Hackerangriff, Strato sperrt meine Seiten

[nyako]

Strato hat am Samstag früh meine Seiten gesperrt.
Sie behaupten, es wäre im großem Maße Spam verschickt worden.

Uns ist zur Kenntnis gelangt, dass Ihre Internetpräsenz zur Versendung von Massen-E-Mails, (SPAM), missbraucht worden ist. Laut den uns vorliegenden Informationen erfolgte dies über die Datei:

/ohangla/admin/login.php

Allem Anschein nach wurde Ihr Webspace gehackt. Der Angriff erfolgte wahrscheinlich durch vorhandene Sicherheitslücken in Ihren installierten PHP-/CGI-Scripten. Auch veraltete Content- Management-Systeme können einen Angriff ermöglichen. Zudem besteht die Möglichkeit, dass sich Viren, Keylogger o.ä. auf Ihrem lokalen System befinden.

Ich bin ein bischen skeptisch , ob das so stimmt. Am Samstag um 5 Uhr morgens bekam ich über 100 mal

Der Zugang zu moziloAdmin ist vorübergehend gesperrt, da zu oft falsche Zugangsdaten angegeben wurden. Details zum letzten Login-Versuch:

13.12.2014, 05:24:31
109.229.176.111 / 109.229.176.111
Username: admin

Aber das bedeutet doch, dass die Angreifer das Passwort nicht ermittelt haben ? Letzteres war komplex.

Ich habe mit "diffuse" nach Unterschieden in der login.php gesucht, aber keine gefunden

[nyako]

Nachtrag - kann es sein, das Strato die (habe jetzt nachgezählt) 785  Benachrichtigungsmails über die falschen Zugangsdaten, die an meine eigene Adresse gingen,  als "Spam" detektiert hat ?

[Thorstn]

Hi nyako,

Nun, das könnte sein, da ja auch der Pfad zum Adminlogin in der betreffenden Mail von Strato angegeben wurde.

Allerdings haben wir das auf mozilo-Präsenzen noch nicht gehabt, dass jemand den Admin der mozilo-Präsenz hacken wollte, zumindest habe ich davon noch nie was gehört.

Es könnte aber auch sein, dass der komplette Server, auf dem Du hostest, gehackt wurde. Beim Shared-Hosting besteht halt immer die Gefahr, dass eine (andere) Webpräsenz aufgrund akuter Sicherheitsmängel den ganzen Server gehackt werden kann. Und dann sind u.U. eben alle (!) weiteren Webpakete, die auf diesem Server liegen, angreifbar.

Wenn Du Dich mal bei Strato einloggst und nach "Kontakt" suchst, wirst Du eine Support-Rufnummer von Strato in Berlin finden (einfach etwas suchen), also keine "teure" 0180... Rufnummer.
Ruf die bei Bedarf mal an, ob die mehr wissen.

Ich hatte sowas ähnliches mal bei einem Kunden, da war eine Wordpress-Installation angeblich gehackt worden. Fakt war: eine andere Webseite auf dem Server (auch andere Kunde) hatte enorme Sicherheitsmängel auf seiner Präsenz, sodas alle anderen Kunden auf dem Server auch angegriffen wurden.

Welche mozilo-Version hast Du? Es gibt nämlich die Möglichkeit, den Pfad zum Admin zu ändern. Der Login würde dann nicht via "domain.xy/admin" sondern z.B. über "domain.xy/irgendwas" gehen.

Testweise kannst Du den Admin-Ordner via FTP mal ändern. Statt "/admin" benennst Du ihn um in "/admin_123" (dann kanst Du Dich aber estmal nicht einloggen)

Und dann schaust Du mal, ob weitere Hack-Attacken folgen. Wie gesagt, zu Not bei Strato anrufen!

Gruß,
Thorsten

[nyako]

Hi Thorstn,

vielen Dank für Deine Antwort. Zur Zeit ist das Hauptproblem, dass kein Kontakt zu Abuse Abteilung möglich ist. Ich habe schon einige Emails geschrieben und verschiedene Strato-Hotlines angerufen.

Es ist zwar das erste Mal, dass ich Probleme mit Strato hatte, nach über 10 Jahren. Aber es ist sehr unerfreulich. Ich werde mir jetzt einen anderen Hoster suchen.

lg
nyako

[bemerkenswelt]

Ich werde mir jetzt einen anderen Hoster suchen.

Kann ich nur empfehlen.
Strato hatte seit Anbeginn des Internets immer einen schlechten Ruf und meine Erfahrungen bestätigen dies.

Ich hatte im letzten Herbst, mit einer der Websites die ich betreue, genau das gleiche Problem, mit der gleichen Mail von Strato, wie du.

Meine Überprüfung ergab, dass sich wirklich ein Spam Bot auf dem Webspace befand. Allerdings war dieses Strato-Konto nach seiner Anmeldung von meinem Kunden niemals eingerichtet oder benutzt worden. Es befanden sich also keinerlei Zugangsdaten dazu auf irgendeinem unserer Rechner.

Das bedeutet doch, dass die Webserver von Strato selbst so unsicher und schlecht gegen Angriffe geschützt sind, dass es Hackern gelingt dort einzudringen und Schadsoftware zu hinterlassen. Dieser Mangel wird von Strato aber erstmal auf den Kunden abgeschoben. Mit der Behauptung, dass ein Trojaner auf seinem Rechner, dort an die Zugangsdaten gelangt sei.

Dass auf Versuche zur Kontaktaufnahme nicht reagiert wurde, habe ich genauso erlebt. Erst nachdem ich den Spam-Bot entfernt hatte und das meldete, bekam ich die kurze Info, dass der Account wieder geöffnet sei.

Ich empfehle seit Jahren jedem, der mir sagt er sei bei Strato, den Provider zu wechseln.

[martin]

Gestern Abend wurden zwei Mozilo-Präsenzen von mir ebenfalls auf diese Weise angegriffen. Ich habe innerhalb von 15 Minuten 1000 e-Mails bzgl. Login-Fehlern bekommen. Da scheint sich also leider in der Hackerszene etwas zu bewegen. Strato kann dafür übrigens wirklich nichts!

Ich habe dabei bemerkt, dass die in der login.php vorhandene Funktion zum Sperren des Logins nach einigen Fehlversuchen wirkungslos ist. Sonst dürfte ich ja nur alle 10 Minuten eine solche Mail erhalten. Die login.php liefert während der Sperre zwar ein deaktiviertes Formular. Die Hacker senden aber einfach wieder einen POST Request ab, und der wird genauso verarbeitet wie im ungesperrten Fall.

Ich schlage vor, die Prüfung auf Sperre in der login.php gleich ganz zu Beginn zu machen und dann z.B. ein 404 oder 503 zurückzuliefern oder eine einfache Meldung "gesperrt", ohne dass dies zu einer weiteren e-Mail an den Admin führt.

Martin

[bemerkenswelt]

Strato kann dafür übrigens wirklich nichts!

Das kann ich nicht ganz nachvollziehen, wenn auf dem Webspace, der bei meinem Kunden betroffen war, nie etwas anderes lag, als die Strato-Standardseite "Neue Webpräsenz".

Schick deine Vorschläge für eine Verbesserung des Logins doch mal per PN an stefanbe.
Der hat das ja gebastelt und liest vielleicht dieses Posting nicht unbedingt.

[laborix]

... Ich schlage vor, die Prüfung auf Sperre in der login.php gleich ganz zu Beginn zu machen und dann z.B. ein 404 oder 503 zurückzuliefern ...

Das bringt alles nichts, die einzige Lösung hierfür ist eine IP-Sperre. Was nur bedingt wirkt, weil der Angreifer diese dann einfach wechselt.

Unter Wordpress gibt es zwei Produkte die solche Schwierigkeiten elegant lösen. Das erste nennt sich LimitLogin (oder ähnlich) und das zweite BadBehavior. Beide arbeiten mit IP- und Header/Post Analysen und Blacklist Abfragen.

Unter moziloCMS 1.2 beta 3 hatte ich BadBehavior über ein simples "require" mehrere Monate im Livebetrieb am Laufen. Ob das mit mozilo 2.0 geht habe ich nie getestet.

[Rainer]

Bei mir hat vor zwei Tagen jemand versucht die Seite zu kapern, während ich vor der Kiste saß: sofort via FTP, die Rechte vom Admin-Ordner auf 00 gesetzt und Schluß war. Insgesamt sind deswegen rund 50-70 Mails in kürzester Zeit aufgelaufen.

Ergo: wenn nichts am CMS gearbeitet werden muss, admin-Rechte auf 00 setzen und wenn wieder Arbeit ansteht, Rechte hoch setzen.
Beim 1.12er hatte ich den Admin umbenannt.

[stefanbe]

Hab den Login Überarbeitet.

Gibt jetzt nur noch eine EMail wenn 3mal Falsch und dann alle 100 Fehlversuche

lg stefanbe

[alfton]

Hallo Leute,

genau das selbe ist mir gestern auch passiert, hab meine Seite bei 1blue gehosted und es wurden 1000 Emails in knapp 10 Minuten generiert
Vor ein paar Wochen waren es nur eine handvoll Versuche.
Wo finde ich Deine Korrektur zum Login?
Was könnte man noch tun?
Der Angriffsversuch kam übrigens von: mm-252-105-214-37.dynamic.pppoe.mgts.by

HG, Alfton

[madpage]

Hallo Zusammen,

.... ich lese hier viel mit um auf dem Laufenden zu bleiben und ich weiß nicht, ob es jetzt zu diesem Thema passt.

Nun habe ich gesehen, dass viele Änderungen und Anpassungen in mozilo 2.0 eingeflossen sind. Inkl. der oben genannten Änderung bzgl. der Loginversuche.

Wäre es da nicht langsam mal angebracht eine Version 2.01 herauszubringen? Nur als Vorschlag, da ich nicht ständig auf Github nachschauen möchte welcher Teil sich denn nun geändert hat.

Noch dazu, wenn es jetzt um Sicherheitsaspekte geht und um Angriffe zu erschweren wäre es doch sicherlich sinnvoll.

Es ist nur ein lieb gemeinter Vorschlag und keine Kritik.

Gruß madpage (Martin)

[Rainer]

Hallo Martin,

auch wenn wir jetzt die Version 2.01 ausrufen würden, würde sich nichts ändern, du müsstest regelmäßig updaten um auf dem laufenden zu bleiben, da sich auch unter einer 2.01 ständig Änderungen einschleichen 

[stromflo]

Hallo zusammen,

wäre es nicht auch eine Möglichkeit über Admin einen Verzeichnisschutz anzulegen. Einige Hoster bieten dies an.
Dann muss man halt zweimal ein Passwort eingeben. Aber vielleicht hilft es ja.....

Ist es eigentlich auch möglich einfach mal den Ordner admin in einen anderen Namen zu taufen?

Wo genau findet man eigentlich die neuen Updates und wie/was muss man aufspielen?

Es wäre wünschenswert, wenn man direkt im mozilo CMS eine Updatefunktion hätte....

Gruß Flo

[laborix]

Mal ne allgemeine Info zur aktuellen Mozilo 2.0 Github Version vom 20. Januar 2015, nur zu Entspannung.

Ich habe zwei mehrstündige Attacken gegen eine Mozilo 2.0 Standard Installation mit Kontaktformular und integrierte Galerie ausführen lassen und ein Penetrationstest mittel drin. Das was mit automatischen Security Testprogrammen im Schnelldurchgang abgedeckt werden kann zeigt das die aktuelle Github Version relativ sicher ist. Also so schnell mal angreifen ist nicht.

Um noch etwas mehr Sicherheit zu bekommen kann wie schon öfters angesprochen der Rechteentzug des Admin Verzeichnisses sein oder dieses per Webspace Passwort doppelt zu schützen. Da diese Dinge abhängig vom Provider/Webspace Paket sind, muss das jeder selber ausprobieren.

Im weiteren kann man je nach Möglichkeit per .htacces (Apache Web Server) oder web.config (Windows IIS Web Server) noch etwas zum Schutz gegen automatische Analyse Angriffe tun.

Beispiel .htaccess Datei:

Code Auswählen Erweitern

# BEGIN CMS
Options -Indexes

<FilesMatch "basic.conf.php|logindata.conf.php|loginpass.conf.php|gallery.conf.php|main.conf.php|syntax.conf.php">
  Order allow,deny
  Deny from all
</FilesMatch>                                 

# END CMS

Beispiel web.config Datei:

Code Auswählen Erweitern

<configuration>

  <system.webServer>

    <directoryBrowse enabled="false" />

    <security>
      <requestFiltering>
        <denyUrlSequences>
          <add sequence="basic.conf.php" />
          <add sequence="logindata.conf.php" />
          <add sequence="loginpass.conf.php" />
          <add sequence="gallery.conf.php" />
          <add sequence="main.conf.php" />
          <add sequence="syntax.conf.php" />
        </denyUrlSequences>
      </requestFiltering>
    </security>
   
  </system.webServer>

</configuration>
Diese Dateien sind im Web Root abzulegen, idealerweise dort wo die index.php von Mozilo 2.0 liegt. Das "Option -Indexes" verhindert das externe durchsuchen der Mozilo 2.0 Installation. Die andere Geschichte verhindert ein externes Auslesen/Zugriff der Dateiinhalte der angegebenen Dateien.

Einen generellen 100% Schutz gibt es nicht, Passwortstärke spielt bei durchtrainierten Angreifern auch keine Rolle und wenn auf dem Webserver noch andere Kunden Ihre Website haben und diese gehackt wurde, bringt auch der beste Schutz nichts mehr.

Schönes Wochenende...