Seite als attackierend gemeldet

Beitrag von **gnark** » 19.04.2011, 14:00

Bekomme gerade mail von google,
dass meine Seite dem user malware andreht.

ist scheinbar gehackt worden.
Per FTP gleich nachgeschaut und tatsächlich, eine Datei wurde heute morgen verändert, und das war nicht ich!

Nur, in der Datei finde ich nicht, was geändert wurde :/

Können die jetzt schon unsichtbaren code einschleusen??
jemand ne idee?

von **Anzeige von ABAKUS** »

Content Erstellung von ABAKUS Internet Marketing
Ihre Vorteile:

einzigartige Texte
suchmaschinenoptimierte Inhalte
eine sinnvolle Content-Strategie
Beratung und Umsetzung

Jetzt anfragen: 0511 / 300325-0

Beitrag von **TomRidley** » 19.04.2011, 14:06

ja, die jagen den code von sonst wo rein, sei es zusätzlich mit java, frames, flash oder wie auch immer, hauptsache du siehst es nicht auf den ersten Blick.

Meine Lösung währe beim Hoster anzurufen, backup von gestern oder eins der letzten 7 Tage drauf und gut ist. Kostet zwar aber ich hab wieder alles.

Bis froh das der nur die Seite gehackt hat und nicht den account unzugänglich gemacht hat.

Beitrag von **Hasenhuf** » 19.04.2011, 14:24

@ gnark, was war denn das Einfallstor? (@ TomRidley, solltest Du dich auch mal fragen, statt es offen zu lassen.)

von **Anzeige von ABAKUS** »

SEO Consulting bei ABAKUS Internet Marketing
Erfahrung seit 2002

persönliche Betreuung
individuelle Beratung
kompetente Umsetzung

Jetzt anfragen: 0511 / 300325-0.

Beitrag von **gnark** » 19.04.2011, 14:29

Hasenhuf hat geschrieben:@ gnark, was war denn das Einfallstor? (@ TomRidley, solltest Du dich auch mal fragen, statt es offen zu lassen.)

gute frage, die datei hatte chmod 777, das hab ich mal geändert.
wenn´s das nicht war, gibts natürlich noch x andere möglichkeiten, irgendwelche passwörter geknackt o.ä.

Beitrag von **Synonym** » 19.04.2011, 14:33

gute frage, die datei hatte chmod 777, das hab ich mal geändert.

Das war es sicher nicht, zumindest nicht alleine. Du kannst so wiele 777 haben wie Du willst, so lange keiner auf Deinen Server kommt, egal ob FTP, andere Dienste, Scripte oder anders, kann er mit 777 auch nichts anfangen.

Ist wie ein offener Tresor und eine verschlossene Haustür... Ohne die Tür aufzumachen geht nichts. Oder man nimmt das Fenster, den Keller, das Dach oder wer weiß was... rein muss man aber zuerst.

Beitrag von **forianer** » 19.04.2011, 14:35

gnark hat geschrieben:
Hasenhuf hat geschrieben:@ gnark, was war denn das Einfallstor? (@ TomRidley, solltest Du dich auch mal fragen, statt es offen zu lassen.)
gute frage, die datei hatte chmod 777, das hab ich mal geändert.
wenn´s das nicht war, gibts natürlich noch x andere möglichkeiten, irgendwelche passwörter geknackt o.ä.

mehr brauchts nicht!!

hört sich nach Joomla an ?

Beitrag von **gnark** » 19.04.2011, 14:38

hehe, keine Ahnung obs mehr braucht.
meines wissens müsste der hacker dann zugriff auf den server haben (anderen webspace dort z.b.), damit er 777 ausnützen kann.

Ist nicht joomla übrigens, sondern was "selbstgebautes", also noch schlimmer

Beitrag von **forianer** » 19.04.2011, 14:40

ne, hatte genau das gleiche auch mal - war joomla - brauchts keinen Zugriff glaub mir, ein Hacker kommt über nen 777 er rein, und klopft bei dir an ohne das Du's auch noch merkst.

Deswegen heissens ja Hacker

Beitrag von **Hasenhuf** » 19.04.2011, 15:04

gnark hat geschrieben:wenn´s das nicht war, gibts natürlich noch x andere möglichkeiten, irgendwelche passwörter geknackt o.ä.

Vorsichtshalber FTP-Paßwort ändern und um einen verschlüsselten FTP-Zugang kümmern (falls noch nicht vorhanden).

gnark hat geschrieben:Ist nicht joomla übrigens, sondern was "selbstgebautes", also noch schlimmer

Das weißt nur Du.

szibirhusky hat geschrieben:mehr brauchts nicht!!

hört sich nach Joomla an ?

Also brauchts zur 777 zusätzlich noch Joomla, deiner Aussage nach. 777 erlaubt es nur anderen Dateien die Datei, welche 777 hat, zu verändern. Die Datei, welche andere Dateien verrändern kann, muß es aber erst mal geben und sie muß vom Angreifer nutzbar sein.

Beitrag von **forianer** » 19.04.2011, 15:32

Hasenhuf hat geschrieben:777 erlaubt es nur anderen Dateien die Datei, welche 777 hat, zu verändern.

und was sagte ich?

och meinte - um eine Datei so zu verändern das etwas eingeschleußt wird - war ja von nichts anderem die Rede - und das bestätigst Du ja mit Deiner Aussage selbst auch!!

szibirhusky

Beitrag von **Synonym** » 19.04.2011, 15:45

ein Hacker kommt über nen 777 er rein,

Sorry, aber das ist Quatsch mit Soße... Über eine Dateiberechtigung kommt man nirgends rein !?

Die sagt nur aus, wer lesen, schreiben, bearbeiten darf. Im Fall von 777 eben jeder, der Zugriff auf die Datei hat. Und den Zugriff muss man erst mal haben. Entweder ein schlechtes Script, ein unsicherer Dienst oder was auch immer. Aber da bräuchte man dann noch nicht einmal 777, denn der Apache hat ja eh auf vieles Zugriffsrechte. Kurz gesagt: Dateiberechtigungen sagen nur, was man machen darf, nachdem man beireits Zugriff auf den Server / die Files hat.

777 wird nur dann interessant, wenn man z.B. Zugänge von unprivilisierten Usern hat, die dann eben durch das 777 Rechte bekommen. Oder eben Files, die normalerweise nur root gehören und der normale FTP-User damit dann entsprechende Rechte bekommt. Auch hier müsste man dann die FTP-Daten verlieren und schon hat derjenige Zugriff auf den Server per FTP und eben auf das File, da 777.

Viele Dateien und Ordner haben 777 und das brauchen die oft auch. Wenn der Rest aber abgesichert ist, dann ist das kein Problem. Wenn man erst gar nicht zur Datei kommt, dann ist es auch egal, welche Berechtigungen diese hat oder hätte.

Möglich wäre z.b., dass eine Datei 777 hat und ein Script diese beschreibt. Greift man nun das Script an, so kann man über das Script die Datei verändern. Schuld ist dann aber das Script. Denn auch ohne 777 hat im normalfall der Apache www-run ausreichend Rechte um zu ändern.

Lösungen? Viele. Alle Kennwörter ändern... Eigenes Script auf Fehler suchen... FTP-Dienst ändern / wechseln, vor allem von ProFTP. Besser noch SFTP nutzen und FTP komplett entfernen. Alle anderen Dienste prüfen / updaten etc... Eben das normale und volle Programm.

Wenn es ein eigener Server ist, dass für alle Dienste ein chroot laufen lassen, so dass diese nicht andere Bereiche ändern / einsehen können. Sprich, ein gehäckter FTP hat dann nur die Webdaten, kann aber nicht wo anders hin. Ein gehackter Mail ist nur in der Mailbox, kommt da aber auch nicht weg etc.

P.S. Ich finde eigene Entwicklungen besser als diese OpenSource... Zwar muss man da selbst für sorgen, dass die "sauber" sind, aber man ist nicht gleich Teil der breiten Masse, wenn mal wieder eine Sicherheitslücke bekannt wird. So gut wie keiner greift einfach so auf Verdacht ein eigenes System an, er weiß ja nicht wo und wie. Bei den ganzen OpenSource hat er den Code, kann ihn sich ansehen und bekommt auch noch Sicherheitslücken frei Haus gemeldet.

Und selbst das eigene Script ist es noch nicht, so lange das nicht Dateien verändert. Das muss schon Schreiben irgendwo, so wie WP bei der htaccess oder im wp_content Ordner eben. Wenn es so was gibt, dann eben sicherstellen, dass nur das geändert werden kann, was geändert werden soll und es eben auch nur der darf, der dafür gedacht ist.

Welches File wurde denn überhaupt geändert? Was wurde geändert?

Beitrag von **Vegas** » 20.04.2011, 00:53

Synonym hat geschrieben:So gut wie keiner greift einfach so auf Verdacht ein eigenes System an, er weiß ja nicht wo und wie....
Welches File wurde denn überhaupt geändert? Was wurde geändert?

Richtig, wäre mal interessant. Meine Glaskugel würde ja mal ganz wild auf ein Formular tippen, daß die Nutzereingaben nicht filtert und so die Ausführung von Code erlaubt.

Beitrag von **thefly** » 20.04.2011, 03:54

Hallo gnark,
welches FTP-Programm benutzt du?

Beitrag von **Synonym** » 20.04.2011, 07:37

@Vegas
Jep, das ist eine Möglichkeit, wobei da dann aber noch keine Schreibvorgänge für beliebige Dateien entstehen. Das ist eher ein häufiger Fehler mit anderen Forgen. Aber das weiß der Ersteller ja besser und ist somit sogar im Vorteil. Er weiß was sein System wo macht bzw. was es machen sollte. Bei den ganzen OS-Dingern weiß man das ja nicht wirklich.

Ich tendiere daher weniger auf das Script (grobe Fehler mal ausgeschlossen) und viel mehr auf andere Serverdienste. Bzw. sogar eventuell weg von den Serverdiensten und hin zu lokalen Programmen wie FileZilla oder so.

Beitrag von **gnark** » 20.04.2011, 08:29

@synonym: es gibt ein admin-backend, recht simpel gestrickt. vtl. wurde tatsächlich das passwort ge-bruteforced, hatte dagegen keinen schutz eingebaut, jetzt aber nachgeholt.
Das veränderte File ist ein templatefile, das aus dem backend geändert werden kann.

@thefly: filezilla, ich weiss, das ist bööööse ... verwends aber bisher trotzdem

@vegas: das mit den formulardaten kann ich ausschliessen.

hab halt jetzt mal ftp-und backend-passwörter geändert und die bruteforce-falle eingebaut

Mal sehen ob nochmal was passiert.