Hacking von GoDaddy auf vorher infizierten Skripten

Hacking von GoDaddy Blacklisted in Anti-Attacks.comNach Auswertung der einzelnen IPs des Einbruches in einen Kunden-Webspace und dem anschließenden Aufruf des eingespielten Schadsoftware-Skriptes, das dann Spam versendet hat, haben wir festgestellt, daß über 900 verschiedene IPs an dieser Aktion beteiligt waren, wobei einen Großteil von nur 2 großen Providern stammen, davon alleine von GoDaddy aus der USA mit an die 400 verschiedenen IPs! Diese IPs wurden auch in Anti-Attacks.com negativ gelistet und bereits automatisch in unserer Infrastruktur komplett geblockt!

Dennoch verwundert uns, wie es angehen kann, daß Hacker von GoDaddy über 400 IPs erhalten konnten, um damit rum zu hacken?! GoDaddy hat die AS26496 und ist mit diversen IP-Bereichen, zum Großteil IPs aus dem Segment 184.168.0.0/16 aufgefallen! Die gesperrten und geblocken IPs können über die ASN-Abfrage AS26496 abgerufen werden! Die Attacken wurden auch nicht vorher erkannt, weil die Abrufe eben über so viele unterschiedliche IPs erfolgt sind und das aufgerufene Skript ja auch immer sauber ein 200 OK zurück gegeben hat! Hier versagen jegliche Scanner, weil diese nicht erkennen können, ob das aufgerufene Skript nun Schaden verursacht oder nicht!

Wir berichteten schon gestern darüber, daß Joomla extrem sicherheitskritisch ist und erneut Angreifern Tor-und Tür öffnet, um Schadsoftware einzuspielen und damit illegale Aktivitäten, wie Spam-Versand zu ermöglichen! Lesen Sie unbedingt den Artikel

DRINGEND: Joomla < 3.4.6 Sicherheitslücken ermöglichen Eindringen und Veränderung der Skripte

2 Gedanken zu „Hacking von GoDaddy auf vorher infizierten Skripten“

  1. Vom Kunden wurde Anzeige bei der Polizei in Hamburg gestellt. Ein IC3-Complaint wurde gefertigt und ein Abuse-Schreiben ging ebenfalls an GoDaddy raus! Von GoDaddy wurde, wie auch in vielen anderen Fällen, nicht geantwortet! Man findet reichlich Meldungen über Hackings vom Provider GoDaddy! Dort scheint man es mit der Sicherheit nicht so ernst zu nehmen!
    In den letzten Tage liefen Hackings aus dem asiatischen Raum im Sekunden-Takt ein! Unsere Server wurden weiter in der Sicherheit verbessert! So bieten die Shared-Hosting-Server unter Plesk nun auch automatische Updates von Joomla & Co an. Kunden müssen diese Funktion nur in Plesk aktivieren! Ansonsten können wir immer nur wieder warnen, die Gefahr von nicht eingespielten Updates der verwendeten Software zu unterschätzen!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.