VORSICHT: Webseiten-Betreiber – Einbrüche in Ihre Seiten

Aus aktuellem Anlass, möchten wir erneut darauf hinweisen, daß Webseiten-Betreiber voll umfänglich verantwortlich sind, für die verwendete Software, die für die Darstellung der Webseiten verwendet wird, wie Joomla, WordPress aber auch eigene Scripte etc. und der zusätzlich installierten Plugins!

Oft wird unterschätzt, daß fehlerhafte Scripte, z.B. diverse Plugins, Sicherheitslücken aufweisen, die Hackern einen Einbruch über diese Scripte ermöglichen und damit hohe Schäden verursachen können: 

Wir wollen Ihnen hiermit erneut aufzeigen, wie oft diese Sicherheitslücken mißbraucht werden und auch welche Schäden entstehen, für die Sie quasi grob fahrlässig mit verantwortlich sind und die auch Schadensersatz-Forderungen auslösen können: PHP-Upload, bietet die größte Angriffsfläche, Schäden zu verursachen:

php-Upload wurde einst entwickelt, um z.B. Bilder, Kunden-Dokumente (PDF) etc. in einen Webspace hoch laden zu können. Sicherlich haben die Entwickler von php nicht darüber nach gedacht, daß später diese Funktionen auch für Updates und Installation von Plugins Einsatz finden könnte.

Heute benötigt fast jedes CMS-System die php-Upload-Funktion und damit wird der Hackerwelt hier eine große Angriffsfläche geboten, denn nicht jedes Script ist so sicher, daß es vorher prüft, ob der jenige, der den Aufruf über den Explorer durchführt, auch dazu berechtigt ist und was genau in den Webspace eingespielt wird! Auch zu bemängeln ist, daß nicht grundsätzlich durch PHP sauber protokolliert wird, wenn z.B. bestimmte Dateien hoch geladen werden und z.B. Spezialbefehle von php, die das Dateisystem des Kunden-Webspaces ändern. Durch schlechte Protokollierung ist eine Rückverfolgung extrem aufwendig! Auch wird durch Joomla oder der anderen CMS-Systeme nicht gut protokolliert, was wirklich über die Plugins, wie z.B. Datei-Upload, erfolgt ist!

Wir zeigen Ihnen hiermit auf, wie Schadsoftware in der Regel in Ihren Webspace gelangt:

Hacker verwenden Programme, die Webseiten aller Webseiten-Anbieter scannen! Nehmen wir an, Ihre Webseite läuft unter der Domain MeineDomain.de – Also versuchen die Hacker-Programme nun erst mal zu ermitteln, welche Software Sie einsetzen, wie z.B. Joomla. Dazu erfolgt dann ein typischer Aufruf MeineDomain.de/templates oder MeineDomain.de/administrator – Erst einmal festgestellt, welche CMS-Software Sie verwenden, wird dann nach Plugins gesucht, die bekannt dafür sind, daß diese Sicherheitslücken aufweisen oder auch Joomla-Funktionen, die in älteren Versionen Sicherheitslücken aufweisen. Erst wird ein Aufruf probiert MeineDomain.de/gallery/pics .

Selbst wenn der Aufruf keinen Sinn macht, erkennt das Hacker-Programm an der Rückgabe, daß ein entsprechendes Plugin in einer entsprechenden Version verwendet wird. Das Hacker-Programm läuft gegen diverse Seiten vieler Internet-Seiten-Anbieter und findet die Schwachstellen, die später für die Einbrüche verwendet werden können! Die 1awww.com – Shared-Hosting-Server erkennen Scanns auf Schwachstellen und blockieren die entsprechenden IPs, von denen die Scans erfolgt. Aber die Hacker sind ja auch nicht dumm, denn diese Scans erfolgen von vielen unterschiedlichen IPs. Oft stehen dahinter ganze Netze, die weltweit verteilt sind, um diese Informationen für spätere Angriffe und das Eindringen, zu sammeln. Daher kann kein Server sich komplett gegen diese Scans wehren!

Im nächsten Schritt erfolgt dann der Angriff und das Verändern des Kunden-Webspaces. Hier wird über einen normalen Webseiten-Abruf, eines der Scripte, daß eben nicht sicher ist, aufgerufen, daß den Datei-Upload ermöglicht. Das Script sollte beispielsweise nur den Upload eines Bildes ermöglichen, aber durch gewiefte Tricks oder Durchlässigkeit der unsicheren Scripte, wird eine PHP-Datei in den Server in den Kunden-Webspace geladen! Das Script selbst und auch das CMS protokolliert dies nicht, insbesondere wird auch der übertragene Inhalt bei PHP-POST nicht im Log-File aufgezeigt, sondern lediglich, daß ein PHP-Script aufgerufen wurde, aber nicht, welcher Inhalt dabei übertragen wurde.

Meist werden dann auch noch kaskadierte PHP-Scripte, also mehrfach verschlüsselt übertragen. Die Verschlüsselungstechnik wird normalerweise verwendet, z.B. um gekaufte PHP-Scripte so zu verschlüsseln, daß ein Kunde, der ein solches Script gekauft hat, nicht die Quellprogrammierung auslesen kann. Der PHP-Interpreter kann das Script aber zur Laufzeit auswerten und damit funktioniert ein verschlüsseltes Script genauso gut, wie ein unverschlüsseltes! Nachdem nun die erste Datei, also das erste Schad-Script eingespielt wurde, wird in der Regel dann weitere Scripte über php im Webspace erzeugt und auch via php-Upload eingespielt! Die Scripte, die als Schadsoftware aktiv sind, breitet sich unbemerkt in verschiedene Dateien des Webspace-Verzeichnisses aus. Dann werden über Script-Befehle auch noch die Einspiel-Datümer und Uhrzeiten, also der Zeitstempel der Dateien manipuliert, so daß viele Scanner nichts finden können und eine Rückverfolgung noch unmöglicher gemacht wird!

Der letzte Schritt, die Verwendung der schadhaften Software, erfolgt in der Regel meist einige Tage später und zeitversetzt. Der Start-Zeitpunkt wo die Hacker beginnen, den richtigen Schaden zu verursachen wird dabei so gewählt, daß möglichst viele Administratoren, Webseiten-Inhaber nicht erreichbar sind, wie z.B. Weihnachten bis Neujahr, Ostern, Pfingsten. Hier nutzen viele Bürger Brückentage um eine längere Urlaubszeit nutzen zu können. So wurden auch die aktuellen Scamming-Lawinen ab Mittwoch Nacht, also dem Tag vor Christi Himmelfahrt, gestartet. Bekannt ist, daß viele also von Mittwoch Nachmittag bis zum Dienstag nicht erreichbar sind! Für die Hacker eine optimale Zeit, möglichst viel und hohen Schaden zu verursachen ohne bemerkt zu werden! Und auch immer öfter nutzen die Hacker Ihre Schadprogramme, um daraus einen hohen Gewinn auf unrechte Weise, zu erzielen!

Wie ein Schaden durch Schadsoftware in der Regel entsteht und welche Dimensionen daraus entstehen, wird ebenfalls von den meisten Webseiten-Betreibern unterschätzt: 

Die Schadsoftware wird in der Regel nicht dazu verwendet, um nur irgendeinen Blödsinn auf den Webseiten anzuzeigen, sondern um weiteren Schaden zu verursachen, z.B. durch Versendung von Spoofing- und/oder Phishing-Mails. Eines der Schadsoftware-Scripte enthält dabei eine PHP-Formular-Auswertung, wobei die Daten via POST übersendet werden. Bei POST werden die Daten vom php-Script abgefragt und nicht mit der URL, also der Internet-Adresse übersendet und folglich werden die Inhalte, die dabei übertragen werden, nicht in den Log-Files protokolliert, was natürlich die Rückverfolgung weiter unmöglich macht!

Das Script wertet also die via POST übertragenen Werte in Variablen aus und entsprechend dem Schadprogramm werden dann Mails versendet, oft unter der Mail-Adresse des Kunden der Internet-Seiten, mit einem illegalen Inhalt und dies zig tausend fach, bevor es bemerkt wird, denn die heutigen Server sind so leistungsstark, daß die versendete Menge für den Server überhaupt kein Problem darstellt! Die Mails werden also an unterschiedliche Empfänger, die Mail-Adressen werden dabei von den Hackern mit der Formular-Übertragung via POST, wie oben beschrieben, mit übertragen und stammen ebenfalls aus Scanns aus diversen Quellen. Die Mail-Server der Empfänger nehmen die Mails erst mal entgegen und erst wenn festgestellt wird, daß eine übermäßige Anzahl von Mails von einem Server aus, offensichtlicher Spam ist, blockieren die externen Mail-Server den Absender-Server

Wenn der Mail-Absender-Server von vielen Empfänger-Mail-Servern blockiert wird, können andere Kunden, die reguläre Mails zu versenden haben, zwar Mails versenden, aber diese werden, wie der sonstige Spam, der durch die Schadsripte ausgelöst worden ist, vom Mail-Zielserver nicht mehr entgegen genommen, was also den Mail-Verkehr aller anderen Webspace-Kunden, die sich auf dem gleichen Shared-Server befinden, blockiert! Und damit wird durch die Spam-Aktion schon der erste Schaden erzeugt, denn der Mail-Verkehr aller unbeteiligten anderen Kunden wird extrem behindert! Es könnten dadurch wichtige Termine verpasst werden, was wiederum den anderen Kunden auf dem Webspace Schaden zufügt!

Die Empfänger, die Spam erhalten haben reagieren darauf und klicken in Ihren Mail-Programmen auf den Button „Spam / Scam / Junk“ und damit werden die Mails nicht nur in den Spam-Ordner verschoben, sondern der Mail-Client und auch der Mail-Provider verwenden diese Spam-Signale dazu, eine IP komplett zu blockieren oder diese IP noch schlimmer, in Blacklisten negativ zu listen. In der nächsten Stufe, werden überhaupt keine Mails mehr von den meisten Mail-Empfangs-Servern entgegen genommen, was dem Provider und auch den Kunden auf dem gleichen Server, einen noch höheren Schaden hinzufügt!

Im nächsten Schritt, handeln aber die Hacker nicht mehr nur als Spammer, sondern betreiben ein ganz hinterhältiges Phishing von sonst geheimen Daten. Dazu wird als Inhalt der Mail dem Mail-Empfänger vorgegaukelt, daß er z.B. von PayPal oder eBay oder Apple oder seiner Bank angeschrieben wurde und es angeblich ein Problem in der Sicherheit mit dem Account des Kunden geben würde und der Empfänger soll auf einen Link in der Mail klicken, um das Problem online zu lösen. Der Mail-Absender wird dabei auch noch verfälscht, so daß der Normal-Bürger, der die Mail erhalten hat und sich nicht so gut technisch auskennt, daß diese tatsächlich von dem jeweiligen Unternehmen versendet wurde und vertraut daher auf die Mail, die einer Original-Mail dieser Unternehmen täuschend ähnlich aussieht.

Der Empfänger klickt in den Link und wird in eine Webseite weiter geleitet, die dann so aussieht, wie die Orginal-Webseite des entsprechenden Unternehmens, aber diese wird angezeigt von einem ganz anderen Inhaber, also dem Hacker, oftmals sogar auf einer gehackten Webseite einer anderen Person, die sich auch ggf. in einem ganz anderen Land befindet und selbst die Internet-Adresse in der URL ist so täuschend ähnlich, so daß die Person bedenkenlos sich mit den üblichen Login-Daten in dieser Phishing-Webseite einloggt. Die Aufgabe der Scripte, die hinter dieser Phishing-Seite stecken, haben nur die Aufgabe, diese Login-Daten zu speichern, und werden in der Regel direkt an andere Adressen der Hacker weiter geleitet, die im nächsten Schritt, den größten Schaden bei vielen Personen, verursachen

Nachdem also der Hacker über die Phishing-Seite die Zugangsdaten von PayPal, eBay, Apple, etc. erhalten hat, geht der Hacker daran, sich beim regulären Anbieter einzuloggen und verwendet das Geld für eigene Einkäufe oder überweist sich das Geld auf andere Konten und meistens wieder über viele Ecken, so daß eine Rückverfolgung unmöglich ist.

Zwischenbemerkung:

Phishing-Seite VORSICHTda gerade eine weitere Mail von wiederum anderer Seite mit einer Phishing-Mail gegen PayPal eingegangen ist, haben wir vorhin den Artikel bereits abgesendet. Hier ein Bild einer täuschen echt nachgemachten Phishing-Seite:

  Bevor wir fortfahren, wie Sie sich als Seiten-Inhaber schützen können, hier die absoluten aktuellsten Fälle, auf die vielleicht viele herein fallen und später betrogen werden – wenn Sie auf den Link klicken, wird eine neue Seite geöffnet, so daß Sie im Anschluß hier weiter lesen können! Hier der Link:

VORSICHT vor Spoofing-Mails

Wie können Sie sich als Webseiten-Betreiber schützen? <br class=“clear“/><br class=“clear“/>

a) Verwenden Sie nur einwandfreie Software, Scripte, wie Joomla in der aktuellsten Version! Prüfen Sie, ob die jeweilige Software nicht schon bereits negativ gelistet ist. Eine gute Adresse, unter der fehlerhafte Software gelistet ist, hier: cve.mitre.org <br class=“clear“/>
Achten Sie regelmäßig darauf, daß Sie Ihre Software immer auf den aktuellsten Stand halten, also regelmäßig die wichtigen Sicherheitsupdates durchführen<br class=“clear“/>

b) Wenn Sie Plugins installieren, kontrollieren Sie ebenfalls, ob diese Software nicht bereits in cve.mitre.org negativ gelistet ist! Überlegen Sie genau, ob Sie wirklich dieses Plugin benötigen. Prüfen Sie das Plugin, was es genau macht. Grundsätzlich gefährlich sind alle Plugins, die ein Dateiupload ermöglichen! <br class=“clear“/>

c) Überlegen Sie, ob Sie wirklich „php-upload“ benötigen?! Wenn nicht, schalten Sie am besten diese Funktion in der Administration Ihres Webinterfaces ab! Sofern Sie dazu Hilfe benötigen, kontaktieren Sie bitte unser Forum unter http://forum.1awww.com <br class=“clear“/>

d) Sofern Sie selbst einen Einbruch feststellen, informieren Sie immer Ihren Internet-Service-Provider, der für das Hosting Ihrer Webseite verantwortlich ist, z.B. 1awww.com!<br class=“clear“/><br class=“clear“/>

Sofern Sie nicht ordentlich handeln, also Scripte und Software in Ihren Webspace einspielen, erfolgt dies immer auf Ihre eigene Gefahr und Sie sind voll verantwortlich für Schäden, die durch fahrlässige Vorgehensweise, entstehen:<br class=“clear“/><br class=“clear“/>

Fahrlässig ist, wenn Sie die von Ihnen eingespielte Software nicht regelmäßig updaten! Fahrlässig ist auch, wenn Sie unsichere Scripte einsetzen! <br class=“clear“/>

<br class=“clear“/>

Wie ein Kunde mit vielen Subkunden schon gestern aussprach:<br class=“clear“/>

<br class=“clear“/>

Wer die Kosten für einen Wartungsdienst scheut, muß auch mit den Folgen rechnen! Ein Programmierer, der Scripte verwendet hat, die zum Entwicklungszeitraum sicher waren, hat sauber sein Werk beendet! Wenn ein Kunde sich dann nicht entweder selbst um die Updates kümmert oder dies durch Wartungsverträge absichern läßt, macht sich fahrlässig schuldhaft und muß damit rechnen, daß er von seinem Provider, den Drittfirmen, den Endkunden, ggf. in Regress genommen werden kann! Daß ist zwar hart, aber bedenken Sie bitte, Software ist heute oft kostenlos und was kostenlos ist, hat auch Fehler. Eine Entwicklung von heute schön aussehenden Webseiten, hat vor noch knapp 10 Jahren, oft das 100fache gekostet! Und bedenken Sie noch eines: Der Webspace wird Ihnen in der Regel sehr günstig bereit gestellt, enthält selbst aber keine Software. Sie spielen die Software selbst ein und sind dann auch entsprechend für alle Folgen daraus, voll verantwortlich!

 

Ein Gedanke zu „VORSICHT: Webseiten-Betreiber – Einbrüche in Ihre Seiten“

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.