1&1-Hacker unterwegs?

[hard_pollux]

Hallo,

heute Nacht wurden mir sämtliche bei 1&1 gehosteten Domains, bis in die 2te Ebene, gelöscht. Hacker? 1&1 arbeitet ja mit "register_globals = on".

Gibt es Leidensgenossen?

Einige Dateien sind wahrscheinlich unwiderbringlich verloren, da ich - leider - nicht regelmäßig gesichert habe.

Sollte es sich bei dieser Attacke um eine neue Ebene des Wettbewerbs handeln, dann gute Nacht.

Hat jemand ein paar gute Tipps?

Gruß
HardPollux

[marc75]

wie jetzt, die domains wurden gelöscht oder der Inhalt der da hinter stand?

[angelpage]

Nein, bei mehreren Domains keine Probleme (Test mit Link Sleuth).

Bevor Du Dich mit dem Support von 1und1 beraten solltest (dort gibts Backups), prüfe mögliche Ursachen bei Dir (über CMS eventuell falsch aktualisiert?).

Demnächst besser regelmäßig Datensicherung (Festplatten und CD/DVD) - das weißt Du jetzt aber bereits selbst .

[www.wittis-web.de]

nö, kann ich auch nicht bestätigen, habe auch vieles bei 1&1

und da ist alles in ordnung

[hard_pollux]

So, nachdem ich nun den Schaden weitestgehend begrenzt habe, antworte ich mal kurz, und schildere mal das Ergebnis der Attacke.

marc75
>>wie jetzt, die domains wurden gelöscht oder der Inhalt der da hinter stand?

selbstredend wurden dahinterstehende Inhalte gelöscht - um die Domain an sich zu killen, hätte man wohl die Rechner der Registrierungsinstitutionen hacken müssen.

angelpage
>>Demnächst besser regelmäßig Datensicherung (Festplatten und CD/DVD) - das weißt Du jetzt aber bereits selbst

ich muß gestehen, Datensicherung ist für mich grundsätzlich ein leidiges Thema, ständig gibt es vorrangigere Arbeiten.
Von den meisten Dateien gibt es zumindest immer die "Arbeitskopie", aber Dateien, welche mal einzeln geändert werden, werden auf dem "Arbeitsrechner" meist gelöscht und erst bei einem Generalupdate gesichert.
Auf solche Dateien begrenzt sich nun auch der Schaden.

@all
So, nun das Ergebnis der Attacke:
Der Agressor hat sämtliche Dateien im Rootverzeichnis gelöscht, sowie die Dateien in den darunter liegenden Verzeichnissen, somit alle Dateien im Rootverzeichnis der weiteren Domains und Subdomains.
Für die dritte Ebene fehlte ihm wohl die Zeit, und auch die Verzeichnisse der ersten Ebene, beginnend mit Buchstabe ab "m", wurden nicht angetastet (keine Zeit, "kalte Füße?").

Da ich selbst nicht an Zufälle glaube, denn für einen gewöhnlichen Hacker gibt es bestimmt interessantere Objekte, bin ich schon geneigt, diesbezüglich an eine Eskalation des Wettbewerbs zu glauben.

Erste Spurenverfolgungen weisen da in Richtung Berlin, und sollte der Agressor auch hier verkehren, so sei ihm versichert, daß ich dieserhalb den Konkurrenzdruck exakt verdoppeln werde.
Für die Kollegen, welche mir vielleicht mit Hinweisen dienen möchten und können, werde ich mal im Verlauf des Tages oder der kommenden Nacht eine Mailadresse posten - selbstredend wird jeder Hinweis absolut vertraulich behandelt, und bei juristischen Gegenschlägen werde ich ausschließlich eigene Erkenntnisse verwenden.

Gruß
HardPollux

[hard_pollux]

www.wittis-web.de,
>>nö, kann ich auch nicht bestätigen, habe auch vieles bei 1&1

Ich bin seit 3 Jahren bei 1&1, nie gab es Vorfälle dieser Art. Allerdings habe ich schon vor langer Zeit meine Sicherheitsbedenken hinsichtlich "register_globals = on" dort kundgetan, insbesondere deshalb, weil sich diese Funktion nicht mittels .htaccess verzeichnisweise "switchen" läßt - auf meinem eigenen Server ist das kein Problem.

Gruß
HardPollux

[www.wittis-web.de]

naja ...

kann ich nur froh sein, dass ich von allen seiten immer eine aktuelle version auf microdrive habe ...

hoffe, dass dann nie ein solcher fall eintreten wird ...

[Konrad Wolfenstein]

@hard_pollux: Zieh Dir das FTP Teil: nextftp. Verwende ich seit kurzem und ist wirklich sau angenehm. Bin auch eher ein Backup Muffel gewesen, aber mit dem Teil läuft das super im Hintergrund und ist dazu noch fix. Ich habe das über eine japanische Hieroglyphen-Seite gesaugt. Wenn Du damit nicht klar kommst, also kein Download findest, dann schreibe mich kurz an, dann stelle ich Dir eine Kopie zur Verfügung.

Die Attacke ist natürlich Hammer.

[marc75]

hard_pollux

naja, denke mal es liegt an dein System was du verwendest, benutzt du irgendwo opensource? z.B. phpnuke, os-commerce oder phpbb, dann kann es auch ein Scriptkiddi gewesen sein der nicht weis was er tut.

[lomo]

Für angemietete ROOT-Sever, welche bei 1&1 stehen, kümmert sich 1&1 um komplette und automatisierte Server-Backups für ca. 10 EUR pro Monat. Bei virtuellem Hosting liegt die Backup-Pflicht so wie so beim Provider.

[hard_pollux]

www.wittis-web.de,
>>hoffe, dass dann nie ein solcher fall eintreten wird ...

ich bin eigentlich viel zu unbedeutend, um das Interesse eines Hackers zu wecken. Aber ich bin jüngst exzessiv in ein Marktsegment eingestiegen, in welchem ich insbesondere aufgrund bereits vergangener Erfahrungen, auch gezielte Attacken, wie hier beschrieben, für durchaus möglich erachte, zumal sie unter Verwendung ausländischer Proxies, kaum juristisch verwertbar nachzuweisen sind, von der Inkompetenz zuständiger Verfolgungsbehörden mal ganz zu schweigen.

Und für Geld läßt sich auch immer ein Befähigter für jede Schandtat finden.

Gruß
HardPollux

[hard_pollux]

Konrad Wolfenstein.

danke Konrad, werde ich mich mal drum kümmern.

>>Die Attacke ist natürlich Hammer.
Kriege ich das "Schwein" zu fassen, besuch ich ihn persönlich, und mache eine "Achterbahn" aus seinem Arbeitsplatz.

lomo,
danke für den Hinweis.

Gruß
HardPollux

[ts77]

Ähm, anstelle hier mögliche "Angreifer" durchzuexerzieren wäre es sicher hilfreicher einfach die Sicherheitslücke zu finden und zu schließen, so daß es nicht nochmal passiert, oder?
Meist ist leider kein großer Hack notwendig um Seiten zu knacken, da einige Anwendungen (z.B. phpBB oder AWStats) in letzter Zeit heftige Lücken hatten, die auch schon automatisiert von Tools angegriffen werden.
Also wenn Du Logs hast ... mal kräftig durchforsten.

[Malte Landwehr]

Ich würde auch nicht davon ausgehen, dass das unbedingt deine Konkurenz gewesen ist.
Vermutlich war`s nurn Script-Kiddy, der die ganzen IP-Bereiche von Rootservern abgescannt hat, denn je belliger der Rootserver, desto weniger Ahnung hat meist der Besitzer und desto einfach ist es dann auch sich mit Exploits Zugriff zu verschaffen.
Und dann wird halt munter rumgelöscht um das eigene Ego zu stärken.

[Airport1]

Hattest Du eins der Ranking Scripte drauf? Die sind naemlich ganz besonders anfaellig , neben mySQL Injection ist mit register_globals auch die volle Admin zugaenglich.