Larian Studios Forums General Chat (German) Hacker

Eigentlich wollte ich das ja in das Aufreger-Topic posten aber ich wollte dort die Diskussion nicht unterbrechen.

Die Homepage meines Verbandes wurde gestern von einem Hacker... nun... gehackt. Der Mann/Junge/Schnösel hat sich die Mühe gemacht, jegliche auf PHP basierende Angebote meiner Seite (Forum, News, Newsletter, Diary, ...) komplett zu vernichten.

Statt der eigentlichen Infos/Eingabemasken erscheint nur noch "Morinex ownz you". Na toll! Hat vond em schon jemand gehört?

Nun frage ich mich natürlich: wie?
Ich meine, wie konnte es der Kerl fertig bringen, ganze Datenbanken verschwinden zu lassen?

Und was noch viel wichtiger ist: Warum???
Warum sollte das irgendjemand tun? Ich meine, mein Verein ist in Liechtenstein - und nur in Liechtenstein. Es geht um Musicals und Theaterstücke. Es hat absolut nichts zum Downloaden, keine beonderen Infos, nichts was irgendjemanden ausserhalb Liechtensteins überhaupt interessieren könnte... Warum kommt also jemand auf die Idee, mein Zeugs kaputt zu machen?

Ehrlich, ich hätte heute morgen heulen können. All die Arbeit, die ich hatte! Ich hoffe einfach, mein Provider hat ein Backup oder so (da ich trotz unbegrenzter Bandbreite/Speicherplatz nichts für den Provider/Domäne zahlen muss, nehme ich es ihm nicht übel falls er es bei mir nicht so genau nimmt). Aber vor Montag oder Dienstag (ist ja Feiertag) wird das wohl nichts.

Wie kann ich das in Zukunft verhindern ohne meine Leute eizuschränken?

Ich würde - sofern dir ein meßbarer Schaden entstanden ist - auf jeden Fall Strafanzeige erstatten. Das mußt du aber selbst beurteilen, wie schwer dir der Schaden erscheint.

Habe den Begriff gerade in Google eingegeben und bekomme folgendes heraus :
http://www.kolonisten.nl/nieuws/168.php

Scheinbar ist er noch woanders unterwegs.

Alrik.

P.S. : Merke dir die Daten der veränderten Dateien ! Damit kann man das zeitlich eingrenzen !

P.S. : Du solltest www.heisec.de und ähnliche ständig nach Fehlern in PHP, mySQL oder was auch immer die Sprache PHP benutzt, scannen. Scheinbar war bei dir eine Lücke nicht gepatcht, die der Hacker prompt ausgenutzt hat.

Du hast ne hp und Zuhause kein eigenes Backup ?

Ich habe imemr ein Backup der hp, falls mal was ist oder ich umziehen will/muß mit der hp.
Solche Einträge wie im Tagebuch nicht, aber wenigsten sdie hp selbst.

Eine weitere Fundstelle : http://www.free-id-chat.net/

@Patarival:
Was die Hintergründe für eine solche Tat sind, darüber läßt sich nur spekulieren, Pat. Wahrscheinlich wollte ein "Kiddy" mal irgendwas probieren, was er gefunden hat und leider hat es eure HP getroffen <img src="/ubbthreads/images/graemlins/disagree.gif" alt="" />

Wenn du in dem Vertrag mit euren Hoster keinen Punkt über ein Backup drin hast, dass der Hoster in regelmäßigen Abständen soll, sieht es schlecht aus.

Hast du dir mal die PHP-Dateien angeschaut ? Vielleicht wurden sie nur dahingehend kompromitiert, dass nur die "Nachricht" erscheint, aber der Rest noch vorhanden ist bzw. die originalen Dateien umbenannt / verschoben wurden sind ?

Um an den Übeltäter heranzukommen, wirst du dich zwangsweise mit deinen Hoster in Verbindung setzen müssen. Bei normalen Hosting-Paketen hast du als Nutzer normalerweise keinen Zugriff auf die entsprechenden Log-Dateien und nur dein Hoster kann nachschauen, woher der Angriff kam.

Es sieht etwas anders aus, wenn du nicht ein reines Webhosting hast, sondern einen Root-Server. Bei einen Root-Server bist du in den meisten Fällen selber dafür verantwortlich, dass du die Software auf einen solchen aktuellen Stand hälst, dass die bekannten Sicherheitslücken von dir selber geschlossen werden (meist in Form von Updateeinspielungen der betreffenden Software). Auch für die Log-Dateien (bzw. deren regelmäßige Sicherung für den Fall aller Fälle) bist du dann selber verantwortlich. Aber Otto-Normal-Anwender haben dies (meist) nicht.

Es stellt sich ausserdem die Frage, ob nur deine Site oder auch andere Sites verunstaltet hat, die bei deinen Hoster gehostet werden. In den meisten Fällen ist es so, dass die Lücken nicht nur Zugriff auf eine Site erlauben sondern auch auf den kompletten Server, wo nicht nur die eine Site gehostet wird.

In jeden Fall würde ich mich mit dem Hoster in Verbindung setzen und auch mit der Polizei, wegen einer Anzeige, über den digitalen Einburch bzw. der Verunstaltung.

Wie du das in Zukunft einschränken kannst, müßte man etwas mehr darüber wissen, wie die HP, die Nutzerverwaltung und noch ein paar andere Dinge bei dir organisiert sind. Ich persönlich finde aber, dass dies nicht unbedingt Sinn macht, in einen öffentlichen Forum zu diskutieren (allgemeine Regeln und Verhaltensweisen ja), aber für spezielle Sachen hingegen nicht ! Schick mir ne PM / Mail, wenn du was wissen willst !

@Alrik: Wenn es ein Hacker wäre, dann würde er auch auf den "Opfersystem" eine Nachricht hinterlassen, wie er reingekommen wäre und hätte die originalen Daten nicht gelöscht. Meiner Meinung nach ist es einfach nur ein "Kiddy" / "ScriptKiddy" oder wie sich die "Verunstalter" von HP's auch immer nennen, die einfach nichts weiter machen als ne Seite, die nicht so geschützt ist, zu verunstalten und sich so einen "Namen" in einer "Szene" zu machen, die keine ist. Hacker sind dies 100%ig nicht !

Danke für die Tipps!

Ich habe gestern spät ind er Nacht mit meiner Provider telefoniert. Gottlob, er macht Backups. Und er wird mir auch Logs zur Verfügung stellen.
Da mir mein Provider alles gratis macht (er sponsort so meinen Verein), wäre ich ihm nicht böse gewesen, wenn er nicht auch noch das ganze Carepaket gegeben hätte.

Ich habe zu Hause von meiner Homepage schon ein Backup (habe sie ja auch zu Hause gemacht) aber nicht von den mySQL-Datenbanken.

Ich benutzte halt ein PHP-Newssystem, ein Forum (hatte ich mal hier diskutiert, ich benutze das phpBB), ein Newslettersystem und eine Art Entwicklertagebuch für meine Projekte. Die Scripts können eigentlich nichts anderes, als Nachrichten posten. Alle Admin-Seiten dieser Scripte sind natürlich Passwortgeschützt.

Danke für den Tipp, Xanlosch, aber dieser Morinex hat die gesamten Datenbanken und Scripts vernichtet.
Ich meine, wie geht das? Ausser mit meinem FTP-Passwort ist doch nicht einmal schreibzugriff auf die Maschine!

Ich frage mich auch ernsthaft, wie der auf meine Seite überhaupt aufmerksam geworden ist. Ich meine, klar sie ist im Google, aber wenn er nicht nach einem Liechtensteinischen Musical-Verein gesucht hat, hat er doch keine Chance, sie zu finden.
Ich habe zwar ein Script, das jeden Besucher aufzeichnet und alle seine Daten aufschreibt (IP, Browser, Referer, usw.) aber das hat er als erstes zerstört und bei einem Restore ist er denn wohl auch nicht mehr (oder noch nicht) drauf.
Mal sehen, was die Logs zeigen.

Ich bin auf jeden Fall auch für Tipps froh, wie man das sicherer gestalten kann. Ich schaue mir mal den Heise Link an, Alrik. Danke.

@Pat:

Ändere erstmal alle Passwörter von denen, die auch nur im entferntesten Sinne Schreibzugriff auf deine Site haben, sprich irgendwelche Nachrichten posten können oder sonstwie Änderungen an der HP vornehmen können. Auch dein FTP-Passwort solltest du schnellsten ändern.

Verwende keine schwachen Passwörter, sondern nutze nicht nur Zahlen und Buchstaben, sondern auch unübliche Zeichen wie Plus (+), Minus (-), Klammern ( (,{,[,],},), Multiplikation (*), Division (/), Punkt (.) usw. Auch Passwörter unter 5 Zeichenlänge sind "schwach", nimm am besten 8 bis 12 stellige ! Reine Aneinanderreihungen von Wörten sind auch nicht das wahre. Speichere die Passwörter in keinen Browser oder sonstwo, außer auf einen Zettel in einen guten Tresor (davon sollte es viele in Lichtenstein geben <img src="/ubbthreads/images/graemlins/winkwink.gif" alt="" /> ). Dass du sie auch keinen weitergibst, sollte klar sein, oder ?

Du schreibst, dass du phpBB verwendest. In der letzten Zeit war von einen Wurm die Rede, der nichts weiter machte als nach bestimmten phpBB-Seiten zu "googeln" und diese gefundenen Sites entweder selber zu kompromitieren oder an irgendwenn zu schicken, so dass der/die Macher hinter den Wurm loslegen können.

Ich denke mal auch, dass durch den Wurm bzw. durch ein Googlen nach der PhpBB-Version der Angreifer auf deine Site aufmerksam gewurden ist und nicht ein verärgerter Besucher.

Was die Scripts, das Newsletter-System und dein Entwicklertagebuch betrifft: Die schreiben doch auch in Einträge in eine Datenbank, oder ? Über songenannte SQL-Injections ist es möglich, zuerst die Datenbank bzw. die Software des Datenbanksystems zu übernehmen und danach u.U. auch noch weiteren Schaden anzurichten, so auch den schreibenden Zugriff auf deine Site.

Ich würde mir die Logdateien, die dir dein Hoster zur Verfügung gestellt hat, zu Polizei gehen und den Angreifer anzeigen. Meist hat die Polizei bessere Möglichkeiten den Angreifer zu schnappen bzw. heraus zu bekommen, wer es war.

Gegen dieses scheinbar an Minderwertigkeitskomplexen erstickende Ungeziefer ist einfach kein Kraut gewachsen. Über kurz oder lang wird jede Sicherung überwunden.

Die simpleste und bequemste Lösung ist in jedem Falle ein Backup-System. Ich habe meine persönlichen Daten und meine Kundendaten zB. doppelt im Backup: Einmal ausgelagert auf DVD's und dann noch auf einer externen Backup-HD mit Firewall.

Sollte also einer meiner Kunden mal Opfer eines Angriffs werden, habe ich seine komplette Präsenz in wenigen Minuten wieder auf dem Server.

Hallo zusammen,

ich bin da gerade passend zum Thema auf einen netten kleinen Artikel gestoßen, mit leicht säuerlichem Unterton verständlicherweise, den ich Euch leidgeprüften nicht vorenthalten wollte und der Euch mitfühlend eben das zu verstehen gibt:
"You are not alone!"
<img src="/ubbthreads/images/graemlins/shhh.gif" alt="" /> <img src="/ubbthreads/images/graemlins/wave.gif" alt="" />


TP: Der Internetslum

John Walker

Ist es der nächste große Trend, das Internet zu verlassen?

...
Ein ganz normaler Tag für Fourmilab

Wie ist das Leben im Internetslum heutzutage? Was kommt von draußen in Deine Wohnung? Hier ist
ein Schnappschuss vom 31. März 2004, ein vollkommen typischer Tag, in jeder Hinsicht.

Die Webseite verzeichnete 682.516 Aufrufe bei 56.412 Besuchen von 44.776 verschiedenen IPs,
14.8 Gigabytes an Inhalten wurden geliefert. Dies schließt natuerlich nicht den Traffic ein, der durch
die DDoS (Distributed Denial of Service) Attacke entsteht, die seit dem späten Januar 2004 läuft.
Wer auch immer für diese Attacke verantwortlich ist, bombardiert meine Seite mit 1.473.602
HTTP-Anfragen, die von 1.951 Hosts weltweit kommen. Diese Pakete werden durch den Gardol
Detektor blockiert, den ich im Februar entwickelte, statt etwas Produktives zu leisten. [ <img src="/ubbthreads/images/graemlins/biggrin.gif" alt="" /> ] Nun, heute
war die Attacke nur halb so stark wie während der ersten Welle im Januar.

Unabhängig von der derzeitigen DoS-Attacke läuft die Routineattacke gegen die Erde und Mond
Viewer, bei dem Robots versuchen, den Server zu überladen und/oder die ausgehende Bandbreite
durch wiederholte Anfragen nach großen Bildern aufzubrauchen. Diese Attacke läuft schon seit
einigen Jahren, mittlerweile ist sie durch die Gegenmaßnahmen, die im Oktober 2001 installiert
wurden, komplett unmöglich geworden; dennoch versucht man es weiter. Heute sind insgesamt
3.700 dieser Attacken (ausgehend von 342 Hosts) verzeichnet und blockiert worden.
...