- es gibt zwar schon bei der Nickles- Suche über 100 Treffer - ich habe einige durchgelesen, aber keinen rechten Zusammenhang gefunden.
Es begann damit, das auf meiner Webspace gespeicherte Screenshots plötzlich nicht mehr angezeigt wurden - obwohl sie korrekt gespeichert waren. Ich konnte per ftp auch darauf zugreifen. Ebenso konnte ich problemlos meine dort gelagerten pdf herunterholen.
Eine Kontrolle ergab - in allen Ordnern waren plötzlich versteckte Dateien ".htaccess" vorhanden!
Nachdem ich diese gelöscht hatte, funktionierte das Ganze wieder tadellos - vielleicht 5, 6 Stunden. Dann waren wieder einige dieser Dateien drauf.
Ich wechselte nun das recht einfache, aus wenigen Zahlen und Buchstaben bestehende 8- stellige Zugangspaßwort gegen ein generiertes 56- stelliges, aus Zahlen, Zeichen, Sonderzeichen - nun habe ich seit 3 Wochen Ruhe.
Ich kontrollierte nun im Auftrag von Freunden mal deren Webspaces. Die wird von allen nur benutzt, um Dateien auszutauschen oder mal eine Glückwunschkarte zu basteln, dann dort die erforderlichen Daten zu verlinken.
Alle kontrollierten Webspaces hatten ebenfalls .solche ".htaccess" drauf - teilweise bis zu 30 Stück und alle erstmalig ab Ende Februar.
Hier mal eine dieser Dateien sichtbar gemacht:
http://www.juekirs.de/Foren/nickles/htacc-01.jpg
- wie ist eure Meinung dazu?
Ich meine, das alleinige Vorhandensein einer solchen Datei ist wohl noch kein Kriterium für einen Angriff, oder?
Aber die Manipulation einer solchen Datei doch schon.
Ich würde mich über Kommentare dazu freuen. Danke!
Jürgen
Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge
Eher im Gegenteil.
http://de.selfhtml.org/servercgi/server/htaccess.htm
https://secure.wikimedia.org/wikipedia/de/wiki/Htaccess
http://aktuell.de.selfhtml.org/artikel/server/htaccess/
Wie ist Dein Webspace konfiguriert bzw konfigurierbar?
Danke - die ersten beiden Links hatte ich mir ebenfalls schon zu Gemüte gezogen.
Wie ist Dein Webspace konfiguriert bzw konfigurierbar?
Das ist es ja - da ist garnichts irgendwie "konfiguriert". Ich benutze selbige nur als reinen Datenspeicher, also für meine Aufsätze und Screenshots. Ich war bislang eben der Meinung, das eine "Index.html" in jedem Ordner genügen sollte - und in den 6, 7 Jahren, welche ich das so schon benutze, genügte es auch.
Ich habe selbst noch niemals eine ".htaccess" erstellt - mein Bekannter, dessen Ordner ich soeben untersuche, ebenfalls nicht!
Und trotzdem finde ich in allen seinen Ordnern fast identische solche Daten:
http://www.juekirs.de/Foren/nickles/htacc-02.jpg
- und überall beginnen diese mit einem Datum 26.02, 27.02.
Gleichgültig, ob ich meine Bezahl- Webspace bei emericon oder die kostenlosen meiner Bekannten von Arcor oder GMX untersuche.
Und dann noch etwas, irgendwie vermute ich da Zusammenhänge:
Ich betreibe ja einen Server - ebenfalls rein zum Datenaustausch. Der wird in der Hauptsache von Außendienstmitarbeitern einer Firma benutzt. Jeder dieser Mitarbeiter hat sein eigenes 50stelliges PW und seinen eigenen Ordner. Keiner von denen war zur entsprechenden zeit im Außendienst.
Der PC wird per WakeOnLan eingeschaltet.
Nun geschah es in den vergangenen Wochen schon 2x, das dieser von einem Unbekannten eingeschaltet wurde und im Sekundentakt versucht wurde, sich einzuloggen. "Passwort abgelehnt"
Da schaltet sich automatisch mit dem Server ein kleiner Monitor mit ein, ich sehe also, wer sich einloggt.
Ich hab mir das 20 Minuten mit angesehen und dann selbigen abgeschaltet.
Ich glaube nun nicht, das das ein gezielter Angriff gewesen ist, ich kann es mir jedenfalls nicht vorstellen.
Aber eine entsprechend programmierte Maschine, die weltweit nach kaperbaren Webspaces sucht?
Jürgen
Hallo Jürgen,
das ist eindeutig ein Angriff bzw. es war eine erfolgreiche Übernahme.
Niemand außer einem dafür autorisierten User darf in Verzeichnisse schreiben.
Hier hat aber jemand turnusmäßig Dateien auf dem Webspace abgelegt. Entweder hatte dieser jemand Benutzername und Passwort (was du ja praktisch durch die PW-Änderung bestätigt hast) oder er kam über eine Sicherheitslücke an Schreibrechte.
Auf jeden Fall würde ich den Webspace-Provider benachrichtigen.
usernull
Ganz genau das war der Grund, weshalb ich hier eine Diskussion eröffnet habe.
Hier hat aber jemand turnusmäßig Dateien auf dem Webspace abgelegt
- und alle begonnen am 26.02.2011. Bei den verschiedensten Providern - GMX, Arcor, emericon.
Auf jeden Fall würde ich den Webspace-Provider benachrichtigen
Habe ich in meinem Fall - emericon- schon gemacht.
Antwort: Ich solle mich mit einem Webspace- Programmierer in Verbindung setzen.
Jetzt, nachdem ich das weiß und kontrolliere, hat der Angriff seinen Schrecken verloren.
Und es scheint, das das Paßwort nicht umgangen werden kann. Denn nach meiner Änderung in ein ziemlich Sicheres gab es keinerlei Zugriffe mehr.
Könnte damit zu tun haben?
http://winfuture.de/news,62410.html
Jürgen
http://winfuture.de/news,62410.html
Nur wenn eine Datenbank mit einer Anwendung auf dem Webspace verknüpft ist, z.B. ein Web-CMS wie Joomla.
Was meint der Support mit Webspace-Programmierer? Läuft ein CMS?
Das war, wie ich vermute, erst mal ein Textbaustein. Nein, derartiges läuft bei mir nicht - es ist, wie ich schon im Startposting sagte, eine reine Datenspeicherung.
Jürgen
Die htaccess-Datei steuert bei dir User-Agents. So auf dem ersten Blick in etwa wie folgt:
Wenn der Besucher (Referrer) von Goolge oder Yahoo oder Bing usw. kommt... In den folgenden Zeilen dieser Useragent (Browser o.ä) aber nicht (!^) einer der vielen hier erwähnten ist... Dann wird der Besucher an ein CGI-Script mit einer ganzen Reihe Parameter auf http://virtualmapping.org weiter geleitet. Bin mir sicher, dass dies nicht in deinem Sinne ist.
Du hast dort keine PHP-Scripte o.ä. für Uploads der von dir erwähnten Dokumente herum liegen? Würde prinzipiell auf sowas tippen. Klar ginge das auch per FTP.
Man kann schon auf eine ganze Menge Dinge in einer htaccess-Datei vornehmen, siehe: http://www.redirect301.de/htaccess.html
Nein, keine PHP- Scripte.
Ausschließlich jpg, gif, png, txt, pdf.
Keinerlei ausführbare Dateien - sollte einmal eine exe, cmd oder ähnlich da liegen, dann nur temporär für eine genau bemessene Zeit.
Jürgen
Auf zweien der von mir kontrollierten Webspaces entdeckte ich zusätzlich noch jeweils eine Datei ".quota". 30...34bit.
Inhalt
50000000.000000 268462.000000
oder
500000000.000000 113376875.000000
Und die läßt sich nicht löschen!
Was ist das nun schon wieder?
Jürgen
Wo hast du denn deinen Webspace?
Mit den Quotas lassen sich Festplattenspeicher usw. unter Linux begrenzen. D.h. du hast ein Paket mit sagen wir 100 MB Speicher, dann muss das ja auch irgendwo festgehalten und kontrolliert werden. Das Filesystem lässt dann genau 100 MB zu und das war's dann. Gehört aber nicht in einen Bereich, wo der Kunde, in diesem Fall du, hin kommen solltest.
Vielleicht lag es ja doch nicht an deinem FTP-Zugang, sondern am Provider, der einfach seine Webserver nicht ordentlich abgesichert hat und somit nicht autorisierte Zugriffe zugelassen hat...
Meine Webspace ist inzwischen mit einem ziemlich sicheren Passwort abgesichert - da gabs nun auch seit 14 Tagen keinen Angriff mehr.
Wohl aber die anderen Webspaces. Das sind ausnahmslos solche, die Arcor (Vodafone) ihren Kunden kostenlos anbietet. 500MB, 1GB Traffic.
Das mit der Linux- Beschränkung habe ich auch gelesen - aber einen Zusammenhang erst jetzt erstellt.
Hat grad Click gemacht bei mir.
Mit dieser ".quota" werden sicherlich die 500MB Kapazität festgelegt!
Das ich das noch nie gesehen habe, dürfte daran liegen, das ich noch nie "Versteckte" sichtbar machte.
Die ".htaccess"- Dateien -
Wie schon gesagt - das erste Mal trat das am 26. und 27.02. auf, dann noch 3...4x im März und 2...3x im April, das letzte Mal am 04.04.
Ich vermute da einen maschinellen "Rundumschlag" irgend eines Gangstersyndikates, welches solche htaccess- Dateien zwecks späteren Zuganges auf leicht oder garnicht geschützten Webspaces deponierte. Um dann diesen Speicherplatz für illegale Dateien zu mißbrauchen.
Mein PW scheint nicht umgangen werden zu können - und die anderen, bei denen keine schärferen PW möglich sind, die müssen eben regelmäßig nachschauen!
Noch einmal - Danke für die Diskussion.
Jürgen