Viren, Spyware, Datenschutz 11.215 Themen, 94.214 Beiträge

Verfolgung starten Optionen

Ein Fall für Sicherheitsexperten

Bomania / 21 Antworten / Flachansicht Nickles

Hallo,


wie ich in letzter Zeit gesehen habe, befinden sich hier im Forum einige fähige Leute. Vielleicht könnt ihr mir weiterhelfen. Zu Situation: Vor etwas zwei Wochen wurde meine Website von unbekannten gehackt (Startbildschirm wurde ausgetauscht, irgendwelche CGI-Scripte raufgeladen...). Den Eingriff habe umgehend rückgängig gemacht. Natürlich habe ich außerdem sofort meinen Provider/Webhoster (Bytecamp.net) kontaktiert. Natürlich weisen sie jegliche Schuld von sich - 1. soetwas würde bei Bytecamp nur ein bis zwei mal im Jahr passieren. 2. Schuld daran seien immer die User selbst, denn bei den Webservern würden große Sicherheitsvorkehrungen getroffen.


Es sei noch erwähnt, dass Bytecamp VOLLSTÄNDIG auf Open Source Software setzt. Da mir der Support also auch nicht unbedingt weiter geholfen hat, habe ich einige Vorkehrungen getroffen. Das FTP-Passwort ist nirgendswo auf der Festplatte gespeichert - außer natürlich im FTP-Programm selbst. Deshalb habe ich dieses deinstalliert, habe sicherheitshalber die neuesten Windowsupdates drauf gezogen, und natürlich habe ich das Passwort für den FTP-Zugang geändert.


Soweit so gut. Seitdem passierte nichts. Bis ich gestern nachmittag ein JPG-Bild im Root meines Webspace vorfand. Die Herkunft dieses Bildes war mir gänzlich unbekannt und ich ahnte übles. Das Bild ist übrigens ein Screenshot irgendeines Tools. Nach einigen Recherchen habe ich heraus gefunden, dass es sich um ein Linux-Tool handelt, mit welchem man anscheinend das Erscheinungsbild bzw. die Farben der Linuxoberfläche ändern kann. Wie gesagt, keinen blassen Schimmer wo das Bild hergekommen ist und was das überhaupt soll.
Gestern abend dann eine neue Entdeckung. Die unbekannten hatten wieder zugeschlagen. Wieder die selbe organisierte Gruppe (V4mu), diesmal aber ein anderes Mitglied. Die Person hatte allerdings vergessen, meinen Startbildschirm (PHP) zu löschen, nachdem er den neuen Startbildschirm (HTML) aufgespielt hatte. Deshalb war der neue Angriff zuerst mal unbemerkt gewesen. Ich fand erneut mir unbekannte CGI-Scripts vor, die ich samt Startbildschirm wieder löschte.


Es scheint, egal wie oft ich mein Passwort ändere, egal welches FTP-Tool ich nutze - diese Leute scheinen jedesmal Zugang zu meinem Webspace zu erlangen. Ich habe nur allerdings keine Idee mehr, welche Schwachstelle zum Komprimitieren meines Systems noch offen wäre. Nach einigen Überlegungen festigt sich mein Verdacht mehr und mehr, dass die Angreifer nicht MEIN System sondern das System meines Webhosters komprimitieren.


Hat jemand von euch damit schon Erfahrungen gemacht? Wer kennt sich in der Materie aus und könnte mir Tipps geben, wie ich nun vorgehen soll? Bitte aber keine "Allheil-Ratschläge" wie umsteigen auf Linux oder so.


Danke und Gruß,
Björn

bei Antwort benachrichtigen
...Es scheint, egal wie oft ich mein Passwort ändere, egal welches ... GarfTermy
Die Einfallsmöglichkeiten sind ziemlich breit gefächert. Als erstes ... xafford
Vielen Dank erstmal für die Infos. Allerdings hast du da was falsch ... Bomania
Okay, das mit dem MS-Server und Rootserver hatte ich falsch verstanden bzw ... xafford
An deiner Stelle würde ich mir einmal Nuke genauer anschauen Sorry ich ... Bomania
Nein, dein CMS und die aktuellen Bugs. xafford
Achso du meintest phpNuke. Ich verwende kein CMS. Meine Website ist komplett ... Bomania
Hm...komplett daneben gelegen. Ich hielt es auf den ersten Blick für ... xafford
jasmin S. Bomania „Achso du meintest phpNuke. Ich verwende kein CMS. Meine Website ist komplett...“
Optionen

Zum Thema JPG Dateien bist du nicht auf dem neusten Stand, man kann sehr wohl Programmcode hinter einer *.JPG, bzw. *.bmp Datei verstecken.

Das geschieht entweder mit Tools, ähnlich wie bei Subseven (Server Editor)
(da gehts nur mit *.exe Dateien) oder manuell (Steganophie).
Erst vor einiger Zeit machte sich ein Wurm breit: W32/Perrun-A.
Er verändert die Registrierung so, dass beim Doppelklick auf eine .JPG-Datei anstelle der originalen entsprechenden Bildanzeige extrk.exe gestartet wird.

Hier gibts nen beitrag zu einem versteckten Trojaner in einer JPG : http://www.winfuture.de/news,11702.html

Andererseits gibts noch angehängte Trojaner/Viren
zb. aus Verona.jpg wird Verona.jpg.vbs oder von mir aus auch Verona.pif (*.pif Dateien werden wie *.exe dateien behandelt.

Schade ich hatte einen GB Eintrag mit einer URL zu solch einem JPG, allerdings war der Autor so blöd seine echte IP beim Eintagen zu bbenutzen und so hatte ich schnell ISP, Email und Hoster der Webseite raus. Informierte ihn per Mail, wie blöd er sei seine Spuren nicht zu verwischen und schickte ihm gleich die Kopie der Email an seinen Hoster mit.

Tja, jetzt ist die Seite mit dem Bild natürlich weg.
Hab ich übrigens nicht getan um ihn zu verpetzen, sondern weil der Spaß bei Viren einfach aufhört. (obwohl ja nicht alle schädlich sind.)

Fast vergessen... schon mal in nem Chat gewesen?
Schon mal gelesen: "Hi, ich bin die geile Steffi, wer will mit mir Pics tauschen?" Ich sag dir, die Person heisst zu 80% nicht Steffi (wohl eher Stefan) und freut sich wenn du seine Pics entgegen nimmst.

Und zu dem Problem würde ich sagen du solltest echt den Hoster wechseln.
Deine PWLänge ist ok. gibts vielleicht irgendeinen Bug in deiner HP?
hast du php scripte benutzt? Hast du eine Mysql Datenbank?

Wenn ja, hast du schon mal was von dem Bug der Cookies auslesen gehört?
Durch Eingabe einer bestimmten URL wird eine Alert-DialogBox erzeugt, in dieser kann man das Cookie der HP betrachten. In diesem Cookie werden die für die automatische Anmeldung benötigten Daten gespeichert. Cookies können nur von der Webseite, die sie erstellt hat, gelöscht, bearbeitet oder angesehen werden. Man könnte die URL weiter ausbauen und das Cookie auf einem Webserver speichern. Anschliessend könnte man mit den geklauten Cookies mit den Accounts anderer User anmelden, auch mit den der Admins!! Dazu muß allerdings einer Mods oder Admins auf den Link klicken, zb. könnte man einen beitrag ins Forum schreiben und dazu einen spannenden Link posten, der dann alle Informationen auf meinem Webserver speichert die ich brauche. Somit habe ich Zugriff auf HP sprich zb Admin Panel, und kann je nach Aufbau deiner seite (kenne sie ja nicht) zb. auch ftp und mysql Account auslesen. Das reicht um deine HP zu verändern.





bei Antwort benachrichtigen
Ich administriere ein PHPkit und denke daher dass xafford ein PHPNUKE meint. ... jasmin S.
Das FTP-Passwort ist nirgendswo auf der Festplatte gespeichert - außer ... -IRON-
Du musst das nicht speichern lassen sondern kannst es auch jedes Mal ... Bomania
Hallöchen, wenn du deine kiste platt machst, lösche die Platte mit ... mäusebjoern
Eigentlich reicht die erste Spur zu löschen mbr aber wenn du ganz sicher ... jasmin S.
Schon mal versucht, die Webseite mit reinem statischen HTML und komplett ... Rika
Ja, dass könnte sein. Wäre aber ein ziemlich großer Einschnitt in die ... Bomania
Ein Fall für Sicherheitsexperten jasmin S.
Ein Fall für Sicherheitsexperten Bomania
Moin, Ich verwende grundsätzlich nur sog. starke Passwörter, die ich in ... Andylol
Ich lasse meine Webspaces immer überprüfen , besonders wenn von diesen ... Spacebast
Da Kaspersky und Bitdefender eher nach Viren suchen, und Progs wie Spybot ... Bomania