THEMA: Server gehackt?!
20 Aug 2007 06:56 #46099
  • Guido.
  • Guido.s Avatar
  • Guido. am 20 Aug 2007 06:56
  • Guido.s Avatar
Wurde der Server gehackt? Am Ende des HTML-Codes nach dem schließenden HTML-Tag werden aktuell 8 IFrames eingebunden: 7 mit Inhalten von einem türkischen Server und einer mit Inhalten von einem australischen Server. Alle mit Höhe und Breite gleich 0. Ich habe die von dort geladenen Inhalte noch nicht analysiert, aber so ein HTML-Code macht im Rahmen einer regulären Anwendung überhaupt keinen Sinn. Ganz unten links finden sich 2 Punkte, die auf den türkischen Server verlinken.

Das hier verwendete CMS Joomla fiel zuletzt ja durch diverse Sicherheitslücken auf und ist mittlerweile \"Hackers Liebling\".

Guido

Update: Im IFrame vom australischen Server wird ein Frameset geladen. Im oberen versteckten (weil nur 2 Pixel hohen) Frame wird versucht ein Java-Applet zu laden. In den Parametern des Applet steht etwas von \"Kadir BASOL\". Der/die/das ist offenbar bisher durch das Programmieren von Spyware/Trojanern auffällig geworden.<br><br>Post geändert von: login37, am: 20/08/2007 07:35
Der Administrator hat öffentliche Schreibrechte deaktiviert.
20 Aug 2007 07:54 #46100
  • Hiluchs
  • Hiluchss Avatar
  • Beiträge: 518
  • Dank erhalten: 32
  • Hiluchs am 20 Aug 2007 07:54
  • Hiluchss Avatar
Kann ich bestätigen. Auch wenn man nichts auf dem Bildschirm bemerkt, lädt der Browser plötzlich etwas von einer *.tr-Adresse und mein PC gibt Virenalarm.

Alle die noch kein Antiviren-Programm haben, sollten das spätestens jetzt dringendst nachholen!
Z.B.: http://www.antivir.de (Kostenlos!).
Der Administrator hat öffentliche Schreibrechte deaktiviert.
20 Aug 2007 08:14 #46101
  • Riedfrosch
  • Riedfroschs Avatar
  • Amphibienknutscher
  • Beiträge: 1330
  • Dank erhalten: 353
  • Riedfrosch am 20 Aug 2007 08:14
  • Riedfroschs Avatar
Doofe Frage:
Ist das Laden dieser anderen Seite denn gefährlich für mich?
Ich habe Antivir, aber reicht das??
Der Administrator hat öffentliche Schreibrechte deaktiviert.
20 Aug 2007 08:25 #46102
  • Guido.
  • Guido.s Avatar
  • Guido. am 20 Aug 2007 06:56
  • Guido.s Avatar
Hallo Chrigu,

ich weiß nicht, ob Du mit Programmierung u.ä. Dein Geld verdienst und will keine klugscheißenden Ratschläge geben. Falls Du das Joomla hier eher hobbymäßig aufgesetzt hast, mache bitte nach Möglichkeit schnellstmöglich folgendes:

1. Website abschalten
2. Prüfen ob Joomla die Benutzer-Passwörter verschlüsselt oder im Klartext in MySQL ablegt.
3. HTTP-Log-Dateien zur späteren Auswertung sichern (sind aber eventuell schon manipuliert).
4. Aktuellste Version von Joomla installieren

Für alle die mit so etwas wenig zu tun haben. Hacken erfolgt heute in der Regel nicht mehr aus Langweile oder um auf dem jeweiligen Computer maximalen Schaden anzurichten (z.B. das für DOS-basierende OS früher berüchtigte format c: ). Es geht eigentlich immer um wirtschaftliche Interessen.

1. Jeder infiltrierte Server oder PC eines Heimanwenders kann im Rahmen eines BOT-Netzwerkes für Spamversand, (DDOS-)Angriffe u.ä. genutzt werden.

2. Jede erbeutete E-Mail-Adresse kann an Spammer verkauft werden.

3. Niemand will sich hunderte Passwörter merken. Die meisten Leute verwenden deshalb die gleiche Kombination aus Benutzernamen und Passwort bzw. E-Mailadresse und Passwort für verschiedenste Websites. Wenn nun jemand z.B. in ein Forum einbrechen und dort die Benutzerdaten abgreifen kann, dann ist die Wahrscheinlichkeit sehr hoch, dass ein Teil dieser Benutzername-Passwort-Kombinationen auch bei eBay, Paypal, Amazon und Co. funktioniert. Deshalb werden solche daten für bis zu 5 $ pro Stück gehandelt. Deshalb auch oben die Frage, ob die Passwörter verschlüsselt gespeichert werden. Wenn nicht sollten alle, die die gleichen Zugangsdaten wie hier für eBay, Paypal u.ä. verwenden, dort schnellstens ihre Passwörter ändern.

Die Preisfrage ist aktuell, ob der Angreifer nur etwas HTML-Code (die ganzen Iframes) oder auch PHP-Code einschleusen konnte. Ich vermute Ersteres und dann wäre es halb so wild.

Ich schreibe z.B. auch in einem Forum für Minolta-Kameras mit. Das wurde vor ein paar Monaten auch gehackt und die von mir nur dort verwendete Mailadresse Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein! wurde dann mit Spam eingedeckt.

@Parnassia
Keine Ahnung. Bei mir wird das Applet nicht ausgeführt. Viel hängt da von der Konfiguration des Browsers ab. Wenn eine Gefahr besteht, dann wäre es ohnehin zu spät. Die Infektion erfolgte dann schon beim Aufruf dieser Seite. Versuche Deinen Virenscanner zu aktualisieren und dann einen Scan zu machen.

Guido<br><br>Post geändert von: login37, am: 20/08/2007 08:47
Der Administrator hat öffentliche Schreibrechte deaktiviert.
20 Aug 2007 09:06 #46105
  • chrigu
  • chrigus Avatar
  • Beiträge: 6473
  • Dank erhalten: 3463
  • chrigu am 20 Aug 2007 09:06
  • chrigus Avatar
Hallo

Vielen Dank für die Hinweise zum Hack des Servers. Diesen habe ich bereinigt. Es wurden tatsächlich am Ende der Indexseite die immer geladen wird einige iframes reingeschrieben. Diese haben Daten von fremden Seiten nachgeladen. Der Hack der Seite hat letzte Nacht um 3:20 stattgefunden.
Leider muss ich dazu sagen, dass ich selber Schuld war. Normalerweise sind alle Dateien des Forums schreibgeschützt. Der Schreibschutz wurde wegen eines Updates ausgeschaltet. Leider habe ich vergessen, den wieder zu setzen.

Welche Konsequenzen hat der Hack für die Nutzer des Forums?
Über einen solchen Hack, kann ein Browser manipuliert werden, dass er ein Schadprogramm auf den eigenen Rechner herunterlädt. Diese können unterschiedlichste Schäden anrichten. So kann der Rechner zum Beispiel zum Versenden vom Spam genutzt werden. Solche manipulierten Seiten existieren zu tausenden im Netz. Aus diesem Grund braucht Ihr einen aktuellen Virenscanner. Am besten einer der auch auf Trojaner sucht.

Herzliche Grüsse
Chrigu
Der Administrator hat öffentliche Schreibrechte deaktiviert.
20 Aug 2007 09:17 #46108
  • Guido.
  • Guido.s Avatar
  • Guido. am 20 Aug 2007 06:56
  • Guido.s Avatar
Hallo Chrigu,

Du kannst sicher ausschließen, das PHP-Code eingeschleust werden konnte? Ich mache nichts mit Joomla und habe da keine Erfahrung, aber bei einigen Kollegen wurden vor einem Monat mehrere Joomla-Installationen gehackt und da wurde überall versteckt PHPShells installiert.

Guido<br><br>Post geändert von: login37, am: 20/08/2007 09:24
Der Administrator hat öffentliche Schreibrechte deaktiviert.