Hacker Angriff auf Webseiten 27.12.10

Internet Internet Sicherheit
#1

Hallo liebe Sicherheitsexperten,

am 27.12.2010 sind mehrere Webseiten gehacked worden. Es wurden auf sämtlichen index Dateien folgender Code eingefügt:

jetzt erschließt sich mir nicht ganz, wie das passieren konnte. Passwort ist ok (nicht leicht zu erraten)

Kann mir jemand erklären wie die das gemacht haben? lt. ip Adresse sitzen die Hacker in Kiev, Ukraine.

Gruß
Fronk

[MOD]: IP-Adresse anonymisiert

#2

jetzt erschließt sich mir nicht ganz, wie das passieren
konnte.

Da bist du nicht allein. Mir erschließt sich das ebenfalls nicht, was aber auch daran liegen könnte, dass zu vornehm jegliche Information, die auch nur irgendwie wichtig sein könnte, verschweigst.

Welche Server (Webserver, Datenbankserver, was auch immer) wurden benutzt? Versionen? Welches Betriebssystem? Version? Patchstand? Offene Ports - welche? Geschützt durch welche Technologie (Firewall etc)? Aufgestellt wo? Administriert wie?

Passwort ist ok (nicht leicht zu erraten)

Ich kann nur spekulieren, aber ich nehme mal an, dass ich mich nicht zu weit aus dem fenster lehne, wenn ich sage: dein Passwort haben die wirklich nicht gebraucht.

Stefan

#3

Hallo Stefan,

Da bist du nicht allein. Mir erschließt sich das ebenfalls
nicht, was aber auch daran liegen könnte, dass zu vornehm
jegliche Information, die auch nur irgendwie wichtig sein
könnte, verschweigst.

sorry, war nicht vornehm gemeint!
Suse Linux 9.3 auf nem Virtual-Server bei 1und1
in ALLEN index.php index.html wurde dieser Iframe eingetragen.

weißt Du was der Iframe bewirkt?

Gruß
Fronk

#4

Hallo Fronk,

ich bin es leid ständig nachzufragen, du hast eine ungefähre Liste von dem was wir brauchen und schreibst dann nur das os … irgendwie … das bringt nix, erstell strafanzeige und kauf dir einen Profi ein.

hth

#5

Hi Genius,

ich bitte um entschuldigung, alle geforderten Daten habe ich gerade nicht greifbar, werde ich nachliefern.

Kein Grund gleich so loszupoltern!

Ich bin wie Du, auch schon sehr lange Mitglied in diesem Forum und habe (fast) alle Anfragen aus meinem Fachgebiet geduldig und nach bestem Wissen beantwortet.

Deine Antwort hat mich ehrlich gesagt, ziemlich geärgert. Ich bin nun mal KEIN Experte was meine Frage betrifft - daher habe ich gefragt!

Gruß
Fronk

2 Like
#6

Hallo Fronk,

du schreibst:

„Kann mir jemand erklären wie die das gemacht haben? lt. ip Adresse sitzen die Hacker in Kiev, Ukraine“.

Womit der Angreifer diesen Erfolg hatte, läßt sich ohne genaue Kenntnis des Systems und aller installierten Komponenten nicht sagen. Von einer Sicherheitslücke in einem Programm oder des Betriebssystems selbst über falsch gesetzte Rechte bis zu Kenntniserlangung „des“ Passwortes (trotz guter Wahl) ist alles möglich.

Es wäre auf jeden Fall sinnvoll, selbst einmal das System auf Verwundbarkeit zu überprüfen.

Grundsätzlich allerdings steht zu befürchten, daß der Angreifer weitere - vielleicht eben nicht so deutliche - Andenken hinterlassen hat. In der Regel empfiehlt es sich, das System komplett neu aufzusetzen, da der Angreifer - einmal drin - durchaus Hintertüren eingebaut haben könnte, die nur sehr schwer, wenn überhaupt, zu finden sind.

Die IP-Adresse des Angreifers wird dir wenig nützen, da diese im Regelfall nicht echt ist bzw. der Angriff über einen ebenfalls manipulierten Rechner geleitet wird.

mfg

tf

P.S.: Der Support für Suse 9.3 endete Mitte Juni 2007 (!!!). Das letzte sicherheitupdate erfolgte am 18.07.2007! Ich empfehle dir, umgehend auf eine unterstützte Version (sprich 11er) upzudaten.

#7

Nachtrag: Hacker Angriff auf Webseiten 27.12.10
Moin,

hier noch zwei Links z.K.:

http://www.joomlaportal.de/allgemeine-fragen-zu-joom…

http://www.webmasterworld.com/webmaster/4246677.htm

Also: Im besten Fall FTP-Password ändern, BackUp vor dem 27.12 einspielen und Server auf Sicherheitslücken überprüfen. Im schlimmsten Fall … .

mfg

tf

#8

Hi Thomas,

ja die beiden Links hatte ich auch bereits gefunden. Mit meinem veralteten Linux hast Du natürlich recht. Auf meinem anderen Server läuft Suse 11 und da ist nichts passiert.

Ich habe übrigens gar nicht erwartet, das man mir hier per Ferndiagnose einen ausführlichen Lösungsansatz bietet. :wink:

Trotzdem hat sich für mich der Sinn des Iframes nicht erschlossen. Hast Du vielleicht eine Idee?

Gruß und Danke
fronk

#9

Hallo,

da ich eine angeborene Allergie gegen javascript habe, bin ich diesbezüglich sicher nicht der richtige ansprechpartner.

Gründsätzliches findest du hier:

http://de.wikipedia.org/wiki/Inlineframe

Interessant hier u.a.:

„Ein weiterer Nachteil ist, dass der Besucher dadurch nicht in der Lage ist, zu erkennen, wann er das Inhaltsangebot der einen Seite verlässt und das einer anderen betritt. Durch den Inlineframe kann der Betreiber einer Internetseite dem Benutzer gegenüber das Gefühl vermitteln, dass die Inhalte aus eigener Quelle stammen. Gesteigert werden kann das noch, wenn mittels JavaScript die Größe des Inlineframes an den aktuellen Inhalt angepasst wird und der Benutzer nicht einmal mehr erkennen kann, dass überhaupt ein Inlineframe eingesetzt wird.“

Das Ganze versteckt (visibility:hidden) und klein, schon wird es schwer, einen solchen zu erkennen, wobei sich der Angreifer bei dir ja nicht so recht die Mühe gemacht hat, sich zu verstecken.

mfg

tf

#10

Hallo,

Trotzdem hat sich für mich der Sinn des Iframes nicht
erschlossen. Hast Du vielleicht eine Idee?

Haeufig wird in solchen iframes irgend eine malware geladen, die sich dann ueber Sicherheitsluecken im Browser des Besuchers auf dessen Rechner einnisted, und ihn damit zum Teil eines Botnets macht.

Ohne genaue Kenntniss des Sourcecode kann man dazu aber nichts genaues sagen; dumm dass der MOD die IP anonymisiert hat… (was ich aber auch gut verstehen kann).

Gruesse,
Moritz

#11

ja, ich habe unvorsichtigerweise die komplette ip angegeben. Sorry MOD! :wink:

#12

Hi Thomas,

da ich eine angeborene Allergie gegen javascript habe, bin ich
diesbezüglich sicher nicht der richtige ansprechpartner.

sind wir verwandt? Diese Allergie habe ich nämlich auch :wink:

Danke für den Link.

Gruß
Fronk

#13

Hallo,
iFrames in meiner Webseite sind Vertrauenssache. Gebe ich einen Fremden den Schlüssel zu meiner Wohnung? …
Zu Hackern aus egal wo her : Dort sitzen im seltensten Fall Menschen die versuchen ein Passwort zu knacken. Es sind speziell geschriebene Programme die 1. über „Whois“ echte Domains erfragen. 2. über die klassischen Protokolle die IP Adressen über den Port abfragen. Z.B. FTP Port 21, API Port 8728, SSH Port 22, TELNET Port 23, WWW Port 80, www-SSL Port 443 usw. Zum Beispiel 123.456.789.012:21 Oft hilft schon eine simple Portänderung oder die Einstellung welche IP Ranch überhaupt Anfragen stellen darf und die Angriffe laufen zwangsläufig ins Leere.
LG AirNet http://www.airnet-dsl.de

#14

Hi AirNet,

danke, ich habe bereits entsprechende Maßnahmen getroffen.

Gruß
Fronk

#15

Danke an alle!
Danke Euch, was mir jetzt noch bleibt ist eine letzte Frage:

wurde jemandem von Euch im Zeitraum ab 27.12.2010 ebenfalls eine Webseite nach dem meinem bereits beschriebenem Muster gehacked?

Gruß

Fronk

#16

Wir verzeichnen ständig Angriffsversuche in unserem Log. Das unsere Seiten erfolgreich „gehackt“ wurden können wir zum Glück verneinen. Viele Seitenbetreiber merken nicht einmal, dass Sie ständig angegriffen werden. Sie haben Ihre Seiten nun geschützt, wie Sie schreiben. Wir wünschen für die Zukunft alles Gute. LG AirNet
AirNet Internet Service
Breitbandausbau für DSL freie Gebiete
Sachsen, Sachsen/Anhalt, Thüringen
http://www.airnet-dsl.de