Server gehackt

Mein Server wurde in den letzten Wochen mehrfach gehackt. Die Startseite meiner Domain genau wie mein Impressum wurden hin und wieder mit iframes versehen, zweimal wurden die Startseiten durch fremdsprachige Alternativen ersetzt. Ich glaube, das nennt man Defacement.

Eine der Konsequenzen dieser Aktionen ist, daß mein altes Weblog verschwunden ist. Irgendjemand hat den Inhalt des Verzeichnisses komplett gelöscht. Die andere Konsequenz ist eine enorme Verunsicherung meinerseits. Denn ich habe keine Ahnung, wo überall Sicherheitslücken versteckt sind, die zu einer solchen Verwundbarkeit führen können. Mein Provider ist mir dabei leider auch keine echte Hilfe.

Offenbar war mein altes Weblog eines der Einfalltore für die Hacker. Ein weiterer Grund, es nicht wieder aufleben zu lassen. Ich habe zudem derzeit überhaupt keine Zeit und Lust, mich um die Inhalte meines alten Blogs zu kümmern. Deshalb muss ich es leider vorerst in Frieden Ruhen lassen.

Gibt es denn irgendwo verständliche und gute Quellen/Bücher über solche Defacements und Sicherheitslücken? VERSTÄNDLICH!!!! Ich kann mir gut vorstellen, daß wir auch zum Thema Sicherheit dringend eine Initiative wie die Webkrauts brauchen, die sich darum bemüht, verständliche Informationen zum Thema Sicherheit unter die Leute zu bringen und die Menschen für dieses Thema zu sensibilisieren. Es betrifft jeden Entwicker, der mit Skriptsprachen umgeht, seien sie server- oder clientseitig.

Kommentare und Trackbacks sind nicht möglich

10 Kommentare zu “Server gehackt”

  1. Hallo, Jens.
    Eine bei den Hacker beliebte Methode ist es, sich auf weit verbreitete Weblog-Systeme zu stürzen. Wenn da ein Loch bekannt wird, kann man es gleich millionenfach anwenden.

    Also:
    1. regelmäßige Backups.
    2. regelmäßig neue Versionen von WordPress installieren
    3. Alles, was überflüssig ist, wie etwa die Versions-Angabe von WordPress im Header des Themes entfernen. Dort erfährt der Hacker nicht nur, dass Du mit WordPress unterwegs bist, sondern auch dass Du gerade die Version 2.3 installiert hast. Jetzt braucht er nur noch den richtigen Exploit – und schon ist er drin.

    Mach es den Hackern ein wenig schwerer, und die meisten gehen zu einer Seite, wo es leichter ist. Und wenn Dir der Hoster bei solchen Problemen nicht hilft, da solltest Du dringend wechseln. Oft sind es nämlich die veraltetet Sicherheits-Einstellungen oder die veraltete Software auf den Servern, die den Einstieg ermöglichen.

    Gruß, Lothar Baier

    Lothar Baier    |   6.Oktober 2007

  2. Die Versionsangabe von Wordpress steckt in vielen verschiedenen Komponenten, z.B. in allen Feeds. Man bekommt sein WP nur zuverlässig anonymisiert, was die Versionsnummer angeht, wenn man sie in der Datei ‘version.php’ heraus nimmt oder gegen eine Fantasienummer austauscht. Denn dort wird diese Variable gesetzt.

    Man muss dabei aber berücksichtigen, dass die automatischen Update-Benachrichtigungen eventuell nicht mehr richtig funktionieren. Was ich aber für leicht verschmerzbar halte.

    Ansonsten gibt es bei blogsecurity immer wieder gute Tipps.

    Boris    |   6.Oktober 2007

  3. Wenn Du Wordpress absichern möchtest kann ich Dir den wp-scanner von blogsecurity.net empfehlen:
    http://blogsecurity.net/wordpress/tools/wp-scanner/

    Der Scanner prüft auf bekannte Probleme im wp-core, in plugins und auch in themes.

    Ich find’s sehr hilfreich.

    lg
    Martin

    Martin    |   6.Oktober 2007

  4. Also was ich sinnvoll finde ich sich über nicht gefundene Seiten unterrichten zu lassen. Aus die Art und Weise merkt man recht schnell wenn versucht wird eine Website zu hacken.

    Joerg    |   7.Oktober 2007

  5. Ärgerlich, da wünsche ich – aufrichtig – viel Erfolg bei der Wiederherstellung und »Restaurierung«.

    Die “Webkrauts-Initiative” begrüße ich außerdem; nicht nur sollten die Webkrauts Serveradministration und Netzwerksicherheit ins Programm aufnehmen, sondern auch eine Expertenkommission zur Staatsverschuldung gründen und gegen Schadstoffemissionen in China vorgehen.

    Jens Meiert    |   7.Oktober 2007

  6. Hallo Jens,

    ich denke nicht, dass Wordpress ein “Einfallstor” für Skript-Kiddies ist; in der aktuellen Version nicht mehr oder weniger als vergleichbare CMS, die auf PHP/MySQL basieren.

    Die Chance, dass es über den Server lief, liegt bei ca. 5%. Das wäre aus Sicht des Angreifers nicht nur wahnsinnig, sondern auch verrückt. Das Einfallstor muss also irgendwo anders zu finden sein.

    Der einfachste Weg so etwas zu tun führt über den Rechner des Geschädigten. (!)

    Es ist mit vergleichsweise geringem Aufwand verbunden und geschieht meist unbemerkt. Das Protokoll FTP ist unverschlüsselt, deshalb müsste man nur die Daten mitlesen oder aus der config abrufen und hätte Zugriff, könnte Inhalte ändern.

    WLAN vereinfacht die Sache für den Angreifer zusätzlich. Ein Paketfilter, wie der kostenlose sygate.exe, informiert und zeigt ein- und ausgehende Verbindungen an. Sollte bei einem FTP-Verbindungsaufbau mehr als ein Prozess laufen, dann müssten die Alarmglocken leuchten. Ein Malware-Scan (z. B. lavasoft) und resistenter AV-Zugriffsscanner (z. B. avast) stellen eine sinnvolle Ergänzung dar. Spuren werden dabei selten hinterlassen. Das sind natürlich Dinge, die nicht neu sind.

    Interessant wäre dennoch die Auswertung der Server-Logs, insbesondere der FTP-Verbindungen im fraglichen Zeitraum. Zuviel darf man sich hiervon aber nicht erhoffen.

    Zum Thema Weblog noch folgendes: Jedes System ist empfindlich gegen äußere Eingriffe. Viele Blogger bohren den Core ihrer WP-Installation auf, passen hier was an, nehmen dort etwas raus und überfrachten das System mit Zusatz-Code (Plugins), der das CMS anfällig für Verwundungen von Außen macht. Erweiterungen erweitern neben der Funktionalität auch die Angriffsfläche.

    “Einfallstore” gibt es viele, so kann schließlich auch ein Router befallen werden.

    Backups ziehen ist meiner Meinung nach pragmatischer als die Sicherheit zu Lasten der Kommunikation zu forcieren.

    Übrigens: das MS ServicePack3 wird einige Neuerungen bereithalten, der IE7 soll als Teil des SP3 ausgeliefert werden und damit verbunden ist auch ein überarbeitetes Sicherheitskonzept. Sicherheit ist daher auch ein Thema im Zusammenhang mit Webentwicklung.

    Matthias Koch    |   7.Oktober 2007

  7. @Jens: Wo ist Dein Problem, bitte?? Lies meinen Text richtig, dann wirst Du feststellen, daß ich NICHT will, daß sich die Webkrauts darum kümmern, sondern daß es einen Initiative WIE DIE Webkrauts geben solle, die sie Aufklärungsarbeit vornimmt.

    Jens Grochtdreis    |   8.Oktober 2007

  8. Hallo Jens,

    ich kann leider auch nicht beurteilen, wo dein Problem genau lokalisiert ist. Ich kann dir aber uneingeschränkt folgendes Buch empfehlen:

    http://www.amazon.de/Sicherheitsrisiko-Web-Anwendung-Sverre-H-Huseby/dp/3898642593

    Mit dessen Hilfe kannst du selbst der Sicherheitslücke auf der Spur kommen.

    Ich würde mir auch überlegen, mit den Log-Dateien zur Polizei gehen und Anzeige wegen Erspähung von Daten zu erstatten.

    Alles Gute

    Bertram

    Bertram Simon    |   8.Oktober 2007

  9. Falls Du Dich generell mit Skript-/Web-Applikationssicherheit beschäftigen willst (was ich jedem Entwickler wärmstens empfehlen kann), solltest Du Dich beispielsweise an dieses Buch wagen: http://www.php-sicherheit.de/

    Generell gilt, dass Du den Server sicher konfigurieren und Benutzereingaben sowie URL-Parametern misstrauen sollst. Darüber hinaus gilt PHP von Haus aus als relativ unsicher und sollte “gehärtet” verwendet werden.
    Weitere Begriffe zum recherchieren sind beispielsweise XSS (Cross-Site-Scripting), CSRF (Cross-Site-Request-Forgery), SQL-Injections, …

    Hier ein paar direkte Anlaufstellen:

    http://www.hardened-php.net/
    http://www.php-security.org/
    http://www.sitepoint.com/article/php-security-blunders
    http://www.madcat.nl/martijn/archives/16-Using-smarty-to-prevent-HTML-injection..html
    Secure Apache:
    http://www.petefreitag.com/item/505.cfm
    Input-Sanitizing:
    http://devzone.zend.com/node/view/id/1113

    Das sollte für den Einstieg reichen :)

    jot*be    |   8.Oktober 2007

  10. Hallo
    heute wurde mein Server gehackt.
    Ich habe soetwas noch nie erlebt…2Schnecken kamen zum ct spawn und fraßen uns auf.
    Ich(der Admin) wurde von fremden Spielern gebannt.Sie haben mein rcon password gehackt und mir die Adminrechte entzogen.

    fehr    |   20.März 2008
« »