Schlagwort-Archive: Schadsoftware

Trojaner/Viren/Ransomeware auch über Mails – schützen Sie sich

Schutz vor Viren / Ramsomeware / Trojanern von MailsWie wir berichteten, hat die Ramsomeware Wannacry einen hohen Schaden weltweit verursacht! Viele Computer sind bereits ausgefallen!

IT-Netz-Analytiker erwarten bereits in Kürze eine weitere Lawine (Mails) mit geänderten  Trojanern, die noch heftiger Computer, Server und IT-Netze „zerschiessen“ wird!

Nach der Attacke ohne Schutz gegen Ramsomeware

Nach der Attacke, werden die Daten der Computer und Server  verschlüsselt! Nur durch Zahlung eines Erpressungs-Geldes, wenn überhaupt, können diese Datein wieder entschlüsselt werden! Die Behauptung der Erpresser: Wer nicht zahlt, verliert alle Daten!

Daher gilt:

Nur wer sich ausreichend schützt, kann diesen Gau  für  sich, seine Firma und seine Kunden verhindern!

VORSICHT –  Schadsoftware im Umlauf:

Auch können wir in den letzten Tagen einen vermehrten Anstieg von Mails mit Anhängen, die  schadhaften Code enthalten, feststellen!  So können Sie sich schützen … mehr …. Trojaner/Viren/Ransomeware auch über Mails – schützen Sie sich weiterlesen

VORSICHT: Anrufe von angeblichen Microsoft-Mitarbeitern

Computer infectedEine Kundin berichtete über massive Anrufe von angeblichen Microsoft-Mitarbeitern, die behaupteten, daß ihr Computer einen angeblichen Virus enthält und sie möge doch bitte die gerade genutzte IP bekannt geben! Selbst jedesmal abgelehnt, hat man es innerhalb einer Woche 5x versucht!

Hier handelt es sich um eine ganz arglistige Betrugsmasche, VORSICHT: Anrufe von angeblichen Microsoft-Mitarbeitern weiterlesen

Hacking von GoDaddy auf vorher infizierten Skripten

Hacking von GoDaddy Blacklisted in Anti-Attacks.comNach Auswertung der einzelnen IPs des Einbruches in einen Kunden-Webspace und dem anschließenden Aufruf des eingespielten Schadsoftware-Skriptes, das dann Spam versendet hat, haben wir festgestellt, daß über 900 verschiedene IPs an dieser Aktion beteiligt waren, wobei einen Großteil von nur 2 großen Providern stammen, davon alleine von GoDaddy aus der USA mit an die 400 verschiedenen IPs! Diese IPs wurden auch in Anti-Attacks.com negativ gelistet und bereits automatisch in unserer Infrastruktur komplett geblockt!

Dennoch verwundert uns, wie es angehen kann, daß Hacker von GoDaddy über 400 IPs erhalten konnten, um damit rum zu hacken?! GoDaddy hat die AS26496 und ist mit diversen IP-Bereichen, zum Großteil IPs aus dem Segment 184.168.0.0/16 aufgefallen! Die gesperrten und geblocken IPs können über die ASN-Abfrage AS26496 abgerufen werden! Die Attacken wurden auch nicht vorher erkannt, weil die Abrufe eben über so viele unterschiedliche IPs erfolgt sind und das aufgerufene Skript ja auch immer sauber ein 200 OK zurück gegeben hat! Hier versagen jegliche Scanner, weil diese nicht erkennen können, ob das aufgerufene Skript nun Schaden verursacht oder nicht!

Wir berichteten schon gestern darüber, daß Joomla extrem sicherheitskritisch ist und erneut Angreifern Tor-und Tür öffnet, um Schadsoftware einzuspielen und damit illegale Aktivitäten, wie Spam-Versand zu ermöglichen! Lesen Sie unbedingt den Artikel

DRINGEND: Joomla < 3.4.6 Sicherheitslücken ermöglichen Eindringen und Veränderung der Skripte

DRINGEND: Joomla < 3.4.6 Sicherheitslücken ermöglichen Eindringen und Veränderung der Skripte

Joomla 3.4.5 SicherheitslückeDie Hacker machen leider wegen Weihnachten keine Pause! Im Gegenteil seit einigen Tagen verzeichnen wir erhöhten Hacking-Traffic!

Aufgrund von einer Sicherheitslücke (Vulnerability) in Joomla 3.4.5 und allen Versionen davor, haben wir heute einen gehackten Webspace gefunden, der massig Spam versendet hat!

Die neue Version 3.4.6 wurde von Joomla mit kaum Sicherheitswarnungen heraus gegeben, dennoch ermöglicht gerade 3.4.5 ein Eindringen in Joomla, daß auch hätte nicht erfolgen können, wenn der zusätzliche Verzeichnisschutz auf das /administrator – Verzeichnis angelegt worden wäre! Wir informieren in regelmäßigen Abständen, daß insbesondere der Admin-Bereich von Joomla durch ein Passwort abgesichert werden soll! Versucht dann ein Hacker in ein Admin-Verzeichnis zu hacken, wird dieser Angriff viel früher erkannt und die entsprechende IP oder auch ganze IP-Segmente automatisch gesperrt!

Kunden, die Scripte in Webspaces einspielen, ob nun manuell oder über sogenannte Installer, sind für die Programme, die von ihnen eingespielt werden verantwortlich! 1awww versucht Hackings von Außen zu erkennen und diese abzufangen. Dies ist jedoch nur möglich, wenn die Muster, die Hacker verwenden, bekannt sind! Wer Joomla oder WordPress einsetzt, muß auch dafür sorgen, daß diese CMS-Systeme regelmäßig upgedatet werden, denn nur so werden inzwischen bekannt gewordene Sicherheits-Lücken geschlossen! Ferner hat sich schon seit Jahren bewährt, die Administrations-Verzeichnisse auf Verzeichnis-Schutz zu legen! Kunden bieten wir seit neuem auch an, Wartungsverträge auf Joomla oder WordPress abzuschließen. In diesem Fall achten wir von 1awww darauf, daß die von Ihnen eingesetzten Scripte unter Joomla oder WordPress regelmäßig upgedatet werden!

Die Joomla – Sicherheitsprobleme sind bereits in CVE gelistet unter folgender Seite:
https://www.cvedetails.com/vulnerability-list/vendor_id-3496/product_id-16499/year-2015/Joomla-Joomla-.html

Ferner hier die Links, um Joomla via Verzeichnisschutz abzusichern:
Verzeichnisschutz unter cPanel / Confixx
Verzeichnisschutz unter Plesk

 

VORSICHT: Webseiten-Betreiber – Einbrüche in Ihre Seiten

Aus aktuellem Anlass, möchten wir erneut darauf hinweisen, daß Webseiten-Betreiber voll umfänglich verantwortlich sind, für die verwendete Software, die für die Darstellung der Webseiten verwendet wird, wie Joomla, WordPress aber auch eigene Scripte etc. und der zusätzlich installierten Plugins!

Oft wird unterschätzt, daß fehlerhafte Scripte, z.B. diverse Plugins, Sicherheitslücken aufweisen, die Hackern einen Einbruch über diese Scripte ermöglichen und damit hohe Schäden verursachen können: 

Wir wollen Ihnen hiermit erneut aufzeigen, wie oft diese Sicherheitslücken mißbraucht werden und auch welche Schäden entstehen, für die Sie quasi grob fahrlässig mit verantwortlich sind und die auch Schadensersatz-Forderungen auslösen können: VORSICHT: Webseiten-Betreiber – Einbrüche in Ihre Seiten weiterlesen

Warnung: Joomla-Sicherheitslücken – US-Cert warnt

Joomla-CMS-Websites mit der wohl höchsten Anzahl von Einbrüchen:

Das US-Cert warnt vor kritischen Sicherheitslücken in Joomla. Betroffen sind alle Joomla-Versionen bis 2.5.13 (aktuell ist 2.5.16) und bis 3.1.4 (aktuell ist 3.2.0), denn wie auf der Security-Seite von Joomla nach zu lesen ist, sind auch die Version 3.1.5 und alle davor sicherheitskritisch!

In den Vorversionen können über die integrierte Media-Verwaltung Scripte eingespielt werden, teilweise ohne das sich ein Benutzer angemeldet hat. Solche Scripte (Schadsoftware, Virus) werden dann unter Umständen verwendet, um darüber weitere Schäden zu verursachen, also nicht nur Schäden an Ihrem eigenen Webspace inklusive Auslesen des FTP-Passwortes, sondern unter Umständen sogar Zugriff auf das entsprechende Administrations-Panel, z.B. Confixx, cPanel, Plesk und damit wieder Zugriff auf mySQL – Datenbanken und Mail-Systeme, wo wieder andere Passwörter womöglich in Mails gespeichert sind!

Ein Joomla-Update durch zu führen, ist auch leider nicht immer einfach und wird den Anwendern von jeder Version zur anderen Version schwierig bis vollständig unmöglich gemacht!

In der neuesten 3.x Version waren gar keine Hinweise zu finden, daß ein Update notwendig ist und die Joomla-Update-Version muß unter Umständen gesucht werden! Sie befindet sich dann unter „System Control Panel“ – und dort auf der rechten Seite unter „unknow Joomla“ – Was für ein Wahnsinn, hier schlechte Entwickler sich leisten, denn niemand kommt darauf, die Update-Funktion unter einem solchen Link zu suchen!

Aber auch in der Version z.B. 2.5.11 behauptet die Update-Funktion, daß Joomla auf dem aktuellsten Stand ist! In diesem Fall prüfen Sie bitte die configuration.php, ob Sie ggf. hier das Passwort gegen ein ungültiges ersetzt haben (zu empfehlen) und ändern Sie dort das FTP-Passwort auf ein korrektes und probieren Sie es dann ein paar mal und plötzlich können Sie den Update durchführen!

Da fragt sich jeder, warum muß Joomla FTP-Zugriff haben, um lediglich zu prüfen, ob die Version aktuell ist? Warum fragt Joomla das FTP-Passwort nicht bei einer notwendigen Installation im Admin-Panel einfach ab, wenn ein Update durchgeführt werden soll und unterläßt die Speicherung des FTP-Passwortes im Klartext in der configuration.php?

Im Übrigen können wir allen nur empfehlen für Joomla einen separaten FTP-User anzulegen, dies geht z.B. unter Plesk wunderbar. Der separate FTP-User kann dann für Joomla verwendet werden, hat aber grundsätzlich nie Zugriff auf das Webspace-Verwaltungs-Interface, z.B. Joomla-Panel!

 

Auf den vielen Webspaces, die 1awww.com hostet, kommen immer wieder Einbrüche vor, auch wenn dies nur ein Bruchteil ist (ca. 1 % pro Jahr im Verhältnis aller Webspaces), weil die eingesetzten Sicherheitssysteme bei 1awww.com bereits das Austesten und Suchen von Schwachstellen durch Hacker zum Teil erkennt und dann verhindert, aber Angriffe erfolgen teilweise von diversen IPs aus verschiedenen Ländern und unter Umständen ist der nächste Versuch des Hackers über eine andere IP, dann erfolgreich, eine gültige URL zu finden, die genau diese Schwachstelle enthält!

Wir können über 7 Jahre belegen, daß 97 % aller Einbrüche in Joomla-Webspaces erfolgten und dann jeweils so schlimm, daß mit den Scripten, die eingespielt wurden, immer weitere Schäden verursacht wurden, wie z.B. Versand von Scam-Mails, um Kreditkarten-Daten von gutgläubigen Bürgern zu erhaschen usw!

Wir setzen hiermit Joomla auf die Liste der „gefährlichen Produkte„! 

Bedenken Sie in jedem Fall, daß Provider Sie hier nicht vor Schäden schützen können, denn Sie können in Ihren Webspace einspielen, was Sie möchten, haben jedoch auf die Sicherheit der eingespielten Scripte selbst zu achten! Sind diese Scripte nicht sicher und bieten diese Möglichkeiten, in den Webspace einzudringen und darüber Schäden zu verursachen, sind Sie voll verantwortlich für alles, was über diese Schadsoftware verursacht wird. Sie können dann versuchen, sich an die jenigen zu wenden, die Ihren Webspace gehackt haben, werden aber in der Regel leider kaum Erfolg haben, denn a) sind die Ermittlungsbehörden mit solchen Einbrüchen überfordert b) gibt es keine internationalen kurzen Wege zwischen den Ermittlungsbehörden – ja, ja – in der Hoffnung, daß sich dies durch den aktuellen Datenskandal endlich ändern wird! Wir haben schon über solche Einbrüche in Webspaces geschrieben:

Virenbefall (Schadsoftware), der schwarze Tag eines jeden Webspace-Kunden

Unsere Forderung an die Politiker bezüglich der Datensicherheit:

Datenskandal: weitere 35 hochrangige Politiker, wie Terroristen abgehört

Virenbefall (Schadsoftware), der schwarze Tag eines jeden Webspace-Kunden

Wir wollen heute mal über die schwarze Seite des Hostings sprechen, weil dies zwar nicht oft, aber immer wieder vorkommt. Der vom Kunden gemietete Webspace wird von irgendwelchen Hackern verändert und Schadsoftware wird eingespielt.

Schadsoftware verursacht dabei immer häufiger, extrem hohen wirtschaftlichen Schaden und dabei werden immer perfidere Methode eingesetzt Virenbefall (Schadsoftware), der schwarze Tag eines jeden Webspace-Kunden weiterlesen