Hacker Angriff auf Webseiten 27.12.10

Fronk · 6. Januar 2011 um 16:58

Hallo liebe Sicherheitsexperten,

am 27.12.2010 sind mehrere Webseiten gehacked worden. Es wurden auf sämtlichen index Dateien folgender Code eingefügt:

jetzt erschließt sich mir nicht ganz, wie das passieren konnte. Passwort ist ok (nicht leicht zu erraten)

Kann mir jemand erklären wie die das gemacht haben? lt. ip Adresse sitzen die Hacker in Kiev, Ukraine.

Gruß
Fronk

[MOD]: IP-Adresse anonymisiert

Stefan_Schustereit · 6. Januar 2011 um 18:51

jetzt erschließt sich mir nicht ganz, wie das passieren
konnte.

Da bist du nicht allein. Mir erschließt sich das ebenfalls nicht, was aber auch daran liegen könnte, dass zu vornehm jegliche Information, die auch nur irgendwie wichtig sein könnte, verschweigst.

Welche Server (Webserver, Datenbankserver, was auch immer) wurden benutzt? Versionen? Welches Betriebssystem? Version? Patchstand? Offene Ports - welche? Geschützt durch welche Technologie (Firewall etc)? Aufgestellt wo? Administriert wie?

Passwort ist ok (nicht leicht zu erraten)

Ich kann nur spekulieren, aber ich nehme mal an, dass ich mich nicht zu weit aus dem fenster lehne, wenn ich sage: dein Passwort haben die wirklich nicht gebraucht.

Stefan

Fronk · 6. Januar 2011 um 19:02

Hallo Stefan,

Da bist du nicht allein. Mir erschließt sich das ebenfalls
nicht, was aber auch daran liegen könnte, dass zu vornehm
jegliche Information, die auch nur irgendwie wichtig sein
könnte, verschweigst.

sorry, war nicht vornehm gemeint!
Suse Linux 9.3 auf nem Virtual-Server bei 1und1
in ALLEN index.php index.html wurde dieser Iframe eingetragen.

weißt Du was der Iframe bewirkt?

Gruß
Fronk

Anonym_cba4bf · 6. Januar 2011 um 19:26

Hallo Fronk,

ich bin es leid ständig nachzufragen, du hast eine ungefähre Liste von dem was wir brauchen und schreibst dann nur das os … irgendwie … das bringt nix, erstell strafanzeige und kauf dir einen Profi ein.

hth

Fronk · 6. Januar 2011 um 20:13

Hi Genius,

ich bitte um entschuldigung, alle geforderten Daten habe ich gerade nicht greifbar, werde ich nachliefern.

Kein Grund gleich so loszupoltern!

Ich bin wie Du, auch schon sehr lange Mitglied in diesem Forum und habe (fast) alle Anfragen aus meinem Fachgebiet geduldig und nach bestem Wissen beantwortet.

Deine Antwort hat mich ehrlich gesagt, ziemlich geärgert. Ich bin nun mal KEIN Experte was meine Frage betrifft - daher habe ich gefragt!

Gruß
Fronk

Thomas_Fischbach_ac0842 · 7. Januar 2011 um 11:34

Hallo Fronk,

du schreibst:

„Kann mir jemand erklären wie die das gemacht haben? lt. ip Adresse sitzen die Hacker in Kiev, Ukraine“.

Womit der Angreifer diesen Erfolg hatte, läßt sich ohne genaue Kenntnis des Systems und aller installierten Komponenten nicht sagen. Von einer Sicherheitslücke in einem Programm oder des Betriebssystems selbst über falsch gesetzte Rechte bis zu Kenntniserlangung „des“ Passwortes (trotz guter Wahl) ist alles möglich.

Es wäre auf jeden Fall sinnvoll, selbst einmal das System auf Verwundbarkeit zu überprüfen.

Grundsätzlich allerdings steht zu befürchten, daß der Angreifer weitere - vielleicht eben nicht so deutliche - Andenken hinterlassen hat. In der Regel empfiehlt es sich, das System komplett neu aufzusetzen, da der Angreifer - einmal drin - durchaus Hintertüren eingebaut haben könnte, die nur sehr schwer, wenn überhaupt, zu finden sind.

Die IP-Adresse des Angreifers wird dir wenig nützen, da diese im Regelfall nicht echt ist bzw. der Angriff über einen ebenfalls manipulierten Rechner geleitet wird.

mfg

tf

P.S.: Der Support für Suse 9.3 endete Mitte Juni 2007 (!!!). Das letzte sicherheitupdate erfolgte am 18.07.2007! Ich empfehle dir, umgehend auf eine unterstützte Version (sprich 11er) upzudaten.

Thomas_Fischbach_ac0842 · 7. Januar 2011 um 12:14

Nachtrag: Hacker Angriff auf Webseiten 27.12.10
Moin,

hier noch zwei Links z.K.:

http://www.joomlaportal.de/allgemeine-fragen-zu-joom…

http://www.webmasterworld.com/webmaster/4246677.htm

Also: Im besten Fall FTP-Password ändern, BackUp vor dem 27.12 einspielen und Server auf Sicherheitslücken überprüfen. Im schlimmsten Fall … .

mfg

tf

Fronk · 7. Januar 2011 um 12:22

Hi Thomas,

ja die beiden Links hatte ich auch bereits gefunden. Mit meinem veralteten Linux hast Du natürlich recht. Auf meinem anderen Server läuft Suse 11 und da ist nichts passiert.

Ich habe übrigens gar nicht erwartet, das man mir hier per Ferndiagnose einen ausführlichen Lösungsansatz bietet.

Trotzdem hat sich für mich der Sinn des Iframes nicht erschlossen. Hast Du vielleicht eine Idee?

Gruß und Danke
fronk

Thomas_Fischbach_ac0842 · 7. Januar 2011 um 13:48

Hallo,

da ich eine angeborene Allergie gegen javascript habe, bin ich diesbezüglich sicher nicht der richtige ansprechpartner.

Gründsätzliches findest du hier:

http://de.wikipedia.org/wiki/Inlineframe

Interessant hier u.a.:

„Ein weiterer Nachteil ist, dass der Besucher dadurch nicht in der Lage ist, zu erkennen, wann er das Inhaltsangebot der einen Seite verlässt und das einer anderen betritt. Durch den Inlineframe kann der Betreiber einer Internetseite dem Benutzer gegenüber das Gefühl vermitteln, dass die Inhalte aus eigener Quelle stammen. Gesteigert werden kann das noch, wenn mittels JavaScript die Größe des Inlineframes an den aktuellen Inhalt angepasst wird und der Benutzer nicht einmal mehr erkennen kann, dass überhaupt ein Inlineframe eingesetzt wird.“

Das Ganze versteckt (visibility:hidden) und klein, schon wird es schwer, einen solchen zu erkennen, wobei sich der Angreifer bei dir ja nicht so recht die Mühe gemacht hat, sich zu verstecken.

mfg

tf

Moritz_fe1b4f · 7. Januar 2011 um 14:31

Hallo,

Trotzdem hat sich für mich der Sinn des Iframes nicht
erschlossen. Hast Du vielleicht eine Idee?

Haeufig wird in solchen iframes irgend eine malware geladen, die sich dann ueber Sicherheitsluecken im Browser des Besuchers auf dessen Rechner einnisted, und ihn damit zum Teil eines Botnets macht.

Ohne genaue Kenntniss des Sourcecode kann man dazu aber nichts genaues sagen; dumm dass der MOD die IP anonymisiert hat… (was ich aber auch gut verstehen kann).

Gruesse,
Moritz

Fronk · 7. Januar 2011 um 16:55

ja, ich habe unvorsichtigerweise die komplette ip angegeben. Sorry MOD!

Fronk · 7. Januar 2011 um 16:57

Hi Thomas,

da ich eine angeborene Allergie gegen javascript habe, bin ich
diesbezüglich sicher nicht der richtige ansprechpartner.

sind wir verwandt? Diese Allergie habe ich nämlich auch

Danke für den Link.

Gruß
Fronk

AirNet_bdf48f · 11. Januar 2011 um 18:52

Hallo,
iFrames in meiner Webseite sind Vertrauenssache. Gebe ich einen Fremden den Schlüssel zu meiner Wohnung? …
Zu Hackern aus egal wo her : Dort sitzen im seltensten Fall Menschen die versuchen ein Passwort zu knacken. Es sind speziell geschriebene Programme die 1. über „Whois“ echte Domains erfragen. 2. über die klassischen Protokolle die IP Adressen über den Port abfragen. Z.B. FTP Port 21, API Port 8728, SSH Port 22, TELNET Port 23, WWW Port 80, www-SSL Port 443 usw. Zum Beispiel 123.456.789.012:21 Oft hilft schon eine simple Portänderung oder die Einstellung welche IP Ranch überhaupt Anfragen stellen darf und die Angriffe laufen zwangsläufig ins Leere.
LG AirNet http://www.airnet-dsl.de

Fronk · 11. Januar 2011 um 19:47

Hi AirNet,

danke, ich habe bereits entsprechende Maßnahmen getroffen.

Gruß
Fronk

Fronk · 11. Januar 2011 um 19:50

Danke an alle!
Danke Euch, was mir jetzt noch bleibt ist eine letzte Frage:

wurde jemandem von Euch im Zeitraum ab 27.12.2010 ebenfalls eine Webseite nach dem meinem bereits beschriebenem Muster gehacked?

Gruß

Fronk

AirNet_bdf48f · 12. Januar 2011 um 12:13

Wir verzeichnen ständig Angriffsversuche in unserem Log. Das unsere Seiten erfolgreich „gehackt“ wurden können wir zum Glück verneinen. Viele Seitenbetreiber merken nicht einmal, dass Sie ständig angegriffen werden. Sie haben Ihre Seiten nun geschützt, wie Sie schreiben. Wir wünschen für die Zukunft alles Gute. LG AirNet
AirNet Internet Service
Breitbandausbau für DSL freie Gebiete
Sachsen, Sachsen/Anhalt, Thüringen
http://www.airnet-dsl.de