Seite 2 von 3 ErsteErste 123 LetzteLetzte
Ergebnis 21 bis 40 von 44
  1. #21
    Mitglied
    Registriert seit
    Feb 2008
    Beiträge
    6
    Danksagungen
    0

    Standard Re: Hack mehrerer Webauftritte heute Nacht

    Also mein Arbeits Rechner habe ich letzten Donnerstag erst neu aufgesetzt, kann dehalb leider nicht mehr sagen was vorher drauf war, allerdings fällt mir gerade auf das ich damals des öffteren zufällige internet ausfälle hatte (1 - 2 mal täglich), nur auf meinem Rechner alle anderen im Büro hatten diese Probleme nicht (habs damals immer auf WinXP und den Virenscanner geschoben und einfach neugestartet -.-) Dort waren die FTP zugangs daten ebenfalls in Filezilla gespeichert. Habe die FTP Daten auch noch zuhause ebenfalls in Filezilla werd da heut abend auch noch mal nach sehen. Merkwürdig erscheint mir aber das beim mir FTP daten von ca 5 seiten gespeichert waren allerdings nur die eine mit dem iframe behandelt wurde...

    Mein aktuelles System:
    - FileZilla
    - FF 9.0.1 (Shockwave Flash 11.1.102.55, Silverlight 5.0.61118.0)

    Der Kollege von dem das Acrobat plugin abgestürzt ist (habe da noch mal nachgefragt die absturz meldung erschien im FF oben in dieser gelben Leiste):
    - FF 9.0.1 (Adobe Acrobat 9.3.0.148, Java Deployment Toolkit 6.0.260.3 6.0.260.3, Java Platform SE 6 U26 6.0.260.3, Microsoft DRM 9.0.0.4503, Shockwave Flash 10.3.181.14, WMP Plug-in Dynamic Link Libary 3.0.2.629)

    Wir gehen jetzt alle rechner durch und updaten...
    Geändert von dasvitamin (31. 01. 2012 um 10:34 Uhr)

  2. #22
    ex-Moderator Avatar von godlike
    Registriert seit
    Aug 2001
    Beiträge
    11.869
    Danksagungen
    95
    Goldmedaille
    1
    Silbermedaille
    1

    Standard Re: Hack mehrerer Webauftritte heute Nacht

    Ok, habe gerade die aktuelle Avira-Rescue CD hier durchlaufen lassen. Er meint das 2 Dateien aus dem Panda-Antivirus Ordner ein Virus wären was ich aber bezweifle:

    ALERT: [TR/Bodegun.106304.1] .../Program Files (x86)/Panda Security/WaAgent/temp/{AA5E77E7-BDD1-42ad-B362-26ED169F621C}/WABDPE.exe <<< Is the Trojan horse TR/Bodegun.106304.1 [deleted]

    ALERT: [W95/Blumblebee.1738] .../Program Files (x86)/Panda Security/WAC/pskavs.dll <<< Contains signature of the Windows virus W95/Blumblebee.1738 [deleted]
    Dann bringt er noch was von Java

    ALERT: [EXP/2011-3544.AT.2] ...Users/xxx/AppData/LocalLow/Sun/Java/Deployment/cache/6.0/61/324e6fbd-4bc633a3 --> Update.class <<< Contains signature of the exploits EXP/2011-3544.AT.2 [archive scan abort]
    Außerdem habe ich gerade Firefox neu installiert und zuvor komplett gelöscht. Also Deinstalliert und den Ordner danach manuell gelöscht. Trotzdem seind sofort nach der Installation das Adobe Acrobat 8xxx, Java Deployment, Java und ein Unity Player als Plugin aktiv. Habe die gleich alle Deaktiviert.

    Nun stellt sich für mich die Frage ob ich das System komplett neu aufsetzen sollte (C Formatieren), alles Frisch installieren und dann FF ohne Plugins nutzen soll. Andererseits muss ich irgendwie ja Webseiten bauen. Wie soll ich denn komplett ohne Flash usw. z.B. google-Maps Scripte Testen usw,? Ich brauch diese Plugins ja. Großartige Alternativen habe ich ja nicht - die Seiten müssen für alle kompatibel sein und hier ist Flash eben u.A. notwendig. Genau so wie JavaScript bei bestimmten Fällen...

    Zitat Zitat von Kugelfisch23
    Bist du dir sicher, dass dies auch für alle Browser-Plugins gilt?
    Na ich dachte schon. Nicht um sonst habe ich automatische Plugins aktiviert.

    Zitat Zitat von Kugelfisch23
    Abgesehen davon ist mindestens im aktuellen Flash-Player-Plugin der 11er-Versionsreihe eine Schwachstelle vorhanden
    Also eine ältere Version nutzen - kann ja aber auch nicht sein da hier das Sicherheitsloch auch da sein müsste oder? Also komplett verzichten - wobei ich dann nicht weiß wie ich anständig arbeiten soll...

    Könnte es sein das der Exploit / Trojaner die FTP-Passwörter aus einer Filezilla-Config hat? Nach irgend einem Muster muss das Teil ja vorgehen bzw. irgendwie erkennen wo Passwörter gespeichert sind. Kein Trojaner kann ja wissen (blöd gesagt) das unter F:\blah\111.txt FTP-Passwörter sind. Andererseits kann man ja wohl erkennen bzw. ist bekannt an welcher Stelle Filezilla, WSFtp_Le o.Ä. die Passwörter speicher.

    Welches alternative FTP-Programm käme in Frage?

    Zitat Zitat von dasvitamin
    Merkwürdig erscheint mir aber das beim mir FTP daten von ca 5 seiten gespeichert waren allerdings nur die eine mit dem iframe behandelt wurde...
    Same here. Habe in Filezilla 8 Webseiten hinterlegt. Bisher habe ich aber nur bei zweien (eine hier auf der Arbeit und eine zuhause) den Schadcode entdecken können.

    PS: Wieso kann ich youtube Videos ansehen obwohl ich Flash deinstalliert habe und alle Plugins ebenfalls deaktiviert sind?!

    edit: Laut Secunia PSI sind alle Programme Up to Date außer Java und Apple Bonjour. Die Update ich jetzt... Danke für den Programm-Tipp. Das sowas existiert wusste ich nicht. Geht das auch Netzwerkübergreifend? Wohl nicht ohne Probleme?
    Geändert von godlike (31. 01. 2012 um 11:29 Uhr)

  3. #23
    ex-Moderator Avatar von Kugelfisch23
    Registriert seit
    Oct 2007
    Beiträge
    18.640
    Danksagungen
    401

    Standard Re: Hack mehrerer Webauftritte heute Nacht

    Zitat Zitat von godlike Beitrag anzeigen
    Dann bringt er noch was von Java
    Das scheint mir grundsätzlich verdächtiger als die anderen Funde, zumal gemäss Secunia PSI offenbar eine veraltete Java-Version mit Schwachstellen installiert und das entsprechende Plugin aktiv war. Es ist durchaus nicht unwahrscheinlich, dass über ein Java-Exploit auf einer besuchten Webseite Schadcode auf dein System gelangt ist. Möglicherweise wird die abgeworfene Malware noch nicht (vollständig) erkannt, oder aber der Schadcode war nur einmalig aktiv, um sensible Daten zu kopieren, und liess dann möglichst wenige Spuren zurück.

    Zitat Zitat von godlike Beitrag anzeigen
    Nun stellt sich für mich die Frage ob ich das System komplett neu aufsetzen sollte (C Formatieren), alles Frisch installieren und dann FF ohne Plugins nutzen soll. Andererseits muss ich irgendwie ja Webseiten bauen. Wie soll ich denn komplett ohne Flash usw. z.B. google-Maps Scripte Testen usw,? Ich brauch diese Plugins ja. Großartige Alternativen habe ich ja nicht - die Seiten müssen für alle kompatibel sein und hier ist Flash eben u.A. notwendig. Genau so wie JavaScript bei bestimmten Fällen...
    Angesichts der Symptome sowie der Tatsache, dass eine Schwachstelle bestand und offenbar passender(?) Exploit-Code dafür im Java-Cache liegt, würde ich das System als kompromittiert betrachten und sicherheitshalber neu aufsetzen. Du musst nicht komplett auf Plugins verzichten (das wäre zwar die sicherste Lösung, jedoch kaum praktikabel), jedoch wäre sinnvoll, die Menge der aktiven Plugins minimal zu halten (i.A. reicht das Flash-Plugin, in diesem Speziellen Fall wohl besser in Version 10, da die Version 11 die erwähnte kritische Schwachstelle aufweist) und deren Nutzung ggf. mittels NoScript auf vertrauenswürdige Websites einzuschränken. Dann können auch nur Websites in deiner Whitelist eventuelle Schwachstellen ausnutzen.

    Google Maps benötigt Flash übrigens ebenso wenig wie andere Plugins. Lediglich JavaScript (nicht zu verwechseln mit Java und dessen Embedding-Plugins) wird genutzt. Einzig für die Street-View-Funktionalität ist Flash erforderlich.

    Zitat Zitat von godlike Beitrag anzeigen
    Also eine ältere Version nutzen - kann ja aber auch nicht sein da hier das Sicherheitsloch auch da sein müsste oder? Also komplett verzichten - wobei ich dann nicht weiß wie ich anständig arbeiten soll...
    Von Version 10 des Flash Player ist zumindest nicht bekannt, dass sie dieselbe Schwachstelle aufweist wie die Version 11, siehe http://secunia.com/advisories/produc...ask=advisories. Da sich die Codebasen zweier Major-Versionen durchaus relativ stark unterscheiden können, muss man auch nicht zwingend davon ausgehen. Insofern wäre meines Erachtens die Version 10 empfehlenswerter, wenn du nicht (temporär) auf Flash verzichten kannst, bis Adobe die Schwachstelle in Version 11 behebt.

    Zitat Zitat von godlike Beitrag anzeigen
    Könnte es sein das der Exploit / Trojaner die FTP-Passwörter aus einer Filezilla-Config hat?
    Ja, das ist sogar relativ wahrscheinlich. FileZilla speichert die Passwörter (sofern sie gespeichert werden sollen) im Klartext in einer Konfigurationsdatei. Mit dem (durchaus zutreffenden) Argument, dass aktive Malware theoretisch auch ein eventuelles Master-Passwort mitschneiden könnte und dieses daher nutzlos sei, wird auch keine Master-Passwort-Unterstützung inklusive Verschlüsselung der sicherheitrelevanten Konfiguratrionsdateien realisiert - siehe http://trac.filezilla-project.org/ticket/2935.

    Ich würde übrigens keineswegs primär FileZilla für diese Problem verantwortlich machen - das grundlegende Problem war ja scheinbar ein kompromittiertes System. FileZilla könnte zwar Malware zusätzliche Steine in den Weg legen, grundsätzlich müssen jedoch alle auf einem kompromittierten System abgelegten oder eingegebenen Zugangsdaten als kompromittiert betrachtet werden.

    Zitat Zitat von godlike Beitrag anzeigen
    Same here. Habe in Filezilla 8 Webseiten hinterlegt. Bisher habe ich aber nur bei zweien (eine hier auf der Arbeit und eine zuhause) den Schadcode entdecken können.
    Ich kann nur unbedingt dazu raten, sämtliche Zugangsdaten umgehend zu ändern. Möglicherweise versucht die Malware, die Popularität der Websites, deren Zugangsdaten gestohlen wurden, zu ermitteln, und kompromittiert beliebtere Websites zuerst, da dort der Erwartungswert der Anzahl neuer Infektionen am grössten ist. Ausserdem sollten alle diese Websites sehr genau auf eingefügten Schadcode untersucht werden.

    Zitat Zitat von godlike Beitrag anzeigen
    PS: Wieso kann ich youtube Videos ansehen obwohl ich Flash deinstalliert habe und alle Plugins ebenfalls deaktiviert sind?!
    YouTube erkennt per JavaScript, dass die Flash-Unterstützung fehlt, und nutzt in diesem Fall das HTML-5-video-Element zum Abspielen der Videos.

  4. #24
    Mitglied
    Registriert seit
    May 2005
    Ort
    Erde
    Beiträge
    107
    Danksagungen
    8

    Standard Re: Hack mehrerer Webauftritte heute Nacht

    Es könnte aber auch eine größere Sache sein.
    Die Seite polizei.nrw.de kann seit heute Morgen auch nicht mehr aufgerufen werden.

    Will man sich auf eine Sub-Seite direkt einwählen, erscheint in FF der Hinweis, dass der Verbindung nicht vertraut wird. Ruft man das Zertifikat dann ab, wird als Fehler angegeben: "falsche Webseite".

    Da ich mich mit Web-Auftritten nicht auskenne, weiß ich nicht, ob es etwas mit eurem Problem zu tun hat.

  5. #25
    ex-Moderator Avatar von godlike
    Registriert seit
    Aug 2001
    Beiträge
    11.869
    Danksagungen
    95
    Goldmedaille
    1
    Silbermedaille
    1

    Standard Re: Hack mehrerer Webauftritte heute Nacht

    Zitat Zitat von Kugelfisch23
    Angesichts der Symptome sowie der Tatsache, dass eine Schwachstelle bestand und offenbar passender(?) Exploit-Code dafür im Java-Cache liegt, würde ich das System als kompromittiert betrachten und sicherheitshalber neu aufsetzen.
    Ok, werde ich dann wohl machen die Tage wenn ich Zeit dazu finde. Danach werde ich deinen Ratschlag beherzigen und so wenig Plugins wie nötig nutzen bzw. nur Webseiten in meiner Whitelist per NoScript erlauben.

    Eine Alternative zu Filezilla suche ich dennoch. Das Problem bzw. im Klartext gespeichte Passwörter sind ja nicht das gelbe vom Ei. Auch hier geht es z.B. um genau diesen Fall. Da werde ich dann wohl auf eine Alternative ausweichen. Auch wenn das ausschlaggebende Sicherheitsloch wo anders liegt so ist mir hier die Angriffsfläche zu eindeutig.

    Zitat Zitat von Kugelfisch23
    Google Maps benötigt Flash übrigens ebenso wenig wie andere Plugins.
    Sorry das meinte ich auch. JavaScript für Google-Maps kann ich ja bequem per NoScript auf meinen Seiten zulassen. Flash brauche ich wirklich nicht so häufig und wenn das per Fallback dann mit HTML5 funktionier- mir solls recht sein.

    Zitat Zitat von Kugelfisch23
    Ich kann nur unbedingt dazu raten, sämtliche Zugangsdaten umgehend zu ändern.
    Alle FTP-Passwörter habe ich umgehend geändert. War meine erste Tat heute... Das mit der Popularität macht sinn und könnte auch zutreffen.

    Danke auf jeden Fall an Kugelfisch und Antichrist für dich ausführliche Hilfe

    edit:

    Zitat Zitat von DoIt
    Da ich mich mit Web-Auftritten nicht auskenne, weiß ich nicht, ob es etwas mit eurem Problem zu tun hat.
    Dieser Fehler kann viele Ursachen haben. Denke eher nicht das es da einen Zusammenhang gibt...

    Scheint als wäre FileZilla ab und an "Opfer" solcher Angriffe: #1, #2
    Geändert von godlike (31. 01. 2012 um 14:09 Uhr)

  6. #26
    Mitglied
    Registriert seit
    Jun 2007
    Beiträge
    2
    Danksagungen
    0

    Standard Re: Hack mehrerer Webauftritte heute Nacht

    Ebenfalls betroffen, knapp die Hälfte von 15 Server, wo ich die Webseiten betreue sind betroffen mit der Iframe Attacke mit verschiedenen Adressen (aber alle mit stata.htm).
    Keine Einheitlicheit zu entdecken: mal 1&1, mal Goneo...., mal Wordpress, mal nicht.

    Alle Angriffe vom 30.1.2012 gegen 4:10.

    Der FTP Log ergab einen Zugriff auf die FTP Zugänge gegen 4:10 von einer Adresse Nähe Riga.
    Über den FTP Log kann ich natürlich auch sehen welche Datein mit dem IFrame bearbeitet wurden.

    Der Access Log hat allerdings nichts auffälliges ergeben...wie etwa Abfragen auf bestimmte Scripte.

    Insofern gehe ich davon aus, das hier der Zugang über direkt geknackte FTP Passwörter erfolgt ist.

    Soweit ich sehe sind die eingetragenen IFrame-Adressen nicht erreichbar.

    Einfaches Lösechen des IFRame Code auf allen Seiten die am 30.1.2012 gehackt wurden sollte ausreichend sein.

    Passwörter ändern....

    Ärgerlich das Ganze.

    http://www.zdnet.de/news/41555281/ne...000-seiten.htm

  7. #27
    ex-Moderator Avatar von godlike
    Registriert seit
    Aug 2001
    Beiträge
    11.869
    Danksagungen
    95
    Goldmedaille
    1
    Silbermedaille
    1

    Standard Re: Hack mehrerer Webauftritte heute Nacht

    Welches FTP-Programm nutzt du treibstoff? Nur aus Interesse...

  8. #28
    Mitglied
    Registriert seit
    Jun 2007
    Beiträge
    2
    Danksagungen
    0

    Standard Re: Hack mehrerer Webauftritte heute Nacht

    @ godlike

    WSFTP

  9. #29
    ex-Moderator Avatar von aNtiCHrist
    Registriert seit
    May 2000
    Beiträge
    24.175
    Danksagungen
    28

    Standard Re: Hack mehrerer Webauftritte heute Nacht

    Zitat Zitat von treibstoff Beitrag anzeigen
    Passwörter ändern....
    Das allein schützt aber auch nur dann vor weiteren Manipulationen, wenn die Passwörter auch auf einem anderen System genutzt wurden, auf dem sie zukünftig nicht mehr genutzt werden und nur dieses kompromittiert war. Sollte hingegen das eigene System kompromittiert sein, hilft das Ändern maximal kurzfristig. Die aktuellen Passwörter können dann schließlich jederzeit wieder ausgespäht werden.

  10. #30
    ex-Moderator Avatar von godlike
    Registriert seit
    Aug 2001
    Beiträge
    11.869
    Danksagungen
    95
    Goldmedaille
    1
    Silbermedaille
    1

    Standard Re: Hack mehrerer Webauftritte heute Nacht

    Zitat Zitat von aNtiCHrist Beitrag anzeigen
    Die aktuellen Passwörter können dann schließlich jederzeit wieder ausgespäht werden.
    Sofern diese auf dem Rechner hinterlegt wurden. Ich gehe ja schon davon aus das der Exploit gezielt nach Passwort-Dateien von FTP-Programmen (deren Namen und Speicherort jetzt ja nicht so exotisch sind) gesucht hat. Davon kann man ja ausgehen da es sich ja ausschließlich um Angriffe auf FTPs gehandelt hat. Denke nicht das die Passwörter jetzt sofort wieder geklaut werden wenn diese z.B. nur ins Programm eingegeben werden. Also ohne diese zu speichern. Was natürlich nicht heißen soll das man sich nicht um das kompromittierte System kümmern sollte -> neu aufsetzen usw.

  11. #31
    ex-Moderator Avatar von Kugelfisch23
    Registriert seit
    Oct 2007
    Beiträge
    18.640
    Danksagungen
    401

    Standard Re: Hack mehrerer Webauftritte heute Nacht

    Es ist zwar möglich, dass die Malware lediglich gespeicherter Passwörter stiehlt oder dies gar nur einmalig getan hat. Du musst jedoch (sofern du die Malware nicht analysiert und dies bestätigt hast) davon ausgehen, dass sämtliche auf dem System eingegebenen Zugangsdaten dem Angreifer in die Hände fallen.

    Die Tatsache, dass diverse Seiten über gestohlene FTP-Zugangsdaten kompromittiert wurden sagt nichts abschliessend über den Funktionsumfang der Malware aus. Offenbar hat sie mindestens die Funktion, gespeicherte Passwörter auszulesen, kann aber einen beliebigen weiterreichenden Funktionsumfang haben.

  12. #32
    Mitglied
    Registriert seit
    Sep 2008
    Beiträge
    2
    Danksagungen
    0

    Standard Re: Hack mehrerer Webauftritte heute Nacht

    ich habe einen solchen "Hack" ebenfalls beobachten können, daher hier erst einmal meine Ermittlungen:

    der Angriff fand am 30. und am 31. Januar 2012 statt und kam von einer IP aus Lettland: 94.142.133.214

    Der Angreifer hat kein Bruteforce oder ähnliches benutzt, sondern kannte irgendwoher die FTP Zugangsdaten. Ich vermute daher, dass diese von irgend woher ausgespäht wurden. Die derzeitge Vermutung ist, dass der Angreifer eine Passwort-Liste besaß, welche jedoch mindestens älter als eine Woche war. Bei einem meiner Zugänge wurde das Kennwort knapp eine Woche vorher geändert und hier erfolgte ein fehlgeschlagener Zugriff von dieser Seite.

    Eingeschleust wurde offensichtlich durch einen Bot, denn die Differenz zwischen Up- und Downloadzeit via FTP von etwa 1 Sekunde lässt keinen Menschen diesen Code einfügen.

    Eingefügt wurde in alles, was PHP bzw. HTML ähnlich aussah. In meinen Fällen wurde unmittelbar hinter dem <body>-Tag innerhalb des HTML Codes der bekannte iframe eingebaut. Die IFRAMEs, bzw. das Ziel sind unterschiedlicher Natur:

    "src=http://www.negrilab.it/old/stata.html"
    "src=http://www.rufin-zanaga.org/stata.html"
    "src=http://alessandroterrosi.it/store/stata.html"
    "src=http://computek-ncl.com/stata.html"
    "src=http://gadgotec.com/stata.html"
    "src=http://nfarri.altervista.org/stata.html"
    "src=http://marcodenicolais.it/stata.html"
    Allesamt Domains aus Italien. Interessanter Weise benutzen diese Domains eine Art Round-Robin im DNS. Ein Ping geht immer wieder auf eine andere IP, alle jedoch (zumindest meinen bisherigen Erkenntnissen nach zur Folge) in das gleiche Subnetz: 62.149.128.0/255.255.255.0

    Der IFrame selber, wie man sehen kann, hat immer die gleiche Datei im Link enthalten sata.html. Anderen Quellen zur Folge habe ich ein paar "Internal Server Error" Fehlerseiten gesehen beim Versuch, diese Seite zu öffnen. Dort stand ebenfalls etwas von IIS-Fehlercodes (würde auf Windows als Server hinweisen), jedoch bezweifle ich, dass diese Seite eine echte Fehlerseite ist. Denn der eingeschleuste IFrame hätte ja kaum Bedeutung, wenn nicht eine funktionierende Seite dahinter stehen würde (ausser die IP-Logs im error-log des Apache). Letztere Variante wäre dann aber ebenfalls sinnfrei, denn dann müsste man nicht immer die gleiche Datei als Ziel angeben. Ich vermute daher eine nachprogrammierte Fehlerseite, welche intern jedoch irgend etwas mitloggt.

    Derzeitig denke ich, dass dieser Hack eine Vorbereitung oder etwas dergleichen war, denn im Grunde wurde nichts großartig verändert als dieser Einbau des IFRAMES. Warum?

    Wenn Ihr neue Erkenntnisse habt, gebt mal bescheid. Würde mich ebenfalls interessieren.

    Gruß kruemeltee

  13. #33
    ex-Moderator Avatar von aNtiCHrist
    Registriert seit
    May 2000
    Beiträge
    24.175
    Danksagungen
    28

    Standard Re: Hack mehrerer Webauftritte heute Nacht

    Über die Einbindung des Iframes können den Besuchern der Webseiten leicht beliebige Inhalte untergeschoben werden. Sollten gängige Malwarescanner fündig werden, können die Inhalte so schnell ausgetauscht werden, selbst wenn die Zugangsdaten zu den einzelnen Websites inzwischen nicht mehr aktuell sein sollten. Genutzt werden die üblicherweise nicht sichtbaren Iframes für Exploits, um noch mehr Systeme zu kompromittieren. Dort können dann ebenfalls Zugangsdaten ausgespäht werden. Nebenbei können die kompromittierten Systeme (sowohl Clients als auch Server) natürlich auch für andere Dinge missbraucht werden. Siehe auch http://board.gulli.com/thread/152225...551252-sec_3.1

  14. #34
    Mitglied
    Registriert seit
    Sep 2007
    Beiträge
    12
    Danksagungen
    0

    Standard Re: Hack mehrerer Webauftritte heute Nacht

    Hallo zusammen,

    ich betreue auch zwei Webseiten. Auf beiden ist mir druch Zufall aufgefallen, dass alle *.html Dateien am 31.01.2012 um 19:27 geändert wurden. Meine Aktualisierung lag aber vor 2012, also habe ich mir die Dateien angeschaut und auch die *.it Domains im iframe gefunden.

    Meine Fragen an die Experten:

    - Ich habe die Seiten erstmal vom Netz genommen - wegen der Sicherheit. - Wie bringe ich die wieder manipulationssicher drauf?
    - Wie sind die zu dem Zugang von meinen html Dateien gekommen, ist das mein Sicherheitsproblem oder das des Betreibers? Ich hatte keinen extra Passwortschutz für mein html-verzeichnis eingerichtet, dachte das wäre eh Standard (jetzt geändert).
    - Ich speicher die Zugangsdaten in Filezilla und im Passwortmanager von Mozilla für die Statistik Aufrufe. Passwörter sind erstmal alle geändert - auch wegen der Sicherheit
    Sollte ich das nicht tun bzw. sind andere jetzt auch ausgespäht?

    Achso, ich bin nicht der Serverbetreiber sondern habe den Webspace gemietet.

    Danke für alle die helfen!

    Gruß..

    dr-nice

  15. #35
    ex-Moderator Avatar von Kugelfisch23
    Registriert seit
    Oct 2007
    Beiträge
    18.640
    Danksagungen
    401

    Standard Re: Hack mehrerer Webauftritte heute Nacht

    Zitat Zitat von dr-nice666 Beitrag anzeigen
    Ich habe die Seiten erstmal vom Netz genommen - wegen der Sicherheit. - Wie bringe ich die wieder manipulationssicher drauf?
    Stelle sicher, dass dein System wieder frei von Malware ist, ändere deine FTP-Zugangsdaten und lade bereinigte (und komplett überprüfte) Versionen der HTML-Dokumente neu hoch.

    Zitat Zitat von dr-nice666 Beitrag anzeigen
    Wie sind die zu dem Zugang von meinen html Dateien gekommen, ist das mein Sicherheitsproblem oder das des Betreibers?
    Darüber wurden im Laufe dieses Threads bereits mehrere Vermutungen angestellt, sehr wahrscheinlich ist, dass dein System kompromittiert und die auf deinem System gespeicherten oder eingegebenen FTP-Zugangsdaten ausgespäht wurden. Insofern solltest du zunächst unbedingt gemäss http://board.gulli.com/thread/15222...2#post12551252 vorgehen und sicherstellen, dass dein System frei von Malware ist. Dazu wirst du es neu aufsetzen müssen, da weder der Infektionsweg noch der konkret ausgeführte Schadcode vollständig bekannt ist. Danach solltest du umgehend sämtliche(!) Zugangsdaten - nicht nur die FTP-Zugangsdaten für deine Website - ändern. Dies muss von einem nachweislich sauberen System aus geschehen, z.B. von deinem neu aufgesetzten System oder einem Live-System.

  16. #36
    Mitglied
    Registriert seit
    Sep 2007
    Beiträge
    12
    Danksagungen
    0

    Standard Re: Hack mehrerer Webauftritte heute Nacht

    Hallo Kugelfisch23,

    ja danke. Den Link lese ich gerade. Mein System habe ich Mittlerweile einmal neu aufgesetzt, weil mir meines nicht koscher vorkam. Hatte ich wohl recht mit.

    Wie beurteilst Du denn die im Mozilla gespeicherten Passwörter? Räts Du da grundsätzlich von ab?

    Gruß

    dr-nice

  17. #37
    ex-Moderator Avatar von Kugelfisch23
    Registriert seit
    Oct 2007
    Beiträge
    18.640
    Danksagungen
    401

    Standard Re: Hack mehrerer Webauftritte heute Nacht

    Nicht unbedingt. Es wäre natürlich denkbar, dass eine Schwachstelle im Passwort-Manager dazu führt, dass Firefox automatisch Zugangsdaten auf einer Website einträgt, welche diese ursprünglich nicht gespeichert hatten. Von solch einer Schwachstelle wäre mir jedoch zum aktuellen Zeitpunkt nichts bekannt. Um zu verhindern, dass jemand mit physischem Zugriff auf dein System die Passwort-Datenbank kopieren und auslesen kann, kannst du diese durch ein Master-Passwort schützen. In diesem Fall werden die Inhalte mit einem aus dem Master-Passwort abgeleiteten Schlüssel (stark) verschlüsselt.

    Wenn das lokale System kompromittiert wird, musst du ohnehin davon ausgehen, dass sämtliche gespeicherten oder eingegebenen Daten ausgespäht werden. Die einzig wirksame Schutzmassnahme ist zu verhindern, dass dein System überhaupt erst kompromittiert wird. Dazu findest du in Abschnitt 2 des verlinkten Sticky einige Hinweise und Tipps.

  18. #38
    Mitglied
    Registriert seit
    Sep 2008
    Beiträge
    2
    Danksagungen
    0

    Standard Re: Hack mehrerer Webauftritte heute Nacht

    ich habe jetzt nochmal die Seiten angeschaut und nen Dump der übertragenden Daten angeschaut, da das Ergebnis ja ziemlich vielfältig aussieht. Von IIS Fehlermeldungen über 404 not Found und und und ... ich hab die mal als DUMP angehangen:

    Ich habe Initial einmal die alessandroterrossi.org angeschaut und interessanter Weise scheint der tatsächlich Daten mit der jeweiligen Seite auszutauschen um dann auf einen anderen Server weiter zu leiten, von dem dann letztendlich die Fehlermeldung im Browser kommt ...

    vielleicht findet ja jemand auch noch etwas dadurch bzw. hat Lust das weiter zu Analysieren ... ich sitz auch mit dran!

    Gruß kruemeltee
    Angehängte Dateien Angehängte Dateien

  19. #39
    ex-Moderator Avatar von godlike
    Registriert seit
    Aug 2001
    Beiträge
    11.869
    Danksagungen
    95
    Goldmedaille
    1
    Silbermedaille
    1

    Standard Re: Hack mehrerer Webauftritte heute Nacht

    Also Leute ich bin Ratlos. Hatte nun schon wieder den selben Fall. 11.02. waren wieder ca. 10 php-Dateien mit einem Javascript versehen. Ein kompromittiertes System kann ich diesmal wirklich ausschließen da:

    • Ich nur von einem Rechner auf diese Webseite per FTP-Zugegriffen habe
    • Dieser eine Rechner komplett neu aufgesetzt wurde -> Linux Mint
    • Auf diesem Linux der neuste FF lief mit NoScript
    • Alle FTP-Passwörter und Zugangsdaten erneuert habe. Keine Realnamen, nix einfaches. 15 Stellige Passwörter per Zufallsgenerator aus Sonderzeichen, Zahlen und Buchstaben.


    Der einzige Fehler den ich vielleicht gemacht habe war kurz Filezilla zu installieren (aus den offiziellen Quellen für Ubuntu) und etwas auf den FTP zu laden. Scheinbar hat er wieder das Passwort gespeichert obwohl ich das nicht vor hatte. Kurz darauf war dann wieder dieser Angriff. Ich bin langsam überzeugt das es sich um eine Schadsoftware handelt die ihre FTP-Passwörter aus Filezilla holt. Vielleicht auch noch aus anderen FTP-Clients. Nur Wie? Ich wüsste jetzt wirklich nicht wo mein System diesmal eine Schwachstelle haben könnte. Alternativ kann ich mich auch schlecht schützen ohne den Grund zu kennen. Auf Filezilla werde ich nun komplett verzichten...

    Das nur als Update. Wirklich extrem nervig und auch frustrierend das Ganze

  20. #40
    ex-Moderator Avatar von aNtiCHrist
    Registriert seit
    May 2000
    Beiträge
    24.175
    Danksagungen
    28

    Standard Re: Hack mehrerer Webauftritte heute Nacht

    Was denn nun? Du schließt ein kompromittiertes System aus, gehst aber von Malware aus, die die in FlieZille gespeicherten Zugangsdaten ausliest? Das erscheint mir schlecht vereinbar.

    Ein kompromittiertes (reines) Desktopsystem unter Linux wäre tatsächlich recht ungewöhnlich, insofern erscheint mir deine Theorie, dass die lokal gespeicherten Zugangsdaten ausgelesen wurden, recht abwegig. Dass es an FileZilla selbst liegen könnte, ist zwar nicht auszuschließen, das müsste aber mutmaßlich bedeuten, dass FileZille eine Funktion zum Ausspähen von Zugangsdaten enthält und diese offenbar nicht nur in einer konkreten Version enthalten ist. Dann müsste man sich allerdings fragen, warum offenbar die meisten Nutzer nicht betroffen sind.

    Könnte es sein, dass du bei einem Anbieter bist, der das Einrichten von separaten Konten für den FTP-Zugriff zulässt? Möglicherweise wurde dann ja so eine Hintertür eingerichtet. Weitere potenziell mögliche Wege wären eine geänderte E-Mail-Adresse in den Kundendaten des Anbieters, worüber weiterhin das Passwort über eine Passwort-vergessen-Funktion abgerufen werden kann. Eventuell gibt es auch eine Schwachstelle bei deinem Hoster, die über einen kompromittierten Zugang eines anderen Kunden ausgenutzt wird. Nutzt du eine verschlüsselte FTP-Verbindung, oder geht das Passwort im Klartext durchs Netz? Hast du nach dem ersten Entdecken der Manipulationen sämtliche Dateien auf dem Server eingehend auf ihren Inhalt geprüft? Was befinden sich konkret für Scripte darauf? Sind dort irgendwo Zugangsdaten für MySQL/FTP hinterlegt? Gibt es möglicherweise verdächtige GET-Parameter oder POST-Anfragen in den Logs? Zeigen die Logs allgemein oder insbesondere kurz vor dem FTP-Zugriff irgendwelche Auffälligkeiten? Möglicherweise gezielte Zugriffe auf bestimmte Dateien aus einem Netz von den üblichen Verdächtigen? Südkorea, China, Russland, ... halt irgendein Land, wo Abuse-Meldungen gerne ignoriert werden und entsprechend viele kompromittierte Systeme aktiv sind.

    Auffällig ist ja bei dir, dass längst nicht alle Konten kompromittiert wurden, dafür aber offenbar zumindest eines wiederholt. Das spricht ja eher dafür, dass das lokale System nicht kompromittiert wurde. Wo es zwischen den Konten und den Zugriffen darauf Gemeinsamkeiten oder Unterschiede gibt, wäre da natürlich sehr interessant. Möglicherweise beschränkt sich das dann ja auf einen bestimmten Anbieter. Da wäre es dann für die anderen Betroffenen interessant, ob es da Übereinstimmungen gibt.

  21.  
     
     
Seite 2 von 3 ErsteErste 123 LetzteLetzte

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •