Lustige Geister zu Halloween

Monde de
#1

Lieber Klaus, liebe Spip-Kollegin, -Kollege

Hatte letzthin ein Hack-Attack mit vielen lustigen Zombies. Das war vor drei Wochen. Ich habe daraufhin alle überflüssigen User gemüllt, die Spip und FTP PW gewechselt und die Daten aus dem DB-Backup neu eingespielt. Hat aber nicht gereicht. Gestern ist ein Geist aufgetaucht und hat anscheinend irgendwie auf Französisch und Englisch geschrieben « Your Site is not secure ». Ganz offensichtlich.

Hat jemand von Euch eine Ahnung, was da abgeht?? Die Version ist 3.0 - muss ich updaten? Wie erfolgt der Angriff - mehr nervig als kriminell, aber immerhin …

Liebe Grüsse

Nicholas

#2

Das hatte ich auch, aber mit einer Version 2…

Das sind Komputerfreeks, junge Hacker, die « helfen » wollen, unsere Webseite zu sichern.

Sie zerstören nichts oder nicht viel, zeigen aber auf unserer Homepage Ihren Inhalt an, mit ihrer Lieblingsmusik.
Man kann sie kontaktieren und fragen, was nicht OK ist.

Bloss leider sind auch kleine Vereine betroffen, die keinen SPIP-Spezialisten haben und nicht weiterwissen

Bert

#3

Lieber Nicholas,

woran lag es denn, dass das passieren konnte ? Wie ist der Angreifer auf Deinen Server gelangt ? Hat man Dir Paßworte entwendet ? Unsicherer FTP-Dämon, andere Anwendung, SSL kaputt, Sicherheitslöcher im Betriebssystem oder doch SPIP selber ? Ist Dein Rechner virenfrei und Dein WLAN sicher ?

Die Vorgehensweise nach dem Bemerken eines "Einbruchs" folgt immer diesem Drehbuch :

0. System vom Netz nehmen bzw. mindestens angreifbare Dienste abstellen. Wenn möglich Kommunikation mit Rechner per sicherer Konsole. Du bist der Chirurg. Arbeite mit desinfiziertem Besteck.

1. Spuren sichern (SPIP-Backup, außerdem vollständige Kopie von allen Dateien und Datenbanken anlegen, das außerhalb des betroffenen Servers; falls im Zugriff sollte man auch Systemdateien des Servers sichern)

2. Analyse/ Beschreibung der Änderungen durch den Angreifer / Analyse des Angriffsvektors. Das geht am besten, wenn man aktuelle Systemabzüge hat oder immer ein Monitoring laufen läßt. (Das machen professionelle Provider, die dann sagen können, wer wann und von wo auf den Server zugegriffen hat und welche Änderungen zu einem bestimmten Zeitpunkt erfolgt sind. Du kannst Änderungszeitpunkte von SPIP-Artikeln selber nachvollziehen, indem Du in die Datenbank schaust. Vielleicht findest Du etwas im Änderungsprotokoll / der Versionsverwaltung von SPIP. Mit dem Wissen um den Zeitpunkt kannst Du weiterforschen. Auch im Dateisystem lassen sich manchmal komische Zeitstempel finden.)

3. Löschen des alten und Aufspielen eines sauberen Systems (je nach Ergebnis von 2. Anwendung, Service/Dämon oder ganzer Server, am besten immer alles, denn man weiß nie, woran sich ein Angreifer noch zu schaffen gemacht hat. Wenn man sicher sein kann, daß der Angreifer im CHROOT-Jail geblieben ist, reicht es im Prinzip, diesen Bereich zu säubern.)

3. Wiederherstellen der Daten. Diese müssen vorher genau auf Änderungen und vor allem auf Schadcode geprüft werden.

4. Alle Paßworte erneuern /ändern und die Rechner nicht vergessen, mit denen auf den Server zugegriffen wird. Häufig werden Passworte von Windows-Trojanern gelogt und dann für Angriffe verwendet. Andere Skripte / sämtliche Anwendungen auf dem Webserver müssen geprüft werden. Sollte sich also noch ein anderes CMS (oder was für ein Skript auch immer, selbst programmiert oder nicht) finden, weg damit oder mindestens auf den neuesten Stand bringen.

Zu SPIP kann ich sagen, daß ein Update von 3.0 auf 3.1 in der Regel kein Problem darstellt, es sei denn man verwendet Plugins, die dabei Probleme machen können. Also Plugins und eigenen PHP-Code prüfen und neueste Version einspielen.

Neueste Version von SPIP
http://www.spip.net/de_download

Wie man ein Update macht ohne Daten zu verlieren, ist hier beschrieben :
http://www.spip.net/fr_article1318.html
(Artikel auf FR mit Links zu weiteren Sprachen, bitte auf Aktualität achten)

Eine aktuelle französische Anleitung zu Umgang mit gehackten Sites findet sich hier:
SPIP hacké, que faire ?
http://contrib.spip.net/SPIP-hacke-que-faire?lang=fr

Sollte noch ein altes SPIP (2.xx) laufen, das nur mit großem Aufwand durch ein SPIP 3.1 ersetzt werden kann, hilft der Sicherheitsschirm, der für ein altes SPIP sämtliche Zugriffe per Web filtert und SPIP recht gut gegen Manipulationen abschottet. Natürlich gilt auch hier, daß eigener Code geprüft werden muß, denn er wird möglicherweise nicht vom SPIP-Sicherheitsschirm abgesichert.

Der Sicherheitsschirm
Écran de sécurité
http://www.spip.net/fr_article4200.html

Download Sicherheitsschirm
http://zone.spip.org/trac/spip-zone/browser/core/securite/ecran_securite.php?format=txt

Das ist viel Arbeit, aber nur mit gründlichem und systematischem Vorgehen kann man die Bösewichter zuverlässig verjagen.

Viel Erfolg !
grusz klaus++

On Wed, 10 Dec 2014 14:16:31 +0100, info@mozaikzeitung.ch wrote:

Lieber Klaus, liebe Spip-Kollegin, -Kollege

Hatte letzthin ein Hack-Attack mit vielen lustigen Zombies. Das war
vor drei Wochen. Ich habe daraufhin alle überflüssigen User
gemüllt, die Spip und FTP PW gewechselt und die Daten aus dem
DB-Backup neu eingespielt. Hat aber nicht gereicht. Gestern ist ein
Geist aufgetaucht und hat anscheinend irgendwie auf Französisch und
Englisch geschrieben "Your Site is not secure". Ganz offensichtlich.

Hat jemand von Euch eine Ahnung, was da abgeht?? Die Version ist 3.0
- muss ich updaten? Wie erfolgt der Angriff - mehr nervig als
kriminell, aber immerhin ...

Liebe Grüsse

Nicholas

#4

Hallo Bert Ŝuman,

Das hatte ich auch, aber mit einer Version 2.....

jetzt auf das neueste SPIP 3.1 aktualisiert ?

Das sind Komputerfreeks, junge Hacker, die "helfen" wollen, unsere
Webseite zu sichern.
Sie zerstören nichts oder nicht viel, zeigen aber auf unserer
Homepage Ihren Inhalt an, mit ihrer Lieblingsmusik.

Äh, woher weiß man das ? Hinterlassen die Ausweiskopie und Telefonnummer ?

Man kann sie kontaktieren und fragen, was nicht OK ist.

Und dann ?

Bloss leider sind auch kleine Vereine betroffen, die keinen
SPIP-Spezialisten haben und nicht weiterwissen

Wie es weitergeht habe ich in meiner letzten Mail beschrieben :

Alles sichern, vom Server löschen, desinfizieren, neu einspielen, auf neueste Version updaten :slight_smile:
Ach so, die Umgebung (Windows-Rechner ?!?) nicht vergessen.
Alle (ich meine ALLE) Passwörter ändern.

Dazu muß man kein Spezialist sein, auch wenn es natürlich hilft :slight_smile:

grusz klaus++

#5

Zum Vertiefen
Ich habe noch ein paar Quellen gefunden :

Leçon de Hack et mises à jour de SPIP (FR)
http://blog.spip.net/Lecon-de-Hack-et-mises-a-jour-de.html?lang=fr

Votre site est "hacké" ! (FR)
Quelques réflexes sur un exemple
http://spippourlesnuls.fr/?Votre-site-est-hacke,213

Unmask Parasites (EN)
Hackers exploit security vulnerabilities in popular web software such as blogs, forums, CMS, image galleries and wikis to insert hidden illicit content into web pages of innocent third-party web sites.
Check your web pages now!
http://www.unmaskparasites.com/

Web Shell Detector (EN - Code auf Sicherheitslöcher scannen)
php/python script that helps you find and identify php/cgi(perl)/asp/aspx shells. Web Shell Detector has a "web shells" signature database that helps to identify "web shells" up to 99%
http://shelldetector.com/
Sourcecode dazu
https://github.com/emposha/PHP-Shell-Detector

grusz, klaus++

On Wed, 10 Dec 2014 19:18:23 +0100, Mozaik Redaktion <info@mozaikzeitung.ch> wrote:

Danke, Klaus, ich kümmere mich drum und halt Euch aufm Laufenden ...
auch Grzz Nic

Am 10.12.14 um 18:11 schrieb klaus++:

Lieber Nicholas,

woran lag es denn, dass das passieren konnte ? Wie ist der Angreifer auf Deinen Server gelangt ? Hat man Dir Paßworte entwendet ? Unsicherer FTP-Dämon, andere Anwendung, SSL kaputt, Sicherheitslöcher im Betriebssystem oder doch SPIP selber ? Ist Dein Rechner virenfrei und Dein WLAN sicher ?

Die Vorgehensweise nach dem Bemerken eines "Einbruchs" folgt immer diesem Drehbuch :

0. System vom Netz nehmen bzw. mindestens angreifbare Dienste abstellen. Wenn möglich Kommunikation mit Rechner per sicherer Konsole. Du bist der Chirurg. Arbeite mit desinfiziertem Besteck.

1. Spuren sichern (SPIP-Backup, außerdem vollständige Kopie von allen Dateien und Datenbanken anlegen, das außerhalb des betroffenen Servers; falls im Zugriff sollte man auch Systemdateien des Servers sichern)

2. Analyse/ Beschreibung der Änderungen durch den Angreifer / Analyse des Angriffsvektors. Das geht am besten, wenn man aktuelle Systemabzüge hat oder immer ein Monitoring laufen läßt. (Das machen professionelle Provider, die dann sagen können, wer wann und von wo auf den Server zugegriffen hat und welche Änderungen zu einem bestimmten Zeitpunkt erfolgt sind. Du kannst Änderungszeitpunkte von SPIP-Artikeln selber nachvollziehen, indem Du in die Datenbank schaust. Vielleicht findest Du etwas im Änderungsprotokoll / der Versionsverwaltung von SPIP. Mit dem Wissen um den Zeitpunkt kannst Du weiterforschen. Auch im Dateisystem lassen sich manchmal komische Zeitstempel finden.)

3. Löschen des alten und Aufspielen eines sauberen Systems (je nach Ergebnis von 2. Anwendung, Service/Dämon oder ganzer Server, am besten immer alles, denn man weiß nie, woran sich ein Angreifer noch zu schaffen gemacht hat. Wenn man sicher sein kann, daß der Angreifer im CHROOT-Jail geblieben ist, reicht es im Prinzip, diesen Bereich zu säubern.)

3. Wiederherstellen der Daten. Diese müssen vorher genau auf Änderungen und vor allem auf Schadcode geprüft werden.

4. Alle Paßworte erneuern /ändern und die Rechner nicht vergessen, mit denen auf den Server zugegriffen wird. Häufig werden Passworte von Windows-Trojanern gelogt und dann für Angriffe verwendet. Andere Skripte / sämtliche Anwendungen auf dem Webserver müssen geprüft werden. Sollte sich also noch ein anderes CMS (oder was für ein Skript auch immer, selbst programmiert oder nicht) finden, weg damit oder mindestens auf den neuesten Stand bringen.

Zu SPIP kann ich sagen, daß ein Update von 3.0 auf 3.1 in der Regel kein Problem darstellt, es sei denn man verwendet Plugins, die dabei Probleme machen können. Also Plugins und eigenen PHP-Code prüfen und neueste Version einspielen.

Neueste Version von SPIP
http://www.spip.net/de_download

Wie man ein Update macht ohne Daten zu verlieren, ist hier beschrieben :
http://www.spip.net/fr_article1318.html
(Artikel auf FR mit Links zu weiteren Sprachen, bitte auf Aktualität achten)

Eine aktuelle französische Anleitung zu Umgang mit gehackten Sites findet sich hier:
SPIP hacké, que faire ?
http://contrib.spip.net/SPIP-hacke-que-faire?lang=fr

Sollte noch ein altes SPIP (2.xx) laufen, das nur mit großem Aufwand durch ein SPIP 3.1 ersetzt werden kann, hilft der Sicherheitsschirm, der für ein altes SPIP sämtliche Zugriffe per Web filtert und SPIP recht gut gegen Manipulationen abschottet. Natürlich gilt auch hier, daß eigener Code geprüft werden muß, denn er wird möglicherweise nicht vom SPIP-Sicherheitsschirm abgesichert.

Der Sicherheitsschirm
Écran de sécurité
http://www.spip.net/fr_article4200.html

Download Sicherheitsschirm

http://zone.spip.org/trac/spip-zone/browser/core/securite/ecran_securite.php?format=txt

Das ist viel Arbeit, aber nur mit gründlichem und systematischem Vorgehen kann man die Bösewichter zuverlässig verjagen.

Viel Erfolg !
grusz klaus++

On Wed, 10 Dec 2014 14:16:31 +0100, info@mozaikzeitung.ch wrote:

Lieber Klaus, liebe Spip-Kollegin, -Kollege

Hatte letzthin ein Hack-Attack mit vielen lustigen Zombies. Das war
vor drei Wochen. Ich habe daraufhin alle überflüssigen User
gemüllt, die Spip und FTP PW gewechselt und die Daten aus dem
DB-Backup neu eingespielt. Hat aber nicht gereicht. Gestern ist ein
Geist aufgetaucht und hat anscheinend irgendwie auf Französisch und
Englisch geschrieben "Your Site is not secure". Ganz offensichtlich.

Hat jemand von Euch eine Ahnung, was da abgeht?? Die Version ist 3.0
- muss ich updaten? Wie erfolgt der Angriff - mehr nervig als
kriminell, aber immerhin ...

Liebe Grüsse

Nicholas

#6

Hallo Klaus