Blackhole Exploit - jetzt hat's mich auch mal erwischt

[Steve_O]

Hallo,

am WE wurde auf meinem Webspace mit mehreren aktuellen WB-Installationen Schadcode eingeschleust.
Es wurden primär die index.php infiziert, aber auch andere php-Dateien sowie .js, .htt und .html.

Allerdings waren auch eine piwik-Installation und ein SMF-Forum betroffen, so dass ich nicht so recht glaube, dass WB da das Einfallstor war.

Zum Bereinigen habe ich zunächst das WB-Installationspaket drüberkopiert, danach die Website komplett heruntergeladen, mit Avira überprüft und die restlichen 10-20 Dateien pro Installation manuell bereinigt. Gibts hierfür vielleicht eine geschicktere Möglichkeit, falls sowas mal wieder passiert?

Der Angriff fand vermutlich Samstag abend statt, und der Support meines Webhosters war natürlich nicht erreichbar. Ich hab erst was von denen gehört ca. vier Stunden nachdem ich alles bereinigt hatte. Irgendwelche Infos über die mögliche Ursache oder das Ausmaß des Angriffs habe ich noch nicht erhalten.

[easyuser]

Allerdings waren auch eine piwik-Installation und ein SMF-Forum betroffen, so dass ich nicht so recht glaube, dass WB da das Einfallstor war.

Nur so am Rande: Ich hatte eine ähnliche Konstellation, aber ohne WB. Der Übeltäter war mehrfach piwik.
So gut das Tool auch ist - ich würde es nicht mehr verwenden.

[Steve_O]

Danke für die Info. Wie lange sind diese Erfahrungen mit Piwik her?

Ich muss dazu sagen, dass ich beim selben Webhoster noch zwei andere Kundenaccounts auf anderen Servern mitbetreue, auf beiden liegt jeweils nur eine WB Installation. Eine war ebenfalls betroffen, die andere nicht.

Was mich auch stutzig macht, ist dass seitens des Webhosters eher Desinteresse an der Sache vorherrscht. Man hat mir angeboten, ein Backup einzuspielen, aber erst nachdem ich selber alles bereinigt habe. Großes Interesse an der Erforschung der Ursache scheint man nicht zu haben.
Ich habe mal angefragt, ob man wenigstens den Webspace serverseitig mal auf Viren überprüfen kann, um sicherzugehen dass ich nichts übersehen habe.

Meiner Ansicht nach sollte doch der Hoster ein nicht unerhebliches Interessa daran haben, dass von seinen Servern keine Viren verschleudert werden, oder bin ich da etwas naiv mit meiner Annahme?

[badknight]

Danke für die Info. Wie lange sind diese Erfahrungen mit Piwik her?

Ich muss dazu sagen, dass ich beim selben Webhoster noch zwei andere Kundenaccounts auf anderen Servern mitbetreue, auf beiden liegt jeweils nur eine WB Installation. Eine war ebenfalls betroffen, die andere nicht.

Was mich auch stutzig macht, ist dass seitens des Webhosters eher Desinteresse an der Sache vorherrscht. Man hat mir angeboten, ein Backup einzuspielen, aber erst nachdem ich selber alles bereinigt habe. Großes Interesse an der Erforschung der Ursache scheint man nicht zu haben.
Ich habe mal angefragt, ob man wenigstens den Webspace serverseitig mal auf Viren überprüfen kann, um sicherzugehen dass ich nichts übersehen habe.

Meiner Ansicht nach sollte doch der Hoster ein nicht unerhebliches Interessa daran haben, dass von seinen Servern keine Viren verschleudert werden, oder bin ich da etwas naiv mit meiner Annahme?

Es gibt hoster für die ist der Aufwand dafür zu groß, wenn ein Kunde gegen die AGB's verstößt wird er eben "entfernt" - sad but true

[easyuser]

Danke für die Info. Wie lange sind diese Erfahrungen mit Piwik her?

Letztes Wochenende.

Meiner Ansicht nach sollte doch der Hoster ein nicht unerhebliches Interessa daran haben, dass von seinen Servern keine Viren verschleudert werden, oder bin ich da etwas naiv mit meiner Annahme?

Kommt immer auf den Hoster an. Im Grunde genommen nicht.

[MJ_KAMAJA]

Hallo auch,

wirklich sicher ist man leider nicht.

Es muß jedoch auch nicht immer an dem CMS (oder PIWIK etc.) liegen. Oft sind es zu leichte Passwörter (<20 Buchstaben ohne Sonderzeichen) mit Standardaccount (root / admin). Hier sollte auch beachtet werden, dass der FTP-Zugang bis hin zu jedem Weblogin gemeint ist natürlich auch die Datenbank.

Oft wird auch Filezilla mit gespeicherten Logindaten genutzt. Problem hier ist, dass Filezilla die Daten im Klartext in einer Datei speichert.

Abhilfe schafft hier z.B. KeePass bzw. KeePassX für Linux oder vergleichbare Programme.

Wenn kein SSL/VPN zur Verfügung steht, sollte man auch darauf verzichten, von fremden WLANs auf den Webspace (CMS, FTP etc.) sich zu verbinden. Hier ist es recht leicht an Passwörter heranzukommen. Das gleiche Zählt auch, wenn man z.B. seine Backups automatisch über einen anderen Rechner z.B. über Cronjobs erledigen lässt.

Jedoch wie schon gesagt, sicher ist leider ein relativer Begriff und somit wird diese Thema immer aktuell sein.

Mario

[EDIT] Man sollte auch die Links zum Backend ändern. [/EDIT]

[Steve_O]

Danke für die Denkanstöße. Besonders der Hinweis auf Filezilla war sehr zielführend.

Es gibt tatsächlich einen Rechner (nicht meiner  ) auf dem die ftp-Zugänge zu beiden infizierten Accounts in Filezilla gespeichert waren. Nähere Untersuchung hat ergeben, dass sich mehrere Trojaner auf dem Rechner tummelten, die anscheinend über eine Sicherheitslücke in Java reingekommen sind. Offensichtlich wurden hierüber die Passwörter ausspioniert.
Hab schon den "Befehl" zum plattmachen gegeben.

Vielen Dank an alle!

[MJ_KAMAJA]

Ja, ich will FileZilla nicht schlecht machen, ich nutze es selber gerne in Verbindung mit KeePassX, jedoch ist es wohl laut manchen Blogs schon häufig zu solchen Fällen gekommen, wo Trojaner (oder der Gleichen) die File einfach ausgelesen haben.

Der Kommentar der Entwickler (von FileZilla) war damals, soweit ich mich noch entsinne, dass das Betriebssystem für die Sicherheit der Daten zuständig sei. Daher sehen sie keinen Grund das anders zu regeln.

Leider wissen die meisten Leute nichts davon, und speichern ihrer Logins natürlich in FileZilla.

Zumindest ist es gut, nun zu wissen, woher es kam.

Mario

[dbs]

FileZilla fliegt sofort vom Rechner. Wird eh selten genutzt da fireFTP seine Arbeit sehr gut erledigt.
Danke für den Hinweis.

[BlackBird]

Find ich klasse, daß in diesem Fall mal genau zurückverfolgt werden konnte, wo die Lücke war. Zumal auf diese Weise auch noch ein infizierter Rechner identifiziert werden konnte. Also gleich ein Doppeleffekt.

[Harry P.]

Ist doch damit keinesfalls _bewiesen_, dass Filzilla der "Übeltäter" war, oder?

Genausogut könnte auf einem verseuchten Rechner z. B. ein Keyboard-Logger im Spiel gewesen sein.

--Harry

[badknight]

Ja, ich will FileZilla nicht schlecht machen, ich nutze es selber gerne in Verbindung mit KeePassX, jedoch ist es wohl laut manchen Blogs schon häufig zu solchen Fällen gekommen, wo Trojaner (oder der Gleichen) die File einfach ausgelesen haben.

Der Kommentar der Entwickler (von FileZilla) war damals, soweit ich mich noch entsinne, dass das Betriebssystem für die Sicherheit der Daten zuständig sei. Daher sehen sie keinen Grund das anders zu regeln.

Leider wissen die meisten Leute nichts davon, und speichern ihrer Logins natürlich in FileZilla.

Zumindest ist es gut, nun zu wissen, woher es kam.

Mario

Zu FileZilla:

Hatte auch mal das Problem..

FileZilla ist ein super programm - keine Frage - nur speichert FileZilla die ServerManager einträge in eine XML-Datei ohne dabei das Passwort zu verschlüsseln

[DarkViper]

Genausogut könnte auf einem verseuchten Rechner z. B. ein Keyboard-Logger im Spiel gewesen sein.

So ist es.
Es ist zu einfach, einem bestimmten Programm den 'Schwarzen Peter' zuzuschieben, es zu entfernen und sich beruhigt zurücklehnen und in Sicherheit wiegen.

Im vorliegenden Fall war FileZilla definitiv nicht der Übeltäter. Er wurde eventuell einfach nur benutzt, benutzt von fremder Schadsoftware, die durch Nachlässigkeit und unzureichenden Schutz auf den Rechner geschleust wurde. Selbstverständlich kann auch ein Keylogger die Ursache sein und wenn derartiges mal aktiv ist, ist eh die Ka*** am dampfen.

Die einzige Abhilfe ist immer noch eine gut abgeschirmte Maschine und der sorgfältige Umgang mit dieser.

FileZilla ist ein super programm - keine Frage - nur speichert FileZilla die ServerManager einträge in eine XML-Datei ohne dabei das Passwort zu verschlüsseln

Schon richtig, nur nutzt leider auch die beste Verschlüsselung absolut NullKommaNix gegen Schadsoftware auf dem Rechner, die Passwörter lange vor der Verschlüsselung direkt am Tastaturanschluss abgreift.

Der einzig vernünftige und auch wirksame Schutz ist und bleibt eben .... jaja kenn die Leier schon, aber ich will ......   

[BlackBird]

Ist doch damit keinesfalls _bewiesen_, dass Filzilla der "Übeltäter" war, oder?

Hab ich auch nicht gesagt. Aber es gab einen verseuchten Rechner, von dem aus mit dem Webspace gearbeitet wurde. Das legt zumindest die Vermutung nahe, daß das das Einfallstor war.

[MJ_KAMAJA]

Genausogut könnte auf einem verseuchten Rechner z. B. ein Keyboard-Logger im Spiel gewesen sein.

So ist es.
Es ist zu einfach, einem bestimmten Programm den 'Schwarzen Peter' zuzuschieben, es zu entfernen und sich beruhigt zurücklehnen und in Sicherheit wiegen.

Im vorliegenden Fall war FileZilla definitiv nicht der Übeltäter. Er wurde eventuell einfach nur benutzt, benutzt von fremder Schadsoftware, die durch Nachlässigkeit und unzureichenden Schutz auf den Rechner geschleust wurde. Selbstverständlich kann auch ein Keylogger die Ursache sein und wenn derartiges mal aktiv ist, ist eh die Ka*** am dampfen.

Die einzige Abhilfe ist immer noch eine gut abgeschirmte Maschine und der sorgfältige Umgang mit dieser.

FileZilla ist ein super programm - keine Frage - nur speichert FileZilla die ServerManager einträge in eine XML-Datei ohne dabei das Passwort zu verschlüsseln

Schon richtig, nur nutzt leider auch die beste Verschlüsselung absolut NullKommaNix gegen Schadsoftware auf dem Rechner, die Passwörter lange vor der Verschlüsselung direkt am Tastaturanschluss abgreift.

Der einzig vernünftige und auch wirksame Schutz ist und bleibt eben .... jaja kenn die Leier schon, aber ich will ......   

Hmmm... Du schreibst in einem Post:

"So ist es.
Es ist zu einfach, einem bestimmten Programm den 'Schwarzen Peter' zuzuschieben, es zu entfernen und sich beruhigt zurücklehnen und in Sicherheit wiegen."

und dann:

"Im vorliegenden Fall war FileZilla definitiv nicht der Übeltäter."

Sehr widersprüchlich, ich würde auch gern wissen, warum Du darauf schließt, dass es definitiv nicht FileZilla war.

Und warum sollte ich darauf warten, bis der User seine Daten einmal im Jahr ggf. eingibt, wenn auf der Platte alles unverschlüsselt rumliegt noch dazu in einer Datei wo man weiss wo sie liegt. Ist doch so viel leichter und bei der Bekanntheit von FileZilla auch oft erfolgreich. Ich behaupte nicht das es in diesem Fall FileZilla war... wie auch... ohne weitere Hintergründe.

Mario

[easyuser]

Es kann niemals 100%ige Sicherheit geben. Das ist nicht möglich.

Letztendlich ist es sehr schwer für jemand, der die Hintergründe der IT nicht kennt sich überhaupt sicher durch das Internet zu bewegen. Und wie im nicht-digitalen Leben: Man sehe sich einmal AktenzeichenXY an oder liest die Zeitung, dann kann man ableiten, dass man durch Alarmanlage & sichere Haustüre erst recht die Blicke der Einbrecher auf sich zieht.

Die zwei Fragen, die immer wieder gestellt werden:
Wie ist es passiert?
Wie kann ich es verhindern?

Man sollte sie nicht überschätzen. Natürlich ist es klar - für DIESEN (und genau diesen einen möglichen Fall)  kann ich vielleicht reproduzieren, woher der Fehler kam und wie ich ihn in Zukunft verhindere. Aber das ist wie mit der Grippeimpfung: Die Impfung versucht ein paar Influenzaarten vorzubeugen, aber trotzdem kann man an einer anderen Art erkranken - gar nicht zu sprechen von "Grippalen Infekten".

Genauso ist es auch mit der Internet-Sicherheit. Ich kann das tollste Passwort, das sicherste Betriebssystem, die abgeschirmtesten Programme die es gibt haben, wenn der Nachbar auf dem Server (von dem ich gar nichts weiß) sich einen Virus eingefangen hat und der Webhoster keine 100%ig saubere Trennung hat. Das kann ich noch nicht einmal beeinflussen.

Das soll jetzt kein "ist eh alles egal" Plädoyer sein. Nur in meinen Augen wird gerade das Thema "Passwort" viel zu oft übertrieben (gerade in den Medien) und damit dem User eine Quasi-Sicherheit vorgegaukelt, wenn er 20 Stellen mit Sonderzeichen hat das er alle 2 Monate ändert. Die zig anderen Möglichkeiten, an Daten zu kommen sind dabei nicht wirklich abgedeckt.

[MJ_KAMAJA]

@easyuser

Richtig, dass hatte ich anfangs auch geschrieben. Sicherheit ist nie 100%tig.

Jedoch sehe ich das andere nicht so. Das mit den Passwörtern etc. hilft sehr wohl, jedoch nur gegen ungezielte Attacken. Diese leben davon z.B. den User root/admin auf Passwortlisten (ggf. auch Bruteforce) zu testen oder eben bekannte Programme mit unverschlüsselten Datenspeicher auszuspionieren. In diesem Fall helfen solche Techniken gut, da der Aufwand zu groß wird und es genügend User gibt die eben solche Techniken nicht einsetzen. Solche Angriffe sind jedoch auch die regel weil sie automatisiert ablaufen. Vergleichbar mit Spambots in einem Forum.

Einem gezielten Angriff wird man über kurz oder lang verlieren. Da sind auch die Großen mit ganzen IT-Abteilungen nicht davor sicher.

Ist natürlich nur meine Meinung.

Der Aufwand mit "sicheren" Passwörtern ist auch nicht viel größer in Kombination mit z.B. KeePass und wie schon gesagt, ist mir bewusst, dass das auch nicht sicher ist... jedoch ist es meiner Ansicht nach "sicherer".

Mario

[instantflorian]

Hallo,

selbst mit aktuellem Windows 7, Virenschutz und ausschließlichem Firefox-Benutzen ist mensch nicht vor Viren und Trojanern sicher. Mich hatte es auch erwischt, über die Java-Lücke ist ein Trojaner an Avast vorbei reingekommen, hat die Filezilla-Daten ausgelesen und Malwareschludern / schädliche htaccess-Dateien auf den Websites verteilt.

(Ich lade keine Filme, Raubkopien oder sonstwas runter, recherchiere aber nun mal ziemlich viel im Web, und da reicht es ja schon, auf eine befallene Seite zu geraten (und mit "Befallen" meine ich, dass die Malwareinfizierung unwissentlich durch den Seitenbetreiber erfolgt). Wo ich mir den Trojaner eingefangen habe, ist also nicht mehr nachzuvollziehen.)

Insofern kann ich also Filezilla, Avast und Java die Schuld geben und habe entsprechende Konsequenzen gezogen, nämlich alle drei Übeltäter runtergeschmissen und durch bessere Tools ersetzt. Auf Java verzichte ich ganz.

Vielleicht wäre der Hinweis auf die Filezilla/Java-Gefahr etwas für die "Security Announcements"-Rubrik ganz oben. (Und wenn dort bei der Gelegenheit der Spam-Eintrag unter "General Announcements" entfernt würde, täte das der Forenrputation auch ganz gut.)

So, jetzt verschwinde ich wieder in der Versenkung.

[easyuser]

Insofern kann ich also Filezilla, Avast und Java die Schuld geben und habe entsprechende Konsequenzen gezogen, nämlich alle drei Übeltäter runtergeschmissen und durch bessere Tools ersetzt. Auf Java verzichte ich ganz.

Vielleicht wäre der Hinweis auf die Filezilla/Java-Gefahr etwas für die "Security Announcements"-Rubrik ganz oben.

Natürlich kann es jeder für sich selbst entscheiden.
Allerdings sollte man im Hinterkopf behalten, dass Java nicht einfach nur ein Programm ist.

Dass Java eine Sicherheits-Problematik darstellen kann denke ich ist aus vielen Medienberichten bekannt. Aber das gilt letztendlich für alles. Nun gibt es genügend Konstellationen, wo man Java nicht einfach mal eben deinstallieren kann. Oft kann man es gar nicht beeinflussen (das Lieblingsprogramm XY ist in Java geschrieben), selten kennt man wirklich alle Stellschrauben.

Noch einmal - es soll sicherlich jeder für sich entscheiden.
Nur: Wir sollten nicht hier Java-Exploits im WebsiteBaker-Forum in die "Security Announcements" reinstellen. Und es spricht nicht gerade für den Virenscanner, wenn er Viren "durch Java hindurch" lässt.
Dann noch alle PHP (was eher Sinn machen würde), dann Apache... Am Ende ist der Benutzer so schlau wie vorher, weil es zu viele Ratschläge gibt.

Meine Empfehlungen:
- aktuelles Betriebssystem (Win7/8; entsprechende Android/MacOSX/ Linux Versionen)
- eine Hardware-Firewall im Router (meistens vorhanden, wichtiger als man denkt)
- auf jedem Gerät (auch Smartphones!!!) eine Firewall - ab Windows 7 reicht die eingebaute Firewall
- auf jedem Gerät (auch Smartphones!!!) einen aktuellen Virenscanner - ab Windows 7 ist meine persönliche Empfehlung Microsoft Security Essentials; laut Tests schlechter als Kaufsoftware - laut einigen Selbsttests (auch im Ernstfall) bessere Erkennungsrate als Avira Professional und Kaspersky; Für Android ist meine persönliche Empfehlung "Zoner AntiVirus Free"
- Aktueller Browser - meine persönliche Empfehlung ist "Google Chrome" für alle Betriebssysteme (nach meinem Empfinden deutlich sicherer als Firefox - wer eine Google-Antipathie hat kann ihn ja behalten); für Windows 8 scheint der IE10 brauchbar zu sein.
- Nur E-Mail-Adressen, wo Serverseitig (beim Anbieter) auf Spam/Viren gescannt wird
- Sorgfältiger Umgang im Internet
- Nicht nur PCs im Auge haben (auch der BlueRay Player hat heutzutage Java & Internetzugang!) -> Lieber hier den Zugang so beschränken, dass nur eine Verbindung wenn benötigt aufgebaut werden kann; WLan/Internet-Zugang abschalten, wenn nicht gebraucht wird (Router wie Fritz!Box haben hierfür Zeitpläne)
- Nur Programme installieren, die man benötigt
- Zum Testen / Installieren unbekannter Software usw. lieber einen abgetrennten PC verwenden (zur Not geht auch eine Virtuelle Maschine mit VMware)
- Die Persönliche Entscheidung treffen: Was ist mir wichtiger: Komfort oder Sicherheit?
- Im Hinterkopf behalten: Sicherheit kann ich nur erreichen, wenn ich mir genug Wissen angeeignet habe über das was ich tue und wie es funktioniert;
- Und ich gebe Mario Recht: Sichere Passwörter verwenden

Ein kleiner Tipp zum Weiterlesen: https://www.bsi-fuer-buerger.de