Website mit iframe infiziert - PC / Mac kompromittiert (FTP Daten gestohlen) |
||
---|---|---|
#0
| ||
14.04.2013, 10:49
...neu hier
Beiträge: 6 |
||
|
||
14.04.2013, 15:19
Member
Beiträge: 5291 |
#2
Ich möchte mal vor allem hierauf verweisen:
http://www.heise.de/security/meldung/Darkleech-infiziert-reihenweise-Apache-Server-1833910.html Du hast ja nichts über den Webserver ansich gesagt, aber Apache ist sicherlich sehr verbreitet. Was für ein Webserver läuft auf der Maschine, in welcher Version? Zitat Ähnliche Vorfälle mit derselben Malware sind hier zu finden:Woher weißt du das, weil die Malwareseite die selbe ist? Was für eine Webseite habt ihr, benutzt ihr irgendwelche Frameworks - wenn ja welche? In welcher Version? Zitat - Wir haben bis heute nur FTP verwendet - Sniffing? Wie wahrscheinlich? (ist nun SFTP mit geänderten Zugangsdaten)Sniffing glaube ich mal eher weniger, jedenfalls ist die Wahrscheinlichkeit nicht so hoch. Ich würde da schon eine Sicherheitslücke im Server selber in Betracht ziehen, klar kann auch das passwd geleakt sein aber Bruteforce ist schon anstrengend - 0day exploits sind da wahrscheinlicher. FTP hat nichts mit SFTP zu tuen, zweiteres verläuft über SSH. Zitat - Wir verwenden 2 Mac OS 10.8.3 Systeme (haben gerade mit Antivir einen Scan durchgeführt )Naja Mac OS X halte ich bis heute noch für ein sehr sicheres System, denke nicht das du hier suchen musst. Zitat - Filezilla ist möglicherweise die Infektionsquelle für die iframe Malware: http://blog.unmaskparasites.com/2009/09/01/beware-filezilla-doesnt-protect-your-ftp-passwords/Ja klar wenn die Windows Kiste kompromitiert wurde, gab es denn anzeichen dafür? Zitat • → Wie können wir den Windows Rechner prüfen und analysieren?Siehe: http://board.protecus.de/t40182.htm Auf trojaner-board.de wird es ähnliches geben, bitte keine crosspostings. __________ E-Mail: therion at ninth-art dot de IRC: megatherion @ Freenode |
|
|
||
15.04.2013, 11:01
...neu hier
Themenstarter Beiträge: 6 |
#3
Zitat Ich möchte mal vor allem hierauf verweisen:Wir haben zum Tatzeitpunkt in unserem FTP Log: Code Fri Apr 12 00:46:14 2013 0 77.238.8.69 12965 /www/htdocs/index.php b _ o r ftp-login ftp 0 * c Zitat Was für ein Webserver läuft auf der Maschine, in welcher Version?Server Version: Apache/2.2.23 (Ubuntu) PHP/5.3.18-nmm1 with Suhosin-Patch mod_ssl/2.2.23 OpenSSL/0.9.8k Zitat Woher weißt du das, weil die Malwareseite die selbe ist?- Ja, dieselbe Malwareseite zum selben Zeitpunkt wie die anderen WebsiteHack Berichte. - Wir verwenden nur selbst geschriebene Software mit einem besonderen Augenmerk auf Sicherheit. Zitat Ja klar wenn die Windows Kiste kompromitiert wurde, gab es denn anzeichen dafür?Leider nein, wir haben bisher Malwarebytes und Co durchlaufen lassen... ohne Ergebnisse... http://board.protecus.de/t40182.htm arbeiten wir mal durch. Erstmal vielen Dank für Deine ausführliche Antwort!! |
|
|
||
15.04.2013, 11:13
Member
Beiträge: 5291 |
#4
Zitat Server Version: Apache/2.2.23 (Ubuntu) PHP/5.3.18-nmm1 with Suhosin-Patch mod_ssl/2.2.23 OpenSSL/0.9.8kNa dann wird der Server doch schon der Ursprung des Problems sein, Ubuntu eignet sich sowieso nicht besonders gut als Server OS. __________ E-Mail: therion at ninth-art dot de IRC: megatherion @ Freenode |
|
|
||
15.04.2013, 11:29
...neu hier
Themenstarter Beiträge: 6 |
#5
Zitat Xeper posteteWoher schliesst du das? Schliesslich sind ja eindeutig irgendwie die FTP Daten irgendwo geleakt. Die Malware Erklärung wäre hier die üblichste. |
|
|
||
15.04.2013, 11:42
Member
Beiträge: 5291 |
#6
Zitat Woher schliesst du das? Schliesslich sind ja eindeutig irgendwie die FTP Daten irgendwo geleakt.Ein FTP Login bedeutet nichts anderes als das was es ist, der Server kann auch schon vorher irgendwie kompromitiert worden sein - wenn es nur ein leak wäre würde ich sagen - ok passwd ändern und alles ist gut. Ich glaube aber nicht das es damit getan sein wird... oder habt ihr das schon probiert? Edit: Ich habe da so meine Erfahrungen - es gibt hier noch ein anderen Thread: http://board.protecus.de/t42637.htm#359542 Nach meiner Meinung sollte die Administration eines Servers nicht in die Hände von Unwissenden gelegt werden, andere Themen wie diverse XSS/Framework etc. Attacken kann man im Grunde auch schon vorher ausschließen. Eine Kompromitierung ist im Grunde nur der Indikator dafür, dass man es irgendwo an irgendeiner Stelle nicht konsequent gemacht hat. __________ E-Mail: therion at ninth-art dot de IRC: megatherion @ Freenode |
|
|
||
15.04.2013, 13:03
...neu hier
Themenstarter Beiträge: 6 |
#7
Zitat Ich glaube aber nicht das es damit getan sein wird... oder habt ihr das schon probiert?klaro, wir haben alle Dateien in denen via FTP geschrieben wurde korrigiert (Malware entfernt). SSH Umgebung entfernt und neu aufgesetzt sowie alle Zugangsdaten Daten geändert. Den Zugang zu dem Live System hat nun nur noch einer + alle FTP Zugänge sind gelöscht und es gibt nur noch via SSH Schlüssel Zugang. Bisher ist noch keine Neuinfektion geschehen und ich hoffe natürlich, dass das so bleibt. Auf dem Windows Rechner haben wir bisher "leider" noch keine Malware gefunden. |
|
|
||
15.04.2013, 13:07
Member
Beiträge: 5291 |
#8
Zitat Auf dem Windows Rechner haben wir bisher "leider" noch keine Malware gefunden.Aha, naja wie gesagt wird vielleicht auch gar keine drauf sein. Zitat klaro, wir haben alle Dateien in denen via FTP geschrieben wurde korrigiert (Malware entfernt).Hoffen wir das es ausreicht, ein sicherer Server ist ja das A und O. __________ E-Mail: therion at ninth-art dot de IRC: megatherion @ Freenode |
|
|
||
16.04.2013, 21:14
...neu hier
Themenstarter Beiträge: 6 |
#9
ich verlinke mal folgendes Thema von hier: http://board.protecus.de/t42679.htm
Da es auch etwas mit meinem Problem zu tun hat. |
|
|
||
unsere Website wurde gehackt und in alle index.php Dateien auf dem Server via iframe Malware injiziert, sodass Google unsere Seiten mit einem Malware Hinweis versehen hat.
Code
Ähnliche Vorfälle mit derselben Malware sind hier zu finden:- http://www.trojaner-board.de/133587-website-infiziert-vorgehen.html#post1045531
- http://www.joomlaportal.de/joomla-2-5-sicherheit/294895-malware.html
- http://www.boerse.bz/netzwelt/webmaster/1435350-protocolmindm-website-infiziert.html
(Ein User dort behauptet es sei iLivid Malware gewesen → AdwCleaner hat bei uns allerdings nichts gefunden)
Tatvorgang
Laut Server Logfiles hat sich zum Tatzeitpunkt (Timestamp geänderte Dateien) via FTP ein Server/Hacker aus Italien mit der IP 77.238.8.69 eingeloggt und die Dateien (index.php in allen Ordnern) modifiziert.
Der Server hatte sonst keine Besuche auf dem Server, daher vermute ich, dass dieses vollautomatisch geschehen ist.
http://support.google.com/webmasters/bin/answer.py?hl=de&answer=163634 haben wir durchgeführt. ... allerdings geht es nun um die Infektionsquelle:
Gretchenfrage, wie sind die FTP Daten geleakt?
- Wir haben bis heute nur FTP verwendet - Sniffing? Wie wahrscheinlich? (ist nun SFTP mit geänderten Zugangsdaten)
- Wir verwenden 2 Mac OS 10.8.3 Systeme (haben gerade mit Antivir einen Scan durchgeführt )
- Wir verwenden ausserdem einen Windows Rechner? (mit Filezilla)
- Filezilla ist möglicherweise die Infektionsquelle für die iframe Malware: http://blog.unmaskparasites.com/2009/09/01/beware-filezilla-doesnt-protect-your-ftp-passwords/
• → Was können wir noch tun um unsere Mac OS Systeme zu prüfen?
• → Wie können wir den Windows Rechner prüfen und analysieren?
Vielen Dank für jede Hilfe und Analyse!
Kirsten