Illegale Aktivitäten auf meinem Webspace [Hacker-Angriff?]

[Tease]

Hallo zusammen,

ich habe seit kurzem Probleme mit illegalen Aktivitäten auf meinem Webspace. Ich habe keine Ahung, woher die Angriffe kommen, also welche Sicherheitslücke genutzt wurde, noch wie ich das Problem in den Griff bekomme. Ich hoffe, dass mir hier jemand etwas weiterhelfen kann. Bin für jede Hilfe sehr dankbar.

Zuerst einmal hier die Mail von meinem Provider:

"Sehr geehrte Damen und Herren,

leider mussten wir erneut feststellen, dass Ihr Webspace fehlerhafte Scripte ausführt. Anbei die Details:

COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME perl 25951 web12 cwd DIR 0,82 4096 23658548 /var/www/web12/html/schen/magento
perl 25951 web12 rtd DIR 0,82 4096 3375163 / perl 25951 web12 txt REG 0,82 1254244 4786918 /usr/bin/perl perl 25951 web12 mem REG 0,82 11616 55186665

Wir mussten die entsprechende Domain sperren.

Das Script wurde gestern erzeugt:

/var/www/web12/html/schen/magento# ls -lat|head -4 total 388 drwxr-xr-x 24 web12 web12 4096 Feb 27 13:08 .
-rw------- 1 web12 web12 47853 Feb 27 13:08 tom.txt

Wir bitten Sie schnellstmöglich das Problem zu beheben, da wir ansonsten den kompletten Account sperren müssen. "

Das ist nun bereits das 3mal in kürzester Zeit, dass so etwas vorkommt, deswegen auch das "erneut" in der Anschrift.
Zuvor war ein anderes Verzeichnis einer komplett unterschiedlichen Domain betroffen. Es scheint, als ob der Hacker von einem Verzeichnis in das andere wechselt. Hier die Mail bezüglich des vorhergegangenen Hacker-Angriffs:

"Sehr geehrte Damen und Herren,

wir sind darauf aufmerksam geworden, dass auf Ihrem Webspace fehlerhafte Skripte ausgeführt werden, die den reibungslosen Betrieb des Servers stören.

Die Scripte liegen unter:
/var/www/web12/html/media/Scripts/_notes

Bitte löschen Sie das gesamte System (CMS etc.), dass auf diesen Ordner Zugriff hat.

In den meisten Fällen entstehen solche Probleme durch unsichere PHP-Skripte und CGIs. Oft reicht es aus, die eingeschleusten Seiten (nach Erstellung einer Kopie!) zu entf
ernen und die unsicheren Skripte zu löschen oder abzusichern. Sie sollten also zunächst Ihr System nach Schwachstellen durchsuchen und herausfinden, auf welchem Wege diese Seiten eingeschleust wurden.

Manchmal tritt dieses Phänomen auch auf, wenn Ihr Rechnern von Angreifern übernommen (vulgo: "gehackt") wurde. Dies ist z.B. möglich, wenn Sicherheitslücken in CMS-Systemen bestehen oder die Zugangsdaten nicht ausreichend abgesichert wurden.

Bitte antworten Sie sobald wie möglich auf diese E-Mail, wenn Sie das Problem selbstständig beheben oder anderweitig klären konnten.

Wir bitten IN JEDEM Fall um eine RÜCKMELDUNG!

Sollten Sie unsere Unterstützung bei der Ursachensuche benötigen, beauftragen Sie dies bitte mit einem Ticket. Eine solche Unterstützung ist in der Regel kostenpflichtig; wir berechnen 15 EUR pro 15 Minuten Zeitaufwand. Vorab kann nicht genau gesagt werden, wie lange eine
Analyse dauern wird und ob diese erfolgreich sein wird. Bitte geben Sie daher ein Zeitlimit an.

Wenn wir keine Rückmeldung von Ihnen erhalten, sind wir bei Anhalten des Problems gezwungen, den Account (auch zu Ihrer Sicherheit) vorübergehend vom Netz zu nehmen."

Grudnsätzlich laufen auf meinem Account mehrere Domains. Einiges mit CMS-Systemen, wie Wordpress und Magento, aber eine "befallene" Domain, wie z.B. die oben genannte "media" besteht jediglich aus einigen HTML-Seiten mit ein paar wenigen Skripten.

Kann mir jemand weiterhelfen, wie ich erkennen kann welche Dateien infiziert sind, wie ich die wieder bereinigen kann und natürlich auch wie ich herausfinden kann wo die Sicherheitslücke ist, damit ich dieses Problem beheben kann. Vielleicht gibt es ja Tools, die checken können, welchs Dateien Verbindungen zu externen Servern aufbauen? Ist ja sicherlich kein Einzelfall.

Außerdem wurde im letzten Absatz erwähnt, dass mein Provider das Problem zu einem Stundenlohn von 60€ lösen könnte.
Kann man ungefähr abschätzen wie lange so eine Reparatur dauern könnte? Wenns nur 'ne Stunde oder so wär, würde ich das gerne in Kauf nehmen.

Vielen Dank für eure Hilfe!

 

[der_fou]

AW: Illegale Aktivitäten auf meinem Webspace [Hacker-Angriff?]

Hey!

Leider bin ich mit der Materie nicht so weit vertraut, dass ich Dir korrekt antworten kann.

Aber erst mal soviel:
Grundsätzlich lässt sich nicht sagen, wie tief im System das Problem liegt.
Daher ist eine Aussage über das mögliche, benötigte Zeitfenster nur schwer zu treffen.

Kannst Du noch mitteilen, wer denn Dein hoster ist und ob Deine domains tatsächlich, wie in der Email geschrieben, oflline sind?

LG und allzeit "gut Licht"!

der fou

 

[Bauer_Lindemann]

AW: Illegale Aktivitäten auf meinem Webspace [Hacker-Angriff?]

schwer zu sagen, aber hast Du da schon mal nachgedacht die Page offline zustellen und neu zu überarbeiten?
Hast Du mal bei Deinem Provider nachgefragt.

Bauer_Lindemann

 

[Tease]

AW: Illegale Aktivitäten auf meinem Webspace [Hacker-Angriff?]

Danke euch beiden!
Habe alle Domains und damit auch alle Files vom Webspace gelöscht. NAtürlich erst nachdem ich von allem ein Backup erstellt habe.
Ich würde bevor ich die Files wieder online stelle, allerdings gerne das Problem beheben, da ich befürchte, dass das Problem ansonsten gleich wieder auftritt, nur habe ich eben keine Ahnung wie ich das Problem behebn soll. :-(

@der_fou: du bist aus Simbach? Cool, ich auch! Also, mittlerweile nicht mehr so oft, aber ist meine Heimat! Niederbayern rockt!

 

[Milly]

AW: Illegale Aktivitäten auf meinem Webspace [Hacker-Angriff?]

Eigentlich ist ja alles wichtige gesagt worden:

... Die Scripte liegen unter: /var/www/web12/html/media/Scripts/_notes ...

Hast du dort mal nachgesehen? Was liegen dort für Scripte? Ist der Inhalt noch der gleiche wie deine "original" Scripte?

Ein guter IT'ler sollte sowas locker in einer Stunde schaffen. Ich denke 30min. sind da realistisch. Schließlich behebt er "nur" das Problem. Mit Backup/Restore wird (bzw. sollte) er sich nicht aufhalten - dies wäre deine Aufgabe.

Grüße
Milly

 

[Tease]

AW: Illegale Aktivitäten auf meinem Webspace [Hacker-Angriff?]

Eigentlich ist ja alles wichtige gesagt worden:



Hast du dort mal nachgesehen?

Das ist natürlich richtig. Ich hätte vielleich dazu sagen sollen, dass ich als ich diese Mail vor ein paar Tagen bekam, die fremden Skripte aus diesem Verzeichnis entfernt hatte und hoffte, dass das Problem somit behoben sei. Aber gestern bekam ich nun eben wieder eine Mail, dass ein anderes Verzeichnis betroffen ist.
Das lief jetzt bereits 3mal so: Provider meldet betroffenes Verzeichnis, ich lösche das, dann Ruhe. Ein paar Tage später Provider meldet weiteres betroffenes Verzeichnis, ich lösche wieder, und erstmal Ruhe. Nun wieder ein vollkommen anderes Verzeichnis und Provider droht mit Sperrung des Accounts. Ich kann nicht immer die aufgetretend Fehler ausbessern, sondern muss endlich wissen, woher der Angriff kommt, und was man dagegen tun kann.
Scheinbar verbreitet sich der Hack über meinen gesamten Webspace.

 

[behemoth65]

AW: Illegale Aktivitäten auf meinem Webspace [Hacker-Angriff?]

Das sit immer schwer aus der Ferne nachzuvollziehen. Aus der Verzeichnisstruktur zu schliessen scheinen aber auf Deinem Server mehrere Kunden zu tummeln (ist ja die übliche Praxis) und eventuell hat eienr deiner "Mitbewohner" sei es aus Mutwillen, Zufall oder Schlampigkeit Zugriff auf Deine Verzeichnisse. Ich hatte mal ein ähnliches Problem, ein Kunde der bei einem Reseller eines Resellers eines Resellers war (kein Witz..."Hauptsache billig"). Ich bin damals über dei IP in Kontakt zu anderen Kunden gekommen, die dieselben Probleme wie der meine hatte. Es muss also nicht an Dir oder "bösen Hackern" liegen, sondern kann andere Ursachen haben. Allerdings musst Du da erstmal dahinterkommen.

 

[Milly]

AW: Illegale Aktivitäten auf meinem Webspace [Hacker-Angriff?]

Fangen wir doch mal mit dem einfachsten an:

Hast du schon deine Passwörter geändert ????

 

[MainAngler]

AW: Illegale Aktivitäten auf meinem Webspace [Hacker-Angriff?]

Mich hätte mal der Inhalte der tom.txt interessiert.
Vielleicht wäre man somit auf eine Schwachstelle gekommen.... eine Lösung hätte man dann ggf. auch finden können.

Hmm, müsste man mal scannen (Port-Scan) was alles an Services auf deinem Webspace aktiv ist und läuft, z.B. PHP, MySQL....

Man kann jetzt vorweg schlecht sagen an was es liegt, wo die Schwachstelle ist... man hätte sich den Inhalt der Dateien anschauen sollen!

 

[Pionierbrigade70]

AW: Illegale Aktivitäten auf meinem Webspace [Hacker-Angriff?]

Es scheinenen die Skripte zu sein die dritte den Zugang ermöglichen. Ich hatte das mal mit einem erstellten Bildkatalog und einem dazu verwendeten Javscript. Es war im ausführbarem Script ein Virus versteckt. Ich hatte dam alle Bilder gelöscht bzw. lokal gespeichert und die Virensuch bemüht.
Das Javascript habe ich dan nicht mehr verwendet und und der Schaden war beseitigt.
Ist eine Meldung aufgetaucht unter Google wenn die Seite gesucht wird das diese Viren hat.
Kann natürlich auch sein das der Hoster bestimmte Scripte nicht zuläst und der Alarm automatisch ausgelöst wird.

Wie ich sehe verwendest du pearl scripte? mal davon trennen.
Es ist auch möglich das auf deinem Rechner ein Virus ist der bei Hochladen der Seiten mit auf den Server geschoben wird.

 

[berniecook]

AW: Illegale Aktivitäten auf meinem Webspace [Hacker-Angriff?]

Hallo,
als erstes hätte ich meinem Provider angerufen und verifiziert, ob die tatsächlich diese Mail geschickt haben. Da dieser Dir eine Dienstleistung verkauft hat (hosten) kann ich mir nicht vorstellen, dass dieser von Dir 60 €/h haben will um "das Problem" zu beheben!
Mit anderen Worten nachgefragt: Bist Du wirklich sicher, das Dein Provider Dir diese Mail geschickt hat?

Grüße

 

[Pionierbrigade70]

AW: Illegale Aktivitäten auf meinem Webspace [Hacker-Angriff?]

Was ich auch jetzt erst lese. Kosten vom Provider und für ein Ticket 15 € Was ist das denn.
Welche Provider hast du denn. Sehr anrüchig?
Bei 1 und 1 ohne hier Werbung zu mache gebe ich ein Ticket auf (kostenlos) oder habe eine kostenlose Hotline.

 

[Schneidfried]

AW: Illegale Aktivitäten auf meinem Webspace [Hacker-Angriff?]

Moin
Erstmal ist es unüblich von Providerseite in der Bekanntmachung des Problems gleich mit Kostenforderungen aufzutauchen. Ich gehe davon aus, das es sich um angemieteten 'Webspace' handelt, denn dann hast du sowieso nur Zugriff auf dein Verzeichnis unterhalb ..\www\. Also ist der Wurm irgendwo in deinem Content zu suchen, das mitunter schwierig sein wird den zu finden..
Erster Schritt in solchen Fällen ist, den Provider zu informieren um ein Befall der gesammten Servers auszuschließen.
Dann Daten sichern, sprich hol dir das ganze Zeuch wieder nach Hause.
Setze ein neues(!) CMS auf, falls du eines benutzt.
Reparieren ist in den seltensten Fällen sinnvoll wenn man(n) nicht wirklich weiß wo man suchen soll.
Und dann alles dichtmachen und nur nach und nach zulassen was man braucht und nicht umgekehrt.
Wenn es dann wieder läuft mach ein Backup, den das braucht man immer dann wenn man keines hat.
Ist es ein dezierter Server würde ich den sofort neu aufsetzen.
Alles andere ist aus der Ferne nur spekulative Mutmaßungen.
Unseren Kunden ist auch schon passiert, das sie auf solche oder ähnliche Hoaxe aufgesessen sind und die Kohle war weg und mit dem Server war alles in Butter.

 

[EnricoS]

AW: Illegale Aktivitäten auf meinem Webspace [Hacker-Angriff?]

Ich geb auch noch einen guten Rat: Prüf die Rechte deiner Verzeichnisse.
Für gewöhnlich wird kein Schreibrecht benötigt. Und wenn wird dir in der Doku deines CMS (oder was auch immer) gesagt, wo es erforderlich ist.

Und noch ein Stichwort: .htaccess und Verzeichnisschutz
Und noch ein Letztes: Aktualisiere dein CMS. Falls es ein Einfallstor durch das CMS selbst ist hat der Hersteller bestimmt schon ein Update parat.

Passwörter ändern wurde schon genannt

 

[sppopeid]

AW: Illegale Aktivitäten auf meinem Webspace [Hacker-Angriff?]

Mir kam auch der Gedanke, dass du die Herkunft der Mitteilung genau prüfen solltest, da sich mehrere Rechtschreibfehler eingeschlichen haben, die ich in einer seriösen Mitteilung eines seriösen Providers nicht erwarte....

 

[Lona]

AW: Illegale Aktivitäten auf meinem Webspace [Hacker-Angriff?]

Mir kam auch der Gedanke, dass du die Herkunft der Mitteilung genau prüfen solltest, da sich mehrere Rechtschreibfehler eingeschlichen haben, die ich in einer seriösen Mitteilung eines seriösen Providers nicht erwarte....


Das wür ich dir auch raten...ich bekomme auch immer solche Mails von meinem Freenet-Mail...Anbieter (angeblich)
hab dort mal nachgefragt beim Kundendienst...also sie schicken sie nicht. seitdem ingnoriere ich sie einfach-aber nachfragen musst du schon...

 

[Tease]

AW: Illegale Aktivitäten auf meinem Webspace [Hacker-Angriff?]

Zunächst mal Danke an alle, für die vielen Tips!

Ich gehe schon davon aus, dass die Mail von meinem Provider (Campusspeicher) stammt, da auch tatsächlich fremde Dateien auf meinem Webspace waren. Scheint also kein Fake gewesen zu sein.
Nachdem ich nun alle Verzeichnisse durchgecheckt habe und alles normal aussieht (gut, ich weiß natürlich nicht, was jede der tausenden Datein macht, also Restrisiko bleibt), ich das Passwort meines Webspaces geändert habe, werde ich mal Stück für Stück wieder alle Verzeicnisse hochladen. Sollte ja dann wieder sauber sein, oder?
Kann es sein, dass fremde Dateien, die ich vielleicht übersehen habe, künftig eine Verbindung zum externen Server aufbaut, obwohl ich das Passwort geändert habe?

Außerdem bekam ich von einem Vorredner hier den Tip mit .htaccess und Verzeichnisschutz. Bin mir nur nicht sicher, in welches Verzeichnis ich die reinpacken soll. Ich mein, im Grunde sollen ja alle Dateien vor Fremden geschützt sein. Packe ich diese also dann in mein Stammverzeichnis?

Nochmal Danke!

 

[Sized]

AW: Illegale Aktivitäten auf meinem Webspace [Hacker-Angriff?]

Hallo Tease,

in dem einem Schreiben wird von dem Ordner "schen/magento" und von dem anderem Stammverzeichnis geredet. Sind die einzelnen Webs von den Domains schön in Unterordnern oder gibt es eine Domain die auf das Stammverzeichnis Zeigt?

Wenn du Zugriff auf die Logfiles hast dann kannst du dort schauen wo zugegriffen wurde... sieht mir nach Confixx oder Plesk aus. Vor dem html Verzeichnis gibt es ein Log Ordner.

Wenn jemand eine Datei erstellt schaut er vermutlich auch in diese rein... somit hast du den Zugriff auf die Datei und die IP Adresse... Weiterhin kannst du an der IP Adresse in der Access Log sehen welche Scripte aufgerufen wurden. Diese werden dann wohl dafür verantwortlich sein.

ggf. kannst du schauen von Welchen Provider / Server die aufrufe getätigt wurden... IP WOHIS

Mit htaccess Dateien kann man schön die Ordner oder Dateien Sperren vom Web aus ... sollte ein PHP Script nachgeladen worden sein und der Zugriff darauf funktionieren, hilft auch eine htaccess Datei nicht,da PHP sich bis zur obersten Struktur bewegen kann.

Am besten neu aufsetzen und neuste Version von Magento und anderen CMS Systemen installieren. Manipulierte Systeme lassen sich schwierig ohne genauer Diagnose säubern und wenn Verzeichnis-übergreifend was verändert wurde kann überall was sein.

Sollte ich mich irgend wo vertan haben, bitte ich um Korrektur oder Ergänzungen.

Gruß Sized