exploit angriffe
Geschrieben: 23 Juli 2012 11:08 PM   [ Ignorieren ]
Administrator
Total Beiträge  2563
Beigetreten  2009-11-19

hey leute,
ich habe jetzt seit 10 jahren keine probleme mit viren gehabt. in letzter zeit geht s aber ganz schön rund. ich bekomme einen nach dem anderen rechner mit viren hingestellt. “da mach mal”.
jetzt hat heute ein kunden-kunde dessen webseite ich hoste angerufen:
die seite kann nicht aufgerufen werden wegen einer virenmeldung. tatsächlich waren alle html dateien mit nem Iframe versehen (<!—c3284d—>) jetzt frage ich mich schon ein bisschen wie das zustande kommt. wird da einfach nur der FTP Zugang gehackt oder gibt s da noch andere möglichkeiten.
andere webseiten in dem account sind nicht betroffen.

Was soll ich dem Kunden später erzählen?
Wie finde ich heraus wer oder was schuld ist?
Was außer FTP Account ändern kann ich da noch tun?

 Signatur 

“Das Dumme an Zitaten aus dem Internet ist, dass man nie weiß, ob sie wahr sind.”
  Leonardo da Vinci

Profil
 
 
Geschrieben: 23 Juli 2012 11:16 PM   [ Ignorieren ]   [ # 1 ]
Sr. Freak
Total Beiträge  5235
Beigetreten  2011-07-18

In jedem Fall solltest Dir mal die Logs zu Gemüte führen. Und vielleicht sollte der root auch mal sein Sicherheitskonzept überdenken.. Ohne weitere Infos ansonsten schwer Tipps zu geben.

 Signatur 
$> cd /pub/
$> 
more beer 
Profil
 
 
Geschrieben: 24 Juli 2012 04:45 AM   [ Ignorieren ]   [ # 2 ]
Sr. Freak
Total Beiträge  12898
Beigetreten  2010-09-21
Biersau - 23 Juli 2012 11:16 PM

In jedem Fall solltest Dir mal die Logs zu Gemüte führen.

Das wäre auch mein erster Schritt.

 Signatur 

Ein Land voller Idioten wählt einen Idioten zum Präsidenten, um sich dann ewig darüber aufzuregen, dass er ein Idiot ist.
Genau mein Humor!

Profil
 
 
Geschrieben: 24 Juli 2012 08:40 AM   [ Ignorieren ]   [ # 3 ]
Jr. Freak
Total Beiträge  3428
Beigetreten  2010-07-14

Mehrere unserer Kunden haben Probleme mit scareware auf ihren Rechnern gehabt und danach kamen per ftp Änderungen auf den Webseiten rein. Ebenfalls iframes. Eventuell hat die scareware doch mehr Funktionen als die üblichen gehabt. Wir vermuten in der Firma, dass die scareware sich so selbst verbreiten soll. Vielleicht ist bei deinem Kunden ähnliches passiert?

 Signatur 

“Die einen kennen mich, die anderen können mich.”
Konrad Adenauer

Profil
 
 
Geschrieben: 24 Juli 2012 09:39 AM   [ Ignorieren ]   [ # 4 ]
Administrator
Total Beiträge  2563
Beigetreten  2009-11-19

ok wir haben es wahrscheinlich. über einen neuen 1 und 1 Rootserver beim kunden wurde von einer it firma alles eingerichtet, nur firewall und scanner wurden nicht aufgespielt. das wurde auch nicht weitergegeben. dieser wurde natürlich infiziert und der virus hat sich von dort aus in der firma auf den rechnern verbreitet. ich schätze dass per ip sniffing vom virus aus die ftp zugänge zu meinem host ausgelesen wurden. es gab laut logs keinen brut force angriff auf meinen server und die webseite wurde vor 15 stunden komplett hochgeladen. ca 50 html seiten alle mit dem gleichen schema bearbeitet in unterschiedlichen Verzeichnissen. und das alles in wenigen sekunden. folge das musste ein programm abgearbeitet haben.
danke für die hilfe! BA-ler sind die besten

 Signatur 

“Das Dumme an Zitaten aus dem Internet ist, dass man nie weiß, ob sie wahr sind.”
  Leonardo da Vinci

Profil
 
 
Geschrieben: 24 Juli 2012 01:48 PM   [ Ignorieren ]   [ # 5 ]
Sr. Freak
Total Beiträge  5235
Beigetreten  2011-07-18

Ein dedicated Server, der ohne konfigurierte iptables daherkommt und der Kunde NICHT darauf hingewiesen wird? oO

http://serverzeit.de/tutorials/admins-haften

(ich fühle mich gerade genötigt, diesen Link hier - durchaus ernst gemeint - zu posten, der richtet sich aber nicht an Dich, binaer, sondern an potentielle Googler, die iwie ihren Weg hierher finden und Neugierige.)

 Signatur 
$> cd /pub/
$> 
more beer 
Profil
 
 
Geschrieben: 24 Juli 2012 02:11 PM   [ Ignorieren ]   [ # 6 ]
Sr. Freak
Total Beiträge  9999
Beigetreten  2010-05-14

Genau aus den Gründen ab ich mir damals auch keinen VServer geholt (oder war es doch wegen der Kohle) und habe eher mein letztes Motherboard in ein neues Gehäuse gekloppt Debian installiert und einen BF Vietnam Server und hab ihn in den Schuhschrank (Zentraler Netzwerkknotenpunkt des 1.Stockes) gestellt.
Dazu noch MySQl, Apache und Samba und fertig.
Dann konnte mein Bruder immer auf meine Filme zugreifen oder schon mal ohne mich Anfangen BF Vietnam zu zocken bis ich dann dazu gestoßen bin.

Das waren noch Zeiten. Aber gerade nach Biersaus Link bin ich noch mehr froh es damals so gemacht zu haben.

 Signatur 

....oO( Es ist längst mal wieder Zeit für einen gutes BIER )

 
Mus sich mal seine anderen Tausender raus suchen um Inspiration zu finden.

Profil
 
 
Geschrieben: 24 Juli 2012 07:32 PM   [ Ignorieren ]   [ # 7 ]
Jr. Freak
Total Beiträge  3130
Beigetreten  2011-12-09

jaja bahnhof…..... i like trains   LOL 

und nein bitte versucht erst gar nicht mir iwas zu erklären ...... sonst vergess ich vielleicht so wichtige sachen wie atmen oder wie man geht oder sonst was

 Signatur 

I’LL KILL YOU ALL! Ha ha ha! I’ll drive ya crazy, and I’ll kill you all! I’m every nightmare you’ve ever had, I am your worst dream come true. I’m everything you ever were afraid of! ARGH!!!

Profil
 
 
   
 
Bildschirmarbeiter - lustige Bilder, lustige Videos, Ebay-Auktion, Flashgames Bildschirmarbeiter - lustige Bilder, lustige Videos, Ebay-Auktion, Flashgames