WebsiteBaker Support (2.8.x) > Diskussion über WB (closed)
Angriff
webixi:
Hallo Zusammen,
da es leider zwei Richtungen gibt: WB 2.8.3 und Lepton - arbeite ich noch mit WB 2.8.1
Nun hat es bei einem Kunden einen Angriff auf die Seite gegeben. Leider ist der Webhoster alles andere als kooperativ und schreibt dem Kunden, dass WB 2.8.1 völlig unbrauchbar sei, weil zu viele Sicherheitslücken vorlägen.
Ich könnte ja nun ein Upgrade vornehmen - evtl. WB 2.8.3... aber ich bin mir nicht sicher, ob das mit dem Uggrade so einfach ist.
Nun meine Frage:
wer hat mit der Installation WB 2.8.1 auch schon Angriffe erlebt?
Bei uns war es so, dass sämtliche index.php Dateien manipuliert waren. Man konnte die Website nicht mehr öffen, weil der Virenscanner die Bedrohung Blackhole gemeldet hatte. Im Hintergrund wurde versucht, ein Programm zu installieren. Also echt übel. Wir haben nun die Seite entseucht und alle Passwörter geändert. Ich habe aber das Gefühl, dass die PHP-Installtation des Providers nicht ok ist, aber der versucht sich nun, mit allen Mitteln herauszureden und behauptet nun, dass der Code mittels eines I-Frames implentiert worden sei...
Viele Grüße
Webixi
kweitzel:
In 2.8.1 gab es eine Lücke, bei der die Upload Funktion von aussen aufgerufen werden konnte. Das wäre ein möglicher Angriffspunkt für eine solche Situation. Aber bis jetzt wurde uns noch kein Nachweis präsentiert, dass diese (oder eine andere) Lücke in WB als Einbruchstor für einen Server gedient hat.
Du (oder der Hoster) wirst nicht um eine Analyse des Systems herumkommen, um das wirkliche Einfallstor zu finden. Das der Hoster bereits so "abweisend" und unvollständig mit seinen Informationen ist, deutet eher auf ein anderes Einfallstor hin. Kannst Du denn ausschliessen, dass der Server/Webspace nicht zum Beispiel über ein kompromitiertes FTP Konto gehackt wurde?
Mach auf alle Fälle erst mal ein Backup und untersuche dann die Installation (Dateien, Änderungsdaten, "externe Dateien" ...) und die LOG Dateien. Damit sollte sich das Genaue Datum bestimmen lassen.
Gruß
Klaus
DarkViper:
--- Quote from: webixi on February 15, 2012, 09:57:24 AM ---Nun hat es bei einem Kunden einen Angriff auf die Seite gegeben. Leider ist der Webhoster alles andere als kooperativ und schreibt dem Kunden, dass WB 2.8.1 völlig unbrauchbar sei, weil zu viele Sicherheitslücken vorlägen.
--- End quote ---
An der Stelle muss ich dem Provider zumindest teilweise leider Recht geben. 2.8.1 enthält tatsächlich einige gravierende Sicherheitslücken. Nicht umsonst empfehlen wir in der Ankündigung der 2.8.3 aus Sicherheitsgründen dringend ein Upgrade.
--- Quote from: webixi on February 15, 2012, 09:57:24 AM ---Ich könnte ja nun ein Upgrade vornehmen - evtl. WB 2.8.3... aber ich bin mir nicht sicher, ob das mit dem Uggrade so einfach ist.
--- End quote ---
Die WebsiteBaker-Homepage wurde mit der Veröffentlichung der 2.8.3 bereits auf diese upgegraded und läuft problemlos.
--- Quote from: webixi on February 15, 2012, 09:57:24 AM ---Nun meine Frage:
wer hat mit der Installation WB 2.8.1 auch schon Angriffe erlebt?
Bei uns war es so, dass sämtliche index.php Dateien manipuliert waren. Man konnte die Website nicht mehr öffen, weil der Virenscanner die Bedrohung Blackhole gemeldet hatte. Im Hintergrund wurde versucht, ein Programm zu installieren. Also echt übel. Wir haben nun die Seite entseucht und alle Passwörter geändert. Ich habe aber das Gefühl, dass die PHP-Installtation des Providers nicht ok ist, aber der versucht sich nun, mit allen Mitteln herauszureden und behauptet nun, dass der Code mittels eines I-Frames implentiert worden sei...
--- End quote ---
Es gab bis zu einschließlich der 2.8.2 Blackhole-Angriffe. Von der 2.8.3 ist noch nichts bekannt, was durch die Kürze der Zeit auch nicht verwunderlich ist.
Die Angriffe erfolgten nachweislich auf verschiedenen Wegen:
* Über Sicherheitslücken in WB
* Durch einen Trojaner auf dem heimischen PC, der die FTP-Zugangsdaten abgriff
* Bei nicht sauber konfigurierten Hostings über korrumpierte FTP-Zugänge quer über mehrere Webspaces hinweg
Seit der Version 2.8.1 wurden in WB gut ein Dutzend, teilweise schwere Sicherheitslöcher gestopft. Auch sind wir laufend dabei eigene und externe Tests auszuwerten um weitere Lücken zu finden, damit WB selbst so sicher wie möglich wird. Auf Konfigurationsmänge l der Hostings, geklaute Passwörter und auch benutzerseitige Änderung am WB-Code, die Sicherheitsmaßnahme n teilweise unbewusst aushebeln, haben wir selbstverständlich keinen Einfluß. Auch veraltete Zusatzmodule können neue Sicherheitslücken aufreißen.
BlackBird:
--- Quote from: webixi on February 15, 2012, 09:57:24 AM ---Leider ist der Webhoster alles andere als kooperativ und schreibt dem Kunden, dass WB 2.8.1 völlig unbrauchbar sei, weil zu viele Sicherheitslücken vorlägen.
--- End quote ---
Es gab in 2.8.1 tatsächlich einige Sicherheitslücken, allerdings halte ich diese pauschale Aussage für vollkommen inkompetent. Ein kompetenter Provider begründet sowas und gibt Tipps zur Abhilfe (etwa "wir empfehlen ein Upgrade auf die neueste Version"). Wenn er das nicht getan hat, heißt das, er hat irgendwo im Flurfunk gehört, WB sei schlecht, und trägt das unreflektiert weiter. Einem solchen Provider würde ich für so einen dummen Spruch die rote Karte zeigen.
fischstäbchenbrenner:
a) Ich habe in der letzten Zeit ziemlich oft Nachrichten von Providern bekommen, dass alle FTP-Passwörter geändert wurden, Backups zurückgespielt wurden usw.
Kurz: Dass großflächig gehackt wurde. Sowas hat nichts mit WB zu tun, es scheint sich um ein höheres Problem zu handeln.
b) Bei einigen Sites habe ich das am laufen:
http://phpmanufaktur.de/cms/topics/abfangjaeger.php
Dadurch bekomme ich relativ häufig Mails, wenn Hacker "blind" nach Lücken grapschen. Es ist ein Wahnsinn, was da alles gesucht wird; speziell myPHPAdmin ist immer wieder Ziel, gefolgt von wp-admin oder so...
WB als "unsicher" abzutun ist ein billiger Versuch eines unfähigen Providers, vom eigenen Dreck abzulenken.
Navigation
[0] Message Index
[#] Next page
Go to full version