Seite als attackierend gemeldet

[gnark]

Bekomme gerade mail von google,
dass meine Seite dem user malware andreht.

ist scheinbar gehackt worden.
Per FTP gleich nachgeschaut und tatsächlich, eine Datei wurde heute morgen verändert, und das war nicht ich!

Nur, in der Datei finde ich nicht, was geändert wurde :/

Können die jetzt schon unsichtbaren code einschleusen??
jemand ne idee?

[TomRidley]

ja, die jagen den code von sonst wo rein, sei es zusätzlich mit java, frames, flash oder wie auch immer, hauptsache du siehst es nicht auf den ersten Blick.

Meine Lösung währe beim Hoster anzurufen, backup von gestern oder eins der letzten 7 Tage drauf und gut ist. Kostet zwar aber ich hab wieder alles.

Bis froh das der nur die Seite gehackt hat und nicht den account unzugänglich gemacht hat.

[Hasenhuf]

@ gnark, was war denn das Einfallstor? (@ TomRidley, solltest Du dich auch mal fragen, statt es offen zu lassen.)

[gnark]

@ gnark, was war denn das Einfallstor? (@ TomRidley, solltest Du dich auch mal fragen, statt es offen zu lassen.)

gute frage, die datei hatte chmod 777, das hab ich mal geändert.
wenn´s das nicht war, gibts natürlich noch x andere möglichkeiten, irgendwelche passwörter geknackt o.ä.

[Synonym]

gute frage, die datei hatte chmod 777, das hab ich mal geändert.

Das war es sicher nicht, zumindest nicht alleine. Du kannst so wiele 777 haben wie Du willst, so lange keiner auf Deinen Server kommt, egal ob FTP, andere Dienste, Scripte oder anders, kann er mit 777 auch nichts anfangen.

Ist wie ein offener Tresor und eine verschlossene Haustür... Ohne die Tür aufzumachen geht nichts. Oder man nimmt das Fenster, den Keller, das Dach oder wer weiß was... rein muss man aber zuerst.

[forianer]

@ gnark, was war denn das Einfallstor? (@ TomRidley, solltest Du dich auch mal fragen, statt es offen zu lassen.)

gute frage, die datei hatte chmod 777, das hab ich mal geändert.
wenn´s das nicht war, gibts natürlich noch x andere möglichkeiten, irgendwelche passwörter geknackt o.ä.

mehr brauchts nicht!!

hört sich nach Joomla an ?

[gnark]

hehe, keine Ahnung obs mehr braucht.
meines wissens müsste der hacker dann zugriff auf den server haben (anderen webspace dort z.b.), damit er 777 ausnützen kann.

Ist nicht joomla übrigens, sondern was "selbstgebautes", also noch schlimmer

[forianer]

ne, hatte genau das gleiche auch mal - war joomla - brauchts keinen Zugriff glaub mir, ein Hacker kommt über nen 777 er rein, und klopft bei dir an ohne das Du's auch noch merkst.

Deswegen heissens ja Hacker

[Hasenhuf]

wenn´s das nicht war, gibts natürlich noch x andere möglichkeiten, irgendwelche passwörter geknackt o.ä.

Vorsichtshalber FTP-Paßwort ändern und um einen verschlüsselten FTP-Zugang kümmern (falls noch nicht vorhanden).

Ist nicht joomla übrigens, sondern was "selbstgebautes", also noch schlimmer

Das weißt nur Du.

mehr brauchts nicht!!

hört sich nach Joomla an ?

Also brauchts zur 777 zusätzlich noch Joomla, deiner Aussage nach. 777 erlaubt es nur anderen Dateien die Datei, welche 777 hat, zu verändern. Die Datei, welche andere Dateien verrändern kann, muß es aber erst mal geben und sie muß vom Angreifer nutzbar sein.

[forianer]

777 erlaubt es nur anderen Dateien die Datei, welche 777 hat, zu verändern.

und was sagte ich?

och meinte - um eine Datei so zu verändern das etwas eingeschleußt wird - war ja von nichts anderem die Rede - und das bestätigst Du ja mit Deiner Aussage selbst auch!!

szibirhusky

[Synonym]

ein Hacker kommt über nen 777 er rein,

Sorry, aber das ist Quatsch mit Soße... Über eine Dateiberechtigung kommt man nirgends rein !?

Die sagt nur aus, wer lesen, schreiben, bearbeiten darf. Im Fall von 777 eben jeder, der Zugriff auf die Datei hat. Und den Zugriff muss man erst mal haben. Entweder ein schlechtes Script, ein unsicherer Dienst oder was auch immer. Aber da bräuchte man dann noch nicht einmal 777, denn der Apache hat ja eh auf vieles Zugriffsrechte. Kurz gesagt: Dateiberechtigungen sagen nur, was man machen darf, nachdem man beireits Zugriff auf den Server / die Files hat.

777 wird nur dann interessant, wenn man z.B. Zugänge von unprivilisierten Usern hat, die dann eben durch das 777 Rechte bekommen. Oder eben Files, die normalerweise nur root gehören und der normale FTP-User damit dann entsprechende Rechte bekommt. Auch hier müsste man dann die FTP-Daten verlieren und schon hat derjenige Zugriff auf den Server per FTP und eben auf das File, da 777.

Viele Dateien und Ordner haben 777 und das brauchen die oft auch. Wenn der Rest aber abgesichert ist, dann ist das kein Problem. Wenn man erst gar nicht zur Datei kommt, dann ist es auch egal, welche Berechtigungen diese hat oder hätte.

Möglich wäre z.b., dass eine Datei 777 hat und ein Script diese beschreibt. Greift man nun das Script an, so kann man über das Script die Datei verändern. Schuld ist dann aber das Script. Denn auch ohne 777 hat im normalfall der Apache www-run ausreichend Rechte um zu ändern.

Lösungen? Viele. Alle Kennwörter ändern... Eigenes Script auf Fehler suchen... FTP-Dienst ändern / wechseln, vor allem von ProFTP. Besser noch SFTP nutzen und FTP komplett entfernen. Alle anderen Dienste prüfen / updaten etc... Eben das normale und volle Programm.

Wenn es ein eigener Server ist, dass für alle Dienste ein chroot laufen lassen, so dass diese nicht andere Bereiche ändern / einsehen können. Sprich, ein gehäckter FTP hat dann nur die Webdaten, kann aber nicht wo anders hin. Ein gehackter Mail ist nur in der Mailbox, kommt da aber auch nicht weg etc.

P.S. Ich finde eigene Entwicklungen besser als diese OpenSource... Zwar muss man da selbst für sorgen, dass die "sauber" sind, aber man ist nicht gleich Teil der breiten Masse, wenn mal wieder eine Sicherheitslücke bekannt wird. So gut wie keiner greift einfach so auf Verdacht ein eigenes System an, er weiß ja nicht wo und wie. Bei den ganzen OpenSource hat er den Code, kann ihn sich ansehen und bekommt auch noch Sicherheitslücken frei Haus gemeldet.

Und selbst das eigene Script ist es noch nicht, so lange das nicht Dateien verändert. Das muss schon Schreiben irgendwo, so wie WP bei der htaccess oder im wp_content Ordner eben. Wenn es so was gibt, dann eben sicherstellen, dass nur das geändert werden kann, was geändert werden soll und es eben auch nur der darf, der dafür gedacht ist.

Welches File wurde denn überhaupt geändert? Was wurde geändert?

[Vegas]

So gut wie keiner greift einfach so auf Verdacht ein eigenes System an, er weiß ja nicht wo und wie....
Welches File wurde denn überhaupt geändert? Was wurde geändert?

Richtig, wäre mal interessant. Meine Glaskugel würde ja mal ganz wild auf ein Formular tippen, daß die Nutzereingaben nicht filtert und so die Ausführung von Code erlaubt.

[thefly]

Hallo gnark,
welches FTP-Programm benutzt du?

[Synonym]

@Vegas
Jep, das ist eine Möglichkeit, wobei da dann aber noch keine Schreibvorgänge für beliebige Dateien entstehen. Das ist eher ein häufiger Fehler mit anderen Forgen. Aber das weiß der Ersteller ja besser und ist somit sogar im Vorteil. Er weiß was sein System wo macht bzw. was es machen sollte. Bei den ganzen OS-Dingern weiß man das ja nicht wirklich.

Ich tendiere daher weniger auf das Script (grobe Fehler mal ausgeschlossen) und viel mehr auf andere Serverdienste. Bzw. sogar eventuell weg von den Serverdiensten und hin zu lokalen Programmen wie FileZilla oder so.

[gnark]

@synonym: es gibt ein admin-backend, recht simpel gestrickt. vtl. wurde tatsächlich das passwort ge-bruteforced, hatte dagegen keinen schutz eingebaut, jetzt aber nachgeholt.
Das veränderte File ist ein templatefile, das aus dem backend geändert werden kann.

@thefly: filezilla, ich weiss, das ist bööööse ... verwends aber bisher trotzdem

@vegas: das mit den formulardaten kann ich ausschliessen.

hab halt jetzt mal ftp-und backend-passwörter geändert und die bruteforce-falle eingebaut
Mal sehen ob nochmal was passiert.