[noir-pwnz]

Hallo zusammen...

Sowas hat bestimmt schonmal jemand von euch erlebt.
Du guckst abends um um 23:00 mal eben deine Projekte durch, um zu checken ob noch alles online ist, und erblickst dann bei einem deiner Projekte aufeinmal sowas:
http://img165.imageshack.us/img165/9066/screenfd3.jpg

Musste ich erstmal schlucken.
Hab mich dann direkt aufm FTP eingeloggt, um nachzusehen, was der Hacker alles angerichtet hatte...
Doch lediglich die Indexdatei des Servers wurde ausgetauscht - keine sonstigen Dateien fehlten oder ähnliches.

Jetzt frag ich mich natürlich, wie das passieren konnte...
Mein Passwort ist lang genug, mit sonderzeichen usw.
Kann mir nicht vorstellen, dass das PW per Burteforce geknackt wurde.
Unsichere PHP-Scripts dürften auch nicht auf dem Server vorhanden sein und selbst wenn - das Hauptverzeichnis hat ja keine Schreibrechte...

hat jemand von euch schonmal so eine Erfahrung gemacht, und kann mir sagen, wie genau der Hacker das angestellt hat, Dateien auf meinem Server auszutauschen?
Würde mich gerne davor schützen

lG
breytex

[Tom]

Hi,

ich würde wetten Du hast eine PHP-Software wie phpBB, Wordpress or whatever im Einsatz. Die muß auch nicht direkt in der Domain liegen sondern lediglich im Verzeichnisbaum. Der Zugriff kann dann z.B. für exec() erfolgen, was wirklich einfach ist.

Ohne groß nach zu gucken würde ich darauf wetten das Du Opfer eines Exploit geworden bist. Ausgeführt durch ein billiges Script das nach einem String der Software sucht.

Also: No Panic - Backup einspielen - Softwareupdates suchen

Bye
Tom

[mathmos]

Nein sowas hat bestimmt noch nicht jeder von uns erlebt. Mir ist sowas noch nie passiert.

Solche Hacks erfolgen zu einem Großteil durch Sicherheitslücken in der eingesetzten Software. Schreibrechte auf dem Webspace sind dazu idR auch nicht nötig.

cu
mathmos

[noir-pwnz]

wbblite lief in einem unterverzeichnis...

Ich frage mich nur, wie der Hacker die Indexdateien ALLER unterverzeichnisse austauschen konnte...

/
/wbblite
/test


im Ordner test z.b. hat er die Index auch ausgetauscht...

Wie sieht so ein exploid aus?
Er muss doch irgend einen Fileuploader benutzt haben...
Exec kann ich mir nicht vorstellen... Php läuft in safemode bei meinem Spaceanbieter.
Dachte immer wbblite wäre sicher oO

Was ich mich aber auch frage: was hat der hacker davon, sich einzuklinken, aber nichts zu löschen o.ä ?

[mathmos]

Nichts ist sicher. Egal ob phpBB, wbb, smf oder vBulletin. Es tauchen immer Sicherheitslücken auf, die man zeitnah stopfen muss.

Das waren übrigens keine Hacker sondern Scriptkiddies. Was die davon haben? Ruhm unter Ihresgleichen. Umso mehr Seiten man "hackt" umso toller ist man.

cu
mathmos

[s3cond]

Das war ne ganz simple übung im "websites mit bestimmter applikation suchen, scannen und defacen"... dazu gibts tausende von fertigen scripts... man sucht sich nur eine seite mit der entsprechenden forensoftware/CMS was auch immer. setzt das script darauf an und alle index.html/index.php werden durch eine vorher definierte index seite ausgetausch...

was du jetzt dagegen machen kannst? benutz möglichst unbekannte/selbstgeschriebene software (ist mir klar dass das nicht immer geht...) und sonst achte möglchst darauf dass du aktuelle versionen benutzt

[noir-pwnz]

So... hab jetzt raus, wie er es gemacht hat...

Finde ich eigentlich recht lächerlich.
Wollte eigentlich gerade nen SQL-dump ziehen, und sehe, dass die Index von phpmyadmin auch ausgetauscht wurde.
Auf das phpmyadmin verz. habe ich jedoch kein zugriffsrecht.
D.h. es muss eine ebene höher ausgelöst worden sein, und so wars dann auch.
Provider angeschrieben, die meinte dann, dass einfach die Kundenoberfläche "gehackt" wurde.

erbärmlich wie ich finde.

Sind wohl mehrere hundert Kunden betroffen...

[mathmos]

Was ja nicht gerade für diesen Anbieter spricht...

cu
mathmos

Darf man den Namen des Anbieters erfahren?

[weibaz]

ich hab neulich hier im board gelesen, dass bei servage.net und anderen massenhostern solche massenhacks laufen.
die schleusen da scripts ein welche den ganzen server nach 777 chmod index.php & index.html dateien absuchen und austauschen.

Und welcher Anbieter setzt das von ihm verwaltete phpmyadmin auf 777? Das ist doch die entscheidende Frage :>

[noir-pwnz]

Spoiler:

www.revido.de

Ah... habe eine Email erhalten

Zitat:

Sehr geehrter Herr XXX,

wie bereits geschrieben, haben wir genau diese Dateien nicht im Backup. Unser Backup fand genau im MOment des Angriffes statt und somit wurden die dfekten index-Dateien mitgesichert.

Original Rechtschreibung usw
Wie geh ich "ich will das geld zurück" am besten an ?

[nethiob]

hmm klingt als hätten die gar keine backups.

[c_a]

Hi,
wenn du eine Rechtsschutzversicherung hast (bzw. deine Erziehungsberechtigten),
dann würde ich mir an deiner Stelle rechtlichen Rat suchen.






.

[Skyforger]

das so ein spottbilliger anbieter irgendwo sparen muss kann man sich eigentlich denken.

wofür willst du denn dein geld zurück? lies dir doch erstmal deinen vertrag oder besser noch die abg´s durch, wenn du da nicht fündig werden solltest, kannste ja immernoch überlegen dir deine 10€ kosten oder was auch immer zurückzuverlangen.