Eigener Header wurde durch Fremdeinwirkung ersetzt

[Andreas69]

Hallo!
Habe zurzeit so ja noch nicht genug Probleme, nun macht sich auch noch jemand an meiner Homepage zu schaffen.
Wollte gerade einige Dinge aktualisieren.
Wie ich so unsere Seite aufrief, bekomme ich erst nur wildes Buchstaben und Zahlengewirr zu sehen.
Ich staunte nicht schlecht, wie ich die Seite mit F5 aktualisiere und mir nicht unser Header angezeigt wird, sondern ein Mädchen mit nacktem Oberkörper in hockender Position zu sehen ist.
Ich sofort sämtliche htm Dateien von Server gelöscht und neu aufgespielt. Nun passt es wieder.
Wie kann ich solche Unglücke verhindern, bzw mich davor schützen, denn dieses Bild ist definitiv nicht in einem meiner Ordner auf dem Server zu finden!

Gruß
Andreas

[Andreas69]

Es hat keiner einen Tipp in dieser Sache? :?
Nun gut, dann werde ich mich wohl mal mit all-inkl in Verbindung setzen müssen, denn dies ist mir dann doch zu wichtig.
Jetzt war es ja noch ein Bild ohne pornographischen Inhalt. Was aber, wenn sich dort mal etwas anderes hin verläuft?
Es muss ja irgendeine Möglichkeit geben dies zu verhindern, oder den Verursacher das Handwerk zu legen.

Bis dann
Andreas

[Helmut]

Hi,

solche Sache werden meist durch Lücken in Scripten eingeschleust. Hier würde ich mal ansetzen. Allerdings, es kann auch sein das die Sicherheitslücke nicht bei Dir liegt sondern auf Webspace der mit dir auf dem Server gehostet ist.

Ich hoffe du hast wenigstes die kompromittierten Daten gesichert. Ansonsten durchsuche deinen Webspace auch mal nach Dateien die da nicht sein sollten. Auch in allen Unterverzeichnissen.

Cu Helmut

[Andreas69]

Hallo Helmut,

nein, ich hatte in diesem Augenblick nicht diese gewisse detektivische Fähigkeit und habe nichts dergleichen gesichert. Habe einfach alles ganz schnell gelöscht und direkt neu aufgespielt auf den Server.
Mich macht dieses wilde Zahlen und Buchstabengewirr bei ersten aufrufen der Seite etwas stutzig.
Vielleicht war bei all-inkl ja von Serverseite her etwas nicht i.O. und wie es der Zufall will, gab es auf dem Server noch eine Bilddatei mit gleichem Namen.
Meine Ordner und Unterordner sind, soweit ich es jetzt sehen konnte, sauber.
Tja, eine Lücke im Script. Nun ja, da kenne ich mich nun nicht wirklich so gut aus, wie kann ich die denn feststellen?
Ich werde morgen mal eine Anfrage per Mail bei denen stellen, vielleicht lag es ja wirklich an einem Problem beim Server.
Es ist aber schon beängstigend zu sehen, wie schnell man doch unwissend in eine solche Situation kommen kann.


Bis denne
Andreas

[Helmut]

Hi,

Vielleicht war bei all-inkl ja von Serverseite her etwas nicht i.O. und wie es der Zufall will, gab es auf dem Server noch eine Bilddatei mit gleichem Namen.

bei all-inkl. ist die Serverseite eigentlich recht sicher. So zumindest meine bisherigen Erfahrungen. Solche Defacements der Webseite sind leider ein Sport von allen möglichen zwielichtigen Gestalten. Das reicht vom Scriptkiddy der Exploits testet bis zum aufbau eines Botnetzes für DDos Angriffe von echten Kriminellen.

Je nachdem was Du für Scripte einsetzt kann es schnell gehen das jemand eine ungepatchte Lücke ausnutzt, oder zumindest antestet was gehen könnte. Hauptsächlich geschieht das über fehlerhafte Eingabevalidierung von Scripten oder auch Pishing, also das vorgaukeln von bekannten Seiten die aber ganz andere Empfangsadressen haben als man meint.

Zumindest sollte man in dem Fall alle Zugangsdaten ändern und auch starke Passwörter verwenden.

Im Access Log solltest Du aber evtl. was finden was Dich auf eine Spur bringen kann. Such mal nach sowas:

/index.php?go=http://www.irgendeine_url... Dann bei Google nach index.php?go=http +txt

Cu Helmut

[Andreas69]

Hallo Helmut,

ich habe mir die Log`s der Tage vor diesem Ereignis nun mal auf den Rechner geladen und sie mir angesehen.
An den meisten Tagen gab es da jetzt auch nicht viel zu kontrollieren und ich konnte an diesen auch keinen Eintrag, so wie Du ihn beschrieben hast, darin finden
Nur der Tag an dem ich das Übel feststellte und ein weiterer fünf Tage zuvor sind mit reichlich Einträgen versehen.

Den Tag an dem ich es feststellte kann man aber wohl ausschließen. Hier beginnen die Einträge erst mit meinen Aktivitäten. Also dem löschen und späterem aufspielen der Dateien.

Der andere Tag erklärt sich von der großen Anzahl von Log`s durch mein aktualisieren einer Bilderserie. Es dürfte vermutlich auch Tage dauern, diesen Tag etwas genauer unter die Lupe zu nehmen. Ich brauche Dir wohl nicht sagen was da so an Zeichensätzen vorhanden ist, oder? ;-)

Auf jeden Fall werde ich den Ratschlag berücksichtigen mit den Zugangsdaten/Passwörter.
Setze mich morgen direkt mit den Jungs von all-inkl in Verbindung und leite es in die Wege.

Wie sieht es eigentlich rechtlich aus, wenn auf diese Art und Weise pornografische Inhalte über unsere Seite an die Öffentlichkeit kommen?
Kann der Verein oder ich dafür einen auf den Kopp bekommen?

Bis dann
Andreas

[Helmut]

Auf jeden Fall werde ich den Ratschlag berücksichtigen mit den Zugangsdaten/Passwörter.
Setze mich morgen direkt mit den Jungs von all-inkl in Verbindung und leite es in die Wege.

Die Daten kannste im KAS von all-inkl alle selbst ändern. Du kannst aber bei denen mal anfragen ob es am fraglichen Tag noch mehr Zwischenfälle gab.

Wie sieht es eigentlich rechtlich aus, wenn auf diese Art und Weise pornografische Inhalte über unsere Seite an die Öffentlichkeit kommen?
Kann der Verein oder ich dafür einen auf den Kopp bekommen?

Nun ich hab von noch niemand gehört der wegen einer gehackten Webseite verknackt worden wäre. Das Material wird ja meist gleich vom Inhaber entfernt. Was anderes wäre es wenn es wirklich mehr wäre als nur Porno, z.B. Kinderpornografie dann würde ich die Webseite sichern, per htacsess dichtmachen und mitsamt der Logfiles Anzeige bei der Polizei erstatten.

Das wichtigste ist aber das Du das etwaige Einfallstor findest, nicht das Du mal wieder von sowas heimgesucht wirst. Empfehlenswert ist auch eine Absicherung mit .htaccess, Beispiel:

Code:

RewriteEngine On
# Block out any script trying to base64_encode crap to send via URL
RewriteCond %{QUERY_STRING} base64_encode.*\(.*\) [OR]
# Block out any script that includes a <script> tag in URL
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
# Block out any script via URL
RewriteCond %{QUERY_STRING} ^(.*)=http://(.*) [OR]
# Block out any script trying to set a PHP GLOBALS variable via URL
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
# Block out any script trying to modify a _REQUEST variable via URL
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
# Send all blocked request to http://127.0.0.1
RewriteRule ^.*$ http://127.0.0.1/ [R,L]

Kommt jetzt ein externer Aufruf der im QueryString =http://... enthält, geht es ab zu 127.0.0.1

Cu Helmut

[Andreas69]

Hallo,

also heute war ich per Mail mit dem Support von all-inkl mehrfach in Kontakt. Einen Zugriff von außen auf den Server wurde ausgeschlossen.
Wobei man nicht so richtig, obwohl ich es in vier Mails gefragt hatte, auf ein eventuelles Problem beim Server eingegangen ist. Ich bin in der Materie ja nicht so Form, aber kann es nicht passieren, dass einfach mal die Dateien der Webseiten auf dem Server durch irgendwelche Ereignisse etwas durcheinander kommen?
Wenn dies nicht so ist, dann bleibt eigentlich wirklich nur der Zugriff, so wie schon von Dir Helmut erwähnt, über ein Script.
Was mir dabei nun einfällt. Das Menü läuft über ein Java-Script. Dieses Menü war an dem besagten Tag nicht geladen worden, sondern nur die Seite mit dem falschen Bild im Header. Könnte das eventuell der Weg gewesen sein?
Aber sie müssen doch trotzdem irgendwie per FTP, oder wie auch immer, auf den Server zugegriffen haben, um das geänderte Script auf den Server aufzuspielen.
Ich verstehe nur noch Bahnhof.

Nun Helmut, wie ist es denn mit diesem Beispiel vom Code? Würde es mir helfen ihn bei mir einzusetzen? Wenn ja, darf ich ihn nutzen und wo muss er platziert werden?

Ohh Mann, unsere Seite ist doch eigentlich so unbedeutend, warum können die sich für so einen Blödsinn keine andere Seite aussuchen...

Bis dann
Andreas

[Helmut]

Hi,

Ich bin in der Materie ja nicht so Form, aber kann es nicht passieren, dass einfach mal die Dateien der Webseiten auf dem Server durch irgendwelche Ereignisse etwas durcheinander kommen?

nö, eigentlich nicht.

Aber sie müssen doch trotzdem irgendwie per FTP, oder wie auch immer, auf den Server zugegriffen haben, um das geänderte Script auf den Server aufzuspielen.

nicht unbedingt, es reicht schon wenn man einen Ansatzpunkt hat um auf dem Server via Query String etwas einzuschleusen. Das Problem ist, es muss garnicht mal von deinem Webhost ausgehen, bei Multihost Umgebungen - so wie bei vielen Webhostern - kann das auch über einen anderen Zugang ausgelöst werden. Da gibt es viele Möglichkeiten.

Ohh Mann, unsere Seite ist doch eigentlich so unbedeutend, warum können die sich für so einen Blödsinn keine andere Seite aussuchen...

wenn es ein einfaches "Massen Defacement" war hast Du einfach Pech gehabt, Du wurdest da bestimmt nicht ausgewählt, da wird einfach drauflosgehackt... Es gibt Seiten im Web da liefern die Jungs jeden Tag die verunstalteten Webseiten als Beweis ab, sozusagen die Bestenliste der Cracker. Das betrifft pro Tag weltweit einige tausend Seiten.

Nun Helmut, wie ist es denn mit diesem Beispiel vom Code? Würde es mir helfen ihn bei mir einzusetzen? Wenn ja, darf ich ihn nutzen und wo muss er platziert werden?

wen ich den Poste kannst Du den auch nutzen...

Das ganze kommt in das Hauptverzeichnis, da wo die index.html liegt mit dem Dateinamen .htaccess der . vorndran muss sein. Sollte die Datei danach nicht sichtbar sein, das ist normal. Mit WS-FTP kannst Du aber unsichtbare Dateien mit dem Komando -la einzugeben im rechten Fenster, sichtbar machen.

Cu Helmut

[Andreas69]

Danke Helmut, ich habe es nun im Hauptverzeichnis stehen und hoffe mal auf eine einmalige Aktion dieser Art auf unserer Homepage.
Man kann ja nicht immer einer unter den tausenden sein, hoffe ich zumindest ;-)

Bis denne
Andreas