Viren, Spyware, Datenschutz 11.214 Themen, 94.187 Beiträge

Verfolgung starten Optionen

Ein Fall für Sicherheitsexperten

Bomania / 21 Antworten / Flachansicht Nickles

Hallo,


wie ich in letzter Zeit gesehen habe, befinden sich hier im Forum einige fähige Leute. Vielleicht könnt ihr mir weiterhelfen. Zu Situation: Vor etwas zwei Wochen wurde meine Website von unbekannten gehackt (Startbildschirm wurde ausgetauscht, irgendwelche CGI-Scripte raufgeladen...). Den Eingriff habe umgehend rückgängig gemacht. Natürlich habe ich außerdem sofort meinen Provider/Webhoster (Bytecamp.net) kontaktiert. Natürlich weisen sie jegliche Schuld von sich - 1. soetwas würde bei Bytecamp nur ein bis zwei mal im Jahr passieren. 2. Schuld daran seien immer die User selbst, denn bei den Webservern würden große Sicherheitsvorkehrungen getroffen.


Es sei noch erwähnt, dass Bytecamp VOLLSTÄNDIG auf Open Source Software setzt. Da mir der Support also auch nicht unbedingt weiter geholfen hat, habe ich einige Vorkehrungen getroffen. Das FTP-Passwort ist nirgendswo auf der Festplatte gespeichert - außer natürlich im FTP-Programm selbst. Deshalb habe ich dieses deinstalliert, habe sicherheitshalber die neuesten Windowsupdates drauf gezogen, und natürlich habe ich das Passwort für den FTP-Zugang geändert.


Soweit so gut. Seitdem passierte nichts. Bis ich gestern nachmittag ein JPG-Bild im Root meines Webspace vorfand. Die Herkunft dieses Bildes war mir gänzlich unbekannt und ich ahnte übles. Das Bild ist übrigens ein Screenshot irgendeines Tools. Nach einigen Recherchen habe ich heraus gefunden, dass es sich um ein Linux-Tool handelt, mit welchem man anscheinend das Erscheinungsbild bzw. die Farben der Linuxoberfläche ändern kann. Wie gesagt, keinen blassen Schimmer wo das Bild hergekommen ist und was das überhaupt soll.
Gestern abend dann eine neue Entdeckung. Die unbekannten hatten wieder zugeschlagen. Wieder die selbe organisierte Gruppe (V4mu), diesmal aber ein anderes Mitglied. Die Person hatte allerdings vergessen, meinen Startbildschirm (PHP) zu löschen, nachdem er den neuen Startbildschirm (HTML) aufgespielt hatte. Deshalb war der neue Angriff zuerst mal unbemerkt gewesen. Ich fand erneut mir unbekannte CGI-Scripts vor, die ich samt Startbildschirm wieder löschte.


Es scheint, egal wie oft ich mein Passwort ändere, egal welches FTP-Tool ich nutze - diese Leute scheinen jedesmal Zugang zu meinem Webspace zu erlangen. Ich habe nur allerdings keine Idee mehr, welche Schwachstelle zum Komprimitieren meines Systems noch offen wäre. Nach einigen Überlegungen festigt sich mein Verdacht mehr und mehr, dass die Angreifer nicht MEIN System sondern das System meines Webhosters komprimitieren.


Hat jemand von euch damit schon Erfahrungen gemacht? Wer kennt sich in der Materie aus und könnte mir Tipps geben, wie ich nun vorgehen soll? Bitte aber keine "Allheil-Ratschläge" wie umsteigen auf Linux oder so.


Danke und Gruß,
Björn

bei Antwort benachrichtigen
...Es scheint, egal wie oft ich mein Passwort ändere, egal welches ... GarfTermy
Die Einfallsmöglichkeiten sind ziemlich breit gefächert. Als erstes ... xafford
Vielen Dank erstmal für die Infos. Allerdings hast du da was falsch ... Bomania
Okay, das mit dem MS-Server und Rootserver hatte ich falsch verstanden bzw ... xafford
An deiner Stelle würde ich mir einmal Nuke genauer anschauen Sorry ich ... Bomania
Nein, dein CMS und die aktuellen Bugs. xafford
Achso du meintest phpNuke. Ich verwende kein CMS. Meine Website ist komplett ... Bomania
Hm...komplett daneben gelegen. Ich hielt es auf den ersten Blick für ... xafford
Zum Thema JPG Dateien bist du nicht auf dem neusten Stand, man kann sehr ... jasmin S.
Ich administriere ein PHPkit und denke daher dass xafford ein PHPNUKE meint. ... jasmin S.
Das FTP-Passwort ist nirgendswo auf der Festplatte gespeichert - außer ... -IRON-
Du musst das nicht speichern lassen sondern kannst es auch jedes Mal ... Bomania
Hallöchen, wenn du deine kiste platt machst, lösche die Platte mit ... mäusebjoern
Eigentlich reicht die erste Spur zu löschen mbr aber wenn du ganz sicher ... jasmin S.
Schon mal versucht, die Webseite mit reinem statischen HTML und komplett ... Rika
Ja, dass könnte sein. Wäre aber ein ziemlich großer Einschnitt in die ... Bomania
jasmin S. Bomania „Ein Fall für Sicherheitsexperten“
Optionen

In den meissten Fällen liegt es am User selbst.
Welches PW hast du gewählt? (lol, nicht posten!)

Ich meine, ist es vielleicht offensichtlich, gibts Hinweise zum PW auf deiner Seite?
blödes Beispiel, aber zb. jemand der eine Heidi Klum Fanpage hat, hat warscheinlich ein PW wie: heidi, klum, heidiklum... so was ist leicht zu erraten.
Dann bräuchte man noch den FTP Zugang, nehmen wir Lycos als Beispiel.
lautet deine URL: www.mitglied.lycos.de/bomania, lautet deine FTP Addi: ftp.mitglied.lycos.de Benutzername:Bomania PW:Heidi??
Somit habe ich schon viele Informationen über Dich.
Finde ich dein PW trotzdem nicht raus, habe ich eine andere Möglichkeit.
Ich schreibe eine Email an den lycos kundenservice:

Sehr geehrte damen und herren,

ich habe meinem ISP gewechselt und habe daher eine neue Email Adresse, habe aber mein PW vergesen, bitte schicken Sie mir eine pw Erinnerung an meine neue Adresse: 1337@bullen.de

Das funktioniert zu 80%
wenn nicht, versuche ich die PW Erinnerungs Sicherheitsabfrage die du beim einrichten des accounts angelegt hast.
zb. wie lautet Ihr Lieblings-schauspieler/in? Test-Antwort: heidi klum??? oder ich probiere weiter.
Dann gibts noch andere Methoden, wie zb. den brute Force hack.
Die brute Force methode ist ein tool, die alle zeichenfolgen ausprobiert. Den Usernamen haben wir schon, also fehlt nur das pw. Ein FTP hack tool, und die brute force methode wählen.
Dann gehts los. er versucht... a,b,c,d,e,f,...... aa,ab,ac,...aba,abb,abc... usw. bis das richtige pw rausgefunden ist.

dann gibts noch die möglichkeit dein pw über einen trojaner oder einen keylogger auszuspähen, wenn dein pw erst mal gehackt ist und sich ein jpg in deinem root verzeichnis befunden hat, du es angeklickt hast, (was du ja getan hast) könntest du dir einen Trojaner eingefangen haben. (doppelklicken auf die jpg datei reicht!!)
nur zur info, man kann zb. den subseven (sollte jedem ein begriff sein) so konfigurieren, dass immer wenn du online bist, eine email an mich geschickt wird, mein messenger (ICQ) sich meldet o. ä.
So weiss ich wann du online bist und kann auf deinen rechner zugreifen ohne dass du es siehst. Also Möglichkeiten gibt es wie sand am meer.
am besten lädst du dir einen anständigen trojanscanner runter, hol dir adaware, asquared, und spybot, das volle programm... lass sie alle suchen. Dann ändere dein pw vom ftp. Ein sicheres pw hat viele zeichen, denke an den Brute force, viele zeichen kosten zeit, am besten so was wie:"schneewittchen&die7Zwerge" inkl. Gänsefüsschen! je mehr zeichen zahlen und sonderzeichen um so besser!!! Niemals pw wie: admin,administrator,root,hund,katze,maus,kevin,haus,ball,bmw oder so was nehmen! und schon garkein pw, was man durch den inhalt deiner hp erraten könnte. Falls du irgendwo einen fremden pc für den FTP zugang benutzt, lösche immer alle cookies, proggies wie cain können alle geheimen daten auslesen.
Versuchs und warte ab was passiert. achso, lösch den ganzen mist der auf deinem ftp ist, warscheinlich stecken noch trojaner drin.
Sicher ist sicher, wenn dein account immernoch gehackt wird, wechsle den provider.

bei Antwort benachrichtigen
Ein Fall für Sicherheitsexperten Bomania
Moin, Ich verwende grundsätzlich nur sog. starke Passwörter, die ich in ... Andylol
Ich lasse meine Webspaces immer überprüfen , besonders wenn von diesen ... Spacebast
Da Kaspersky und Bitdefender eher nach Viren suchen, und Progs wie Spybot ... Bomania