WinFuture-Forum.de: Webspace Gehackt? - WinFuture-Forum.de

Zum Inhalt wechseln

Nachrichten zum Thema: Sicherheit
  • 3 Seiten +
  • 1
  • 2
  • 3

Webspace Gehackt?


#1 _fjordblauer_

  • Gruppe: Gäste

geschrieben 03. August 2010 - 22:02

Habe in einem Verzeichnis in meinem Webspace eine Datei namens log.php gefunden. Die erschien mir irgendwie komisch. Man kommt in ein Menü mit grauem Hintergrund. Nach kurzem Nachdenken sieht es aus wie ein Hacker-Tool. Im Anhang dazu das Logo.

Der Name ist "KabuS SheLL" oder "KabuS Sh3ell". Unten auf der Seite sind drei Links auf russische Seiten:

http://ghc.ru/
http://rst.void.ru/
http://www.antichat.ru/

Google gibt dazu nicht viel her.

Wie verhalte ich mich richtig? Woher kommt die Datei? WIe kommt sie zu mir? Wurde mein Anbieter gehackt (Evanzo) oder mein Webspace?

Das letzte was ich an dem Verzeichnis gemacht habe, war ein Tool für Uploads hochzuladen (http://www.php-space...-upload-script/). Das ist aber schon etwas her. Die Datei wurde am 25.07. 4 Uhr nachts erstellt.

PS: Ich sehe gerade, dass die Datei sich auch in einem Unterverzeichnis befindet.

Also:
www.meinedomain.de/downloads/log.php und
www.meinedomain.de/downloads/uploads/log.php

Sonst habe ich die Datei (noch) nicht gefunden.

Okay. Bin einen Schritt weiter. Über dieses Upload-Tool hat sich höchstwahrscheinlich dieses Hacker Tool installiert. Trotz .htaccess-Schutz. Aber Username und Passwort waren identisch und auch nur zwei Kleinbuchstaben.

War das mein Sicherheitsleck?

Angehängte Miniaturbilder

  • Angehängtes Bild: Unbenannt.JPG

Dieser Beitrag wurde von Urne bearbeitet: 04. August 2010 - 00:08

0

Anzeige



#2 _Niedlicher Zwerg_

  • Gruppe: Gäste

geschrieben 03. August 2010 - 22:48

Beitrag anzeigenZitat (fjordblauer: 03.08.2010, 23:39)

War das mein Sicherheitsleck?

Vom Passwort her gesehn schon.
0

#3 Mitglied ist offline   Taxidriver05 

  • Gruppe: aktive Mitglieder
  • Beiträge: 2.609
  • Beigetreten: 14. Mai 09
  • Reputation: 43
  • Geschlecht:Männlich
  • Wohnort:Schkopau - OT Ermlitz
  • Interessen:- Ausgehen,
    - Sport (am liebsten an der frischen Luft),
    - Musik (machen und hören),
    - Grafik- und Webdesign,
    - gut Essen,
    - an PCs basteln (für den schnellen Euro ;-)),
    uvm.

geschrieben 03. August 2010 - 23:03

Kannst Du eventuell mal die PHP-Datei hochladen und mir den Link zukommen lassen?

würde dann mal einen Blick in den Quelltext werfen...

.htacces-Schutz hat nix zu heißen...

Mir wurde neulich auch eine meiner Seiten gehackt und damit geschrottet, TROTZ vorhandener .htacces-Datei.
Der Hacker hat diese einfach umbenannt (wie auch immer) und eine modifizierte .htaccess-Datei eingeschleust, die auf eine andere Seite umgeleitet hat...

Ich würde empfehlen, die gesamte Seite in eine neues Verzeichnis hochzuladen und die Sicherheitseinstellungen des Servers überprüfen.
Darüber hinaus solltest Du das IP-Logging auf dem Server aktivieren. dies ist oftmals per default deaktiviert. So kannst Du im schlimmsten Fall juristisch vorgehen...
BORN STUPID? TRY AGAIN!

"Himmlische Ruhe und tödliche Stille haben dieselbe Phonzahl."
My Music
0

#4 Mitglied ist offline   DJxSpeedy 

  • Gruppe: aktive Mitglieder
  • Beiträge: 846
  • Beigetreten: 19. Juni 06
  • Reputation: 3
  • Geschlecht:Männlich
  • Interessen:DJing, Musik, PCs

geschrieben 03. August 2010 - 23:43

ja des problem kenne ich von evanzo.. die sichern den space nicht richtig ab (bzw ihre server)

seitdem ich da weg bin habe ich diese probleme nimmer
0

#5 Mitglied ist offline   Taxidriver05 

  • Gruppe: aktive Mitglieder
  • Beiträge: 2.609
  • Beigetreten: 14. Mai 09
  • Reputation: 43
  • Geschlecht:Männlich
  • Wohnort:Schkopau - OT Ermlitz
  • Interessen:- Ausgehen,
    - Sport (am liebsten an der frischen Luft),
    - Musik (machen und hören),
    - Grafik- und Webdesign,
    - gut Essen,
    - an PCs basteln (für den schnellen Euro ;-)),
    uvm.

geschrieben 03. August 2010 - 23:50

Leider ist das teilweise sogar bei den großen Paid-Hostern so...
BORN STUPID? TRY AGAIN!

"Himmlische Ruhe und tödliche Stille haben dieselbe Phonzahl."
My Music
0

#6 Mitglied ist offline   DJxSpeedy 

  • Gruppe: aktive Mitglieder
  • Beiträge: 846
  • Beigetreten: 19. Juni 06
  • Reputation: 3
  • Geschlecht:Männlich
  • Interessen:DJing, Musik, PCs

geschrieben 03. August 2010 - 23:56

bin bie all.inkl.. seitdem kein hack mehr gehabt.. günstige hotline (festnetz preis) und die leute wissen wneigsten wovon man redet..
nicht wie bei evanzo..0900 hotline.. nichts wissende mitarbeiter :ph34r:
0

#7 _fjordblauer_

  • Gruppe: Gäste

geschrieben 04. August 2010 - 08:23

Vielleicht wurde mein .htaccess geknackt (wie gesagt, waren leichte Zugangsdaten) oder "umgangen" und über mein Upload-Tool diese Shell hochgeladen. Von dort aus wurde die Shell dann auch ein Verzeichnis höher kopiert.

Aber was ist Sinn und Zweck vom Angreifer?
0

#8 Mitglied ist offline   tavoc 

  • Gruppe: aktive Mitglieder
  • Beiträge: 3.446
  • Beigetreten: 22. Juli 04
  • Reputation: 1
  • Geschlecht:Männlich

geschrieben 04. August 2010 - 09:20

lad mal die shell hoch, dann können wir dir das sagen.
Grundsätzlich wird es wahrscheinlich am fehlerhaften Uploadtool liegen, wenn dort keine richtigen Sicherheitsabfragen drin sind.

Ziel des Angreifers ist es z.b. mails zu versenden, oder einen rechner zu haben auf denen allgemein Aufgaben ausgeführt werden können.
your IP is 127.0.0.1 or ::1
you are running an OS
you use a Browser
I know so much about you...
0

#9 Mitglied ist offline   Taxidriver05 

  • Gruppe: aktive Mitglieder
  • Beiträge: 2.609
  • Beigetreten: 14. Mai 09
  • Reputation: 43
  • Geschlecht:Männlich
  • Wohnort:Schkopau - OT Ermlitz
  • Interessen:- Ausgehen,
    - Sport (am liebsten an der frischen Luft),
    - Musik (machen und hören),
    - Grafik- und Webdesign,
    - gut Essen,
    - an PCs basteln (für den schnellen Euro ;-)),
    uvm.

geschrieben 04. August 2010 - 11:55

Beitrag anzeigenZitat (fjordblauer: 04.08.2010, 09:23)

Vielleicht wurde mein .htaccess geknackt (wie gesagt, waren leichte Zugangsdaten) oder "umgangen" und über mein Upload-Tool diese Shell hochgeladen. Von dort aus wurde die Shell dann auch ein Verzeichnis höher kopiert.

Aber was ist Sinn und Zweck vom Angreifer?


Deswegen hatte ich dich ja auch mal darum gebeten, mal die log.php hochzuladen...

Im Übrigen lässt sich mit einem normalen Texteditor nachprüfen, ob die .htaccess verändert wurde...
BORN STUPID? TRY AGAIN!

"Himmlische Ruhe und tödliche Stille haben dieselbe Phonzahl."
My Music
0

#10 _fjordblauer_

  • Gruppe: Gäste

geschrieben 04. August 2010 - 19:12

Okay, hier ist die Datei. Allerdings als ZIP, anderst geht es hier wohl nicht.

Wie kann ich denn prüfen ob .htaccess verändert wurde? Mein Anmeldedaten funktionieren ja noch. Evtl. wurden andere Daten hinzugefügt?

Angehängte Datei(en)


0

#11 Mitglied ist offline   tavoc 

  • Gruppe: aktive Mitglieder
  • Beiträge: 3.446
  • Beigetreten: 22. Juli 04
  • Reputation: 1
  • Geschlecht:Männlich

geschrieben 04. August 2010 - 19:37

das ist ne billig Art seinen PHP Quellcode zu verschlüsseln mit eval und base 64 sowie rot13. Bin nur nicht grad daheim, sonst könnte man es schnell zurückwandeln.
z.b. einfach eval durch echo ersetzen müsste gehen...

.htaccess kannst du dir doch einfach mal anschauen, dann siehst du doch ob sie verändert wurde

Dieser Beitrag wurde von tavoc bearbeitet: 04. August 2010 - 19:38

your IP is 127.0.0.1 or ::1
you are running an OS
you use a Browser
I know so much about you...
0

#12 Mitglied ist offline   bb83 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.870
  • Beigetreten: 30. August 05
  • Reputation: 24
  • Geschlecht:Männlich

geschrieben 04. August 2010 - 19:55

Zitat

Vielleicht wurde mein .htaccess geknackt (wie gesagt, waren leichte Zugangsdaten) oder "umgangen" und über mein Upload-Tool diese Shell hochgeladen. Von dort aus wurde die Shell dann auch ein Verzeichnis höher kopiert.


Der einzig saubere Weg ist sowieso, sauberes Backup einspielen und vernünftige Credentials verwenden. Und vorhandenes PHP Gedöns auf Schwachstellen prüfen.

Zitat

Aber was ist Sinn und Zweck vom Angreifer

Deinen Webspace Missbrauchen ? Sei es um KiPo / Warez oder sonst was zu verteilen oder Mails zu verschleudern!

Zitat

Darüber hinaus solltest Du das IP-Logging auf dem Server aktivieren. dies ist oftmals per default deaktiviert. So kannst Du im schlimmsten Fall juristisch vorgehen...

Zu 99,99 % sinnlos, da die angreifende IP i.d.R. auch schon gekapert ist.

Zitat

Wie kann ich denn prüfen ob .htaccess verändert wurde? Mein Anmeldedaten funktionieren ja noch. Evtl. wurden andere Daten hinzugefügt?

Reingucken ? Wenn du von der Materie keine Ahnung hast würde ich mir schnell Hilfe holen, du bist Haftbar für Sachen die du auf deinen Webspace anbietest....

EDIT:

Zitat

das ist ne billig Art seinen PHP Quellcode zu verschlüsseln mit eval und base 64 sowie rot13. Bin nur nicht grad daheim, sonst könnte man es schnell zurückwandeln.
z.b. einfach eval durch echo ersetzen müsste gehen...

http://www.tareeinte...pts/decrypt.php

Dann klappts auch ohne Webserver mit php ;)

Dieser Beitrag wurde von bb83 bearbeitet: 04. August 2010 - 20:22

0

#13 Mitglied ist offline   Taxidriver05 

  • Gruppe: aktive Mitglieder
  • Beiträge: 2.609
  • Beigetreten: 14. Mai 09
  • Reputation: 43
  • Geschlecht:Männlich
  • Wohnort:Schkopau - OT Ermlitz
  • Interessen:- Ausgehen,
    - Sport (am liebsten an der frischen Luft),
    - Musik (machen und hören),
    - Grafik- und Webdesign,
    - gut Essen,
    - an PCs basteln (für den schnellen Euro ;-)),
    uvm.

geschrieben 04. August 2010 - 21:54

Ja, dein Server wurde definitiv gehackt...

Ich habe mir den Code mal angeschaut...
Das ist echt recht primitiv.

Bereits beim Decodieren hat mein AV-Programm Alarm geschlagen.

Schau mal in deine .htaccess mit dem Texteditor, ob dort eine Umleitung platziert wurde...

Ist stark anzunehmen...

Edit:

Kann es sein, das deine Seite auf Basis eines CMS wie Joomla aufbaut? Kannst uns ja mal nen Direktlink zu deiner Seite geben...

Dieser Beitrag wurde von Taxidriver05 bearbeitet: 04. August 2010 - 22:00

BORN STUPID? TRY AGAIN!

"Himmlische Ruhe und tödliche Stille haben dieselbe Phonzahl."
My Music
0

#14 _fjordblauer_

  • Gruppe: Gäste

geschrieben 04. August 2010 - 22:05

Naja, ist ja "nur" mein Webspace, nicht mein Server. Hätte ich jetzt mehr Wert auf Sicherheit legen sollen oder mein Hoster?

Ich werde dann morgen mit der Powershell die .htaccess kopieren müssen um nachzugucken. Der Datei Explorer zeigt keine versteckten Dateien an (per FTP).

Dieser Beitrag wurde von fjordblauer bearbeitet: 04. August 2010 - 22:08

0

#15 Mitglied ist offline   DJxSpeedy 

  • Gruppe: aktive Mitglieder
  • Beiträge: 846
  • Beigetreten: 19. Juni 06
  • Reputation: 3
  • Geschlecht:Männlich
  • Interessen:DJing, Musik, PCs

geschrieben 04. August 2010 - 22:09

bei evanzo bist du ?

mehr wert legen auf den hoster.. die sichern kaum was ab auf ihren servern.. ich war 4 jahre bei denen.. in 4 jahren 10x gehackt.. angerufen hotline.. ja wir gucken.. nie wieder was von gehört...

nun bin ich bie all-inkl.com... seitdem keine hacks mehr...scheint an evanzo zu liegen denke ich :wink:
0

Thema verteilen:


  • 3 Seiten +
  • 1
  • 2
  • 3

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0