wieder am Anfang Deines problems ;-)!


@mäusebjoern
--> S0Kill ist tatsächlich ein gründliches Programm
(genauso wie ein "dd if=/dev/null of=/dev/hda" unter Linux) , denn wo nur Nullen sind, ist nichts anderes mehr!.

Aber eine (unter Windows) normale Formatierung reicht völlig aus (es sei denn man ist Paranoiker, oder will die Festplatte verkaufen)!



Gruß
Andylol


bei Antwort benachrichtigen