AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Zurück Delphi-PRAXiS Delphi-PRAXiS - Lounge Klatsch und Tratsch Hab isch Frage: Webseiten"einbruch"
Thema durchsuchen
Ansicht
Themen-Optionen

Hab isch Frage: Webseiten"einbruch"

Ein Thema von Lemmy · begonnen am 24. Apr 2023 · letzter Beitrag vom 26. Apr 2023
Antwort Antwort
Seite 1 von 2  1 2      
Lemmy

Registriert seit: 8. Jun 2002
Ort: Berglen
2.381 Beiträge
 
Delphi 10.4 Sydney
 
#1

Hab isch Frage: Webseiten"einbruch"

  Alt 24. Apr 2023, 19:48
Servus,

einem Bekannten wurde jetzt das zweite mal innerhalb 4 Wochen auf das Controlpanel seines Hosters zugegriffen.
Lt. Seitenbetreiber kann der nicht nachvollziehen, wie der ins Ssystem kam - außer halt mit einem PWD. Da mehr oder weniger Zeitgleich seine Rechner zu Hause mit einem Verschlüsselungstrojaner überrollt wurden, gehe ich aktuell davon aus, dass die immer noch Zugriff auf sein System haben und daher das neue Passwort übernommen haben.

Ich habe jetzt ihm geraten, dass ich die PWD von meiner Kiste aus ändere, was ich auch gemacht habe. Was mir aufgefallen ist, "meinen" ftp-Zugang zur Seite hat der Angreifer gelöscht und einen "Default" Zugang angelegt. das Passwort habe ich schon geändert. Ich habe alle Dateien mal durchgeschaut, keine Änderung lt. Datumsangabe seit dem letzten Einbruch.

Ich werde jetzt noch die pwd der Emailaccounts ändern - Datenbanken sind keine angelegt - hat jemand ne Idee, was ich ggf. übersehen habe / noch überprüfen könnte?

Grüße
  Mit Zitat antworten Zitat
Benutzerbild von Gausi
Gausi

Registriert seit: 17. Jul 2005
885 Beiträge
 
Delphi 11 Alexandria
 
#2

AW: Hab isch Frage: Webseiten"einbruch"

  Alt 24. Apr 2023, 20:04
Zunächst mal würde ich das infizierte System "wegschmeißen", d.h. der (oder die?) Rechner auf dem der Trojaner gewütet hat, sollten platt gemacht werden erst dann wieder ins Netz.

Mir ist etwas vergleichbares einmal vor ein paar Jahren passiert. Vermutlich wurden die FTP-Zugangsdaten abgefischt (Filezilla, Klartext). Dann wurde per FTP ein JavaScript in die index.html bzw. index.php eingefügt, das versucht hat, Schweinkram zu verbreiten. Glücklicherweise ist das recht schnell aufgefallen, weil dadurch die Seite nicht mehr korrekt funktioniert hat.

Ich habe dann das FTP-Passwort geändert, die index.html des CMS durch "Wartungsarbeiten" ersetzt (also die Seite defacto abgeschaltet), "Format c:\", Windows neu installiert, mir dann die Dateien des CMS auf dem Server näher angeschaut (da gibt's ein Check-Tool für), und dann die Seite wieder online gesetzt. Und den Vorgang auf der Seite transparent veröffentlicht.

Diese Maßnahmen haben geholfen - danach hatte ich keine Probleme mehr damit. Wichtig ist halt, dass das kompromittierte System ersetzt wird - und zwar nicht nur mit "Antivirus", sondern komplett neu.
The angels have the phone box.
  Mit Zitat antworten Zitat
Lemmy

Registriert seit: 8. Jun 2002
Ort: Berglen
2.381 Beiträge
 
Delphi 10.4 Sydney
 
#3

AW: Hab isch Frage: Webseiten"einbruch"

  Alt 24. Apr 2023, 20:37
das ist zum Glück erst mal sein Problem. am liebsten wäre mir, er würde seine Kisten alle wegschmeißen, da steht lt ihm noch ein Windows XP Rechner irgendwo in der Ecke
  Mit Zitat antworten Zitat
Benutzerbild von jaenicke
jaenicke

Registriert seit: 10. Jun 2003
Ort: Berlin
9.651 Beiträge
 
Delphi 11 Alexandria
 
#4

AW: Hab isch Frage: Webseiten"einbruch"

  Alt 24. Apr 2023, 20:47
Zunächst mal würde ich das infizierte System "wegschmeißen", d.h. der (oder die?) Rechner auf dem der Trojaner gewütet hat, sollten platt gemacht werden erst dann wieder ins Netz.
Insbesondere vergessen viele die Dateien auf dem System. Manche machen nur das Betriebssystem platt, starten aber vorhandene Exen, Setups oder Office-Dateien mit Makros munter nach dem Neuaufsetzen wieder, so dass ein darin eingeschleuster Virus gleich wieder aktiv ist.

das ist zum Glück erst mal sein Problem. am liebsten wäre mir, er würde seine Kisten alle wegschmeißen, da steht lt ihm noch ein Windows XP Rechner irgendwo in der Ecke
Da fängt man sich natürlich sehr einfach etwas ein, wenn der noch am Netz hängt. Einen XP-Rechner könnte selbst ich recht einfach kompromittieren (bzw. habe es schon aus Interesse gemacht ), obwohl ich mich damit ansonsten kaum auskenne.
Sebastian Jänicke
AppCentral
  Mit Zitat antworten Zitat
Benutzerbild von Sinspin
Sinspin

Registriert seit: 15. Sep 2008
Ort: Dubai
691 Beiträge
 
Delphi 10.3 Rio
 
#5

AW: Hab isch Frage: Webseiten"einbruch"

  Alt 25. Apr 2023, 08:48
<snip> Ich habe alle Dateien mal durchgeschaut, keine Änderung lt. Datumsangabe seit dem letzten Einbruch. <snip>
Die Dateien auf dem FTP? Das Änderungsdatum kann man nachträglich ändern. Interesanter sind Transfer- und Zugriffs-logs.
Allerdings bringen die nur was wenn sie unter einem anderen Zugang liegen oder nicht gekapert werden können. Zumindest bei mir sind die Dateien für mich read only.
Stefan
Nur die Besten sterben jung
A constant is a constant until it change.
  Mit Zitat antworten Zitat
Lemmy

Registriert seit: 8. Jun 2002
Ort: Berglen
2.381 Beiträge
 
Delphi 10.4 Sydney
 
#6

AW: Hab isch Frage: Webseiten"einbruch"

  Alt 25. Apr 2023, 14:22
<snip> Ich habe alle Dateien mal durchgeschaut, keine Änderung lt. Datumsangabe seit dem letzten Einbruch. <snip>
Die Dateien auf dem FTP? Das Änderungsdatum kann man nachträglich ändern. Interesanter sind Transfer- und Zugriffs-logs.
Allerdings bringen die nur was wenn sie unter einem anderen Zugang liegen oder nicht gekapert werden können. Zumindest bei mir sind die Dateien für mich read only.
Danke, das hatte ich schon befürchtet, die Nacht hat der Provider aber nochmal eine Prüfung durchgeführt und 3 Dateien wurden als problematisch angesehen, die habe ich inzwischen gelöscht. Dann werde ich mir das Zeugs nochmal speziell auf PHP/JS durchschauen ob da noch was rumliegt was suspekt ist...
  Mit Zitat antworten Zitat
Benutzerbild von Phoenix
Phoenix
(Moderator)

Registriert seit: 25. Jun 2002
Ort: Hausach
7.641 Beiträge
 
#7

AW: Hab isch Frage: Webseiten"einbruch"

  Alt 25. Apr 2023, 19:05
Lt. Seitenbetreiber kann der nicht nachvollziehen, wie der ins Ssystem kam - außer halt mit einem PWD. Da mehr oder weniger Zeitgleich seine Rechner zu Hause mit einem Verschlüsselungstrojaner überrollt wurden, gehe ich aktuell davon aus, dass die immer noch Zugriff auf sein System haben und daher das neue Passwort übernommen haben.

Ich habe jetzt ihm geraten, dass ich die PWD von meiner Kiste aus ändere, was ich auch gemacht habe. Was mir aufgefallen ist, "meinen" ftp-Zugang zur Seite hat der Angreifer gelöscht und einen "Default" Zugang angelegt. das Passwort habe ich schon geändert. Ich habe alle Dateien mal durchgeschaut, keine Änderung lt. Datumsangabe seit dem letzten Einbruch.

Ich werde jetzt noch die pwd der Emailaccounts ändern - Datenbanken sind keine angelegt - hat jemand ne Idee, was ich ggf. übersehen habe / noch überprüfen könnte?
Vielleicht ist mit dem Verschlüsselungstrojaner auch weitere unerwünschte Schnüffelsoftware bei ihm gelandet.

Ähnliches ist letztens beim Linus Tech Tips Youtube-Kanal passiert:

Jemand war als Admin auf einem infizierten System eingeloggt. Die Schnüffelsoftware hat aber nicht das Passwort geklaut, sondern den Session-Cookie aus dem Browser.

Egal wie oft das Passwort geändert wurde, und auch egal ob ggf. sogar ein Zweitfaktor beim Login abgefragt wurde: am Ende landet ein Cookie im Browser als Beweis das er authentifiziert wurde. Wird dieses Cookie Abgefangen, kann ein Angreifer damit mit seinem Browser den Login umgehen und ist sofort "drin".
Sebastian Gingter
Phoenix - 不死鳥, Microsoft MVP, Rettungshundeführer
Über mich: Sebastian Gingter @ Thinktecture Mein Blog: https://gingter.org
  Mit Zitat antworten Zitat
Benutzerbild von Sinspin
Sinspin

Registriert seit: 15. Sep 2008
Ort: Dubai
691 Beiträge
 
Delphi 10.3 Rio
 
#8

AW: Hab isch Frage: Webseiten"einbruch"

  Alt 26. Apr 2023, 08:50
Das ist mal was interessantes!

Also müsste, um das sicherer, zu machen solch ein Key nicht als Cookie abgelegt werden.
Oder zumindest eben nicht auf die Platte geschrieben werden. Es ist ja eh nur für die aktuelle Session gültig.

Damit ist faktisch jede Art von Passwort elegant zu umgehen solange der Angreifer schon im System ist.

Das sollte auf die Todoliste von Browserherstellern. Cookies nicht mehr auf die Platte zu schreiben wenn da ein Sessionkey drinne ist
Stefan
Nur die Besten sterben jung
A constant is a constant until it change.
  Mit Zitat antworten Zitat
Benutzerbild von Phoenix
Phoenix
(Moderator)

Registriert seit: 25. Jun 2002
Ort: Hausach
7.641 Beiträge
 
#9

AW: Hab isch Frage: Webseiten"einbruch"

  Alt 26. Apr 2023, 09:14
Wenn fremde Software auf Deinem System mit Admin-Rechten läuft, kann die auch Browser-Plugins installieren.
Oder, noch einfacher, einen lokalen Proxy registrieren der HTTPS aufbricht (mit einem lokalen Zertifikat, das ja auch installiert werden kann). Dann kann er die cookies (und alles andere auch) schon unterwegs unverschlüsselt abfangen.
Kurzum: Das ist nicht mehr "Dein" Computer. Da hilft es auch nichts wenn die Tools wie Browser keine Files sondern was auch immer nutzen um Daten abzuspeichern.
Sebastian Gingter
Phoenix - 不死鳥, Microsoft MVP, Rettungshundeführer
Über mich: Sebastian Gingter @ Thinktecture Mein Blog: https://gingter.org
  Mit Zitat antworten Zitat
Lemmy

Registriert seit: 8. Jun 2002
Ort: Berglen
2.381 Beiträge
 
Delphi 10.4 Sydney
 
#10

AW: Hab isch Frage: Webseiten"einbruch"

  Alt 26. Apr 2023, 09:20
Danke. Krass, dass so was möglich ist. Ich frage mal beim Provider nach, ob die schauen können, welche Session-Cookies auf dem Zugang aktiv sind, damit die die einmal wegschmeißen...

Grüße
  Mit Zitat antworten Zitat
Antwort Antwort
Seite 1 von 2  1 2      


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 02:46 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz