HP gehackt

HI Leute
wir sind ein CoD Fun Clan mit Server und HP usw. ..vor 3 Tagen wurde unsere HP von unserem Serveranbieter wo auch Webspace zur Verfügung gestellt wird Gesperrt
Grund: auf eurer Webspace wurden Phishing Seiten gefunden

Mail vom Anbieter
Hallo,

Ihr Webserver musste gesperrt werden da auf ihrem Web Phishingseiten gefunden wurden.
eine Bank aus den USA hat bei Nachforschungen PhishingSeiten auf unserem wepspace gefunden in der Mail stand da noch unsere HP Adresse usw.
so nun wurde gesucht wie wo und was wo ist das Leck wie kann so was passieren ....und siehe DA in den Ultrastads waren die Phishing versteckt.
Das gibt einen doch schon mächtig zu denken all die weil wir Ultrastads schon bestimmt über 11/2Jahr verwenden und das progr.von der offizieller Stelle gezogen haben mit allen updates

ich möchte hier nur mal unsere Geschichte erzählen. Rückschlüsse und Konsiequenzen sollte jeder HP Admin mit sich selber ausmachen
wir für unseren Teil haben die Ultrastads von Webspace geschmissen und werden sie auch nie wieder benutzen

mfG Andy

ps im schlimmsten Fall können noch Regressforderungen auf uns zu kommen

Autsch, das klingt böse. Darf ich fragen, welche Version der Stats Du verwendet hast?

ToM

die Version war 0.2.140

da hab ich gleich mal noch ne Frage
bin ich alleine für die Sicherheit der HP verantwortlich? man kann sich ja nicht direkt schützen vor solchen Angriffen.

Zitat:

Original von andy 1000
bin ich alleine für die Sicherheit der HP verantwortlich?

Ja. Und wenn es nach mir ginge sollten Webseitenbetreiber auch direkt für entstandene Schäden haftbar sein wenn Sie nicht nachweisen können das Sie nach besten Wissen und Gewissen vorbeugen. Aber was solls - seit dem der liebe Staat alle Hackertools verboten hat gibt es ja keine Bedrohung mehr - alles eine einzige schöne, friedliche Blumenwiese.

Zitat:

Original von andy 1000
man kann sich ja nicht direkt schützen vor solchen Angriffen.

Nein und Ja. Nur wenige können 5K Codezeilen auf Sicherheitslücken überprüfen bevor Sie die Scripte auf ihren Server hochladen. Das ist Utopisch. Aber auf jedenfall kann jeder:
- Beim Hersteller der Software die er benutzt regelmäßig nach Updates und Advisory nachsehen, einschlägige Mailinglisten danach durchsuchen (Bugtrack, Securityfocus, Heisec, )
- Sich über das System was er verwendet informieren - z.B. bei php die Konfiguration die der Anbieter im Default installiert hat.
- Die Logfiles nach verdächtigen Inhalten durchsuchen.

Sorry, wenn das jetzt etwas angenervt klingt, aber manchmal ist es wirklich zum Haare raufen wenn man sieht mit welchem Wissenstand sich einige trauen Rechner an öffentlichen Netzen zu betreiben.

Ich schreib z.B. Webmaster an wenn in meinen Logfiles ersichtlich ist das versucht wird von anderen Seiten Code nachzuladen. Hab ich gestern erst wieder. Eine Fußballseite von der versucht wird ein php Exploit nachzuladen. Nur kurz angesehen. Völlig veraltetes Joomla!, include von urls, ein Spamformular (Von dem ich den Webmaster auch nochmal angemailt habe - vielleicht wird er ja stutzig wenn die E-Mail von seinem eigenen Absender kommt), kurz: die Seite ist völlig verwanzt. Antwort von dem Webmaster hab ich immer noch nicht, über 24 Stunden später und der exploit ist weiterhin online... Da müsste man die Seite am besten gleich selber vom Netz nehmen, die Tür ist ja noch offen. Und das ist nicht der einzige. Ich selber hab allein dieses Jahr schon 10-15 solcher Admins angeschrieben. Ein einziger hat geantwortet und sich bedankt, bei einer großen Seite hab ich über den Datenschutzbeauftragten des Landes was erreicht und die anderen haben es alle nicht für nötig gehalten zu reagieren. (Und ich rede hier nur von .de, .ch und .com Seiten - bei .tw oder .kr mach ich mir garnicht erst die Mühe)

Aber du machst dir ja jetzt wenigstens Gedanken, hast die Seite vom Netz genommen und hier andere gewarnt. Danke. Bitte kontrolliere jetzt auch den Rest deiner Seiten auf verdächtige IFrame, Javascript und Embedded Objects. Lies regelmäßig deine Logfiles, Halt dich auf dem Laufenden z.B. aktuell: http://www.heise.de/security/Angriffswel.../meldung/113618
und versuch für den Anfang z.B die Tipps aus http://www.heise.de/security/Grundsicher...-/artikel/96564 umzusetzen.
100% Kann man sich nicht dagegen schützen, das passiert auch echten Profis wie den Betreibern der Seiten von Schäuble, Joomla, grsecurity, Al Gore und, und, und.... Aber gegen die DriveBy Attacken die ur, ur, uralte Lücken ausnutzen kann man sich ganz einfach mit den verfügbaren Updates und restriktiven Einstellungen von php, cgi mySQL und Co schützen.

Kellekind ich danke Dir für deine ausfürliche Antwort.
ich kann schon eine gewisse Wut in deiner Schreibweise feststellen
Aber: bedenke es gibt auch Menschen die sich nicht so gut im I Net" da zähle ich mich auch drunter" auskennen und die nach ihrem Rechstverständnis denken alles richtig gemacht zu haben und die alles nur machen um ein bisschen Spass nach der Arbeit zu haben.
Die dann von solchen idioten richtig in den Arsch getreten werden.
mir geht es darum hat der weps. Anbieter nicht auch eine gewisse Pflicht dich und sich vor solchen Angriffen zu schützen,oder kann er alles auf dich abwälzen.

so jetzt bin ich aber über mein Inteleckt oder wie das heißt gegangen

mfG Andy

Zitat:

Original von andy 1000
mir geht es darum hat der weps. Anbieter nicht auch eine gewisse Pflicht dich und sich vor solchen Angriffen zu schützen,oder kann er alles auf dich abwälzen.

Er muss z.B. dafür sorgen das, wenn er mehrere Kunden auf einer Maschine verwaltet, nicht Kunde A auf die Daten von Kunde B zugreifen kann. Und du kannst ihn verantwortlich machen wenn z.B. der Infektionsweg über sein Webinterface, das er den Kunden zur Administration zur Verfügung stellt nachgewiesen werden kann. Für alles andere bist du allein verantwortlich. Alle Scripte die du hochlädst, das der Inhalt Rechtlich unbedenklich ist, Traffic der entsteht - auch wenn er in böser Absicht von Dritten ausgelöst wird. Das wirst du auch in den AGB finden - aber auch wenn es nicht drinsteht wird der Anbieter den Richter davon überzeugen können das er nur die Plattform zur Verfügung steht und aus Datenschutzgründen die Daten die darauf abgelegt werden (Auch bösartige Pishingseiten sind nur Daten) garnicht kontrollieren darf

Nur wenn er wie in deinem Fall darüber informiert wird das seine Leistungen missbraucht werden sollte er handeln - z.B. die Seite abschalten oder den Eigentümer informieren wenn er dadurch weiteren Schaden von sich, seinen Kunden und dritten abwenden kann. Wie bei dir ja geschehen.
http://www.webhosting-und-recht.de/urtei...ung-fuer-dritte

Vor Gericht gilt nicht das du dich nicht so gut auskennst. Man kann sich ja auch nicht darauf berufen das du nicht wusstest das gerade in dem Moment ein Briefträger vor der Tür steht wo du die Fußmatte unter 220 Volt gesetzt hast. Ok, das hinkt wie alle Computerwelt/Realwelt Vergleiche, aber die Aussage ist erkennbar oder?
http://www.lampmannbehn.de/wlan.html

He!, Aber Keine Panik! In der Praxis wirst du sicher ohne Gefängnisaufenthalt einen Webserver betreiben können wenn sich nicht zufällig KiPo, Bombenbauanleitungen oder Mordaufrufe auf deinen Seiten finden. Man sollte aber wenigstens für die potentiellen Gefahren sensibilisiert sein. Einigen ist das ja alles egal nach dem Motto "Ich hab nichts zu verbergen, ist eh nichts interessantes auf meinem Server zu finden"

ok hab verstanden
da kann ich ja die gestreiften Socken wieder weg legen
und sag nicht auf unserer Seite gibt es nichts interessantes zu sehen nee nee warn Spass

ich danke Dir und bis bald

Ich möchte nur noch einen letzten Tipp loswerden.

Zitat:

Original von andy 1000
wir für unseren Teil haben die Ultrastads von Webspace geschmissen und werden sie auch nie wieder benutzen

Tut euch selbst einen Gefallen und macht vorher ein Backup - oder lasst es von dem Anbieter machen. Wenn möglich nur den weiteren Zugriff sperren, alles andere so lassen und Strafanzeige gegen Unbekannt stellen. In 10 Bundesländern geht das gleich online, da musst du noch nichtmal vom PC aufstehen.
https://www.berlin.de/polizei/internetwache/index.php

Bei einem Defacement oder Spambot ist es den ganzen Ärger nicht wert - da kann man das sportlich nehmen. Aber wenn der geöffnete Rechner wie in deinem Fall zum Tatwerkzeug geworden ist kannst du dir selber damit vielleicht den Arsch retten wenn die Ermittlungen zu dem Schluß kommen das der Verursacher nicht feststellbar ist.

Das Risiko dabei ist natürlich das irgendein übereifriger Ermittler den Server beschlagnahmt und der dann 6 Monate in der Arservatenkammer verrottet. Der übliche Verlauf ist das jemand die Daten aufnimmt und das Verfahren eingestellt wird. Das muss man dann abwägen.

Zitat:

Original von andy 1000
ps im schlimmsten Fall können noch Regressforderungen auf uns zu kommen

Dagegen kann dann z.B. ein "Verfahren eingestellt" Bescheid helfen. Du hast natürlich diesmal selbst bei den schlechtmöglichsten Verlauf der Sache Glück. Eine Amerikanische Bank sitzt erstmal in Amerika und du in DE. Da kannst du wenn es hart auf hart kommt selbst den Gerichtsort bestimmen - und ein Gericht nehmen das bisher bei solchen Dingen weise entschieden hat. (Hint: Hamburg würde ich meiden )

Also: Beim nächsten mal Beweise sicherstellen, Strafanzeige stellen, möglichst nichts verändern außer das was unbedingt nötig ist um weiteren Schaden zu vermeiden.

alles klar Danke

404 - DEPUBLIZIERT

Dieser Beitrag wurde auf Wunsch des Urhebers ohne Anerkennung einer Rechtspflicht gelöscht

Bitte nicht die Google Cache Funktion benutzen.

das mag ja sein aber schon das man sie da ablegen kann ist für mich bedänklich und wer schaut schon sämtliche Ordner und Prog. ständig durch.
meiner Meinung nach ist das Programm (ultrastats) die undichte stelle ...wir haben weiter kein auffälliges Progi. gefunden!

mfG andy

hatten das problem auch
mein anbieter (all-ink.com) hat mir ein .htaccess angelegt die das übergeben von externen links an sämtliche dateien verhindert.

und seitdem ist ruhe im karton

404 - DEPUBLIZIERT

Dieser Beitrag wurde auf Wunsch des Urhebers ohne Anerkennung einer Rechtspflicht gelöscht

Bitte nicht die Google Cache Funktion benutzen.