HILFE - Firmenwebseite gehacked - Forum

M4D M4X

Legend
Tier & Bier!! und LEDs ;)

Registered: Jan 2005
Location: überall ;)
Posts: 7637

18.07.2011 - 16:03

Servus!

unser Internetauftritt http://www.carlreiner.at wurde gehacked...

Wie sollen wir vorgehen?
Einem Kollegen wurde geraten Strafanzeige zu erstatten um "aus dem Schneider zu sein" wenn wer Blödsinn mit ev. gefladerten Daten macht..

Die Seite liegt nicht auf unserem Server sondern ist extern gehostet ( ich hab ka wo)

was sollen wir machen?

enforcer

What?

Registered: Apr 2001
Location: Mäder / Vlbg
Posts: 2425

18.07.2011 - 16:10

würd auch zu ner anzeige raten.

außerdem hoster/provider kontaktieren (website zurücksetzen, passwörter ändern, ...)

Obermotz

Fünfzylindernazi

Registered: Nov 2002
Location: OÖ/RI
Posts: 5262

18.07.2011 - 16:10

Nice

Ich schätz mal, es wurde nur die Indexseite replaced?
Dann lässt sichs wohl leicht wieder herstellen..

Wurde das Passwort geändert?
Kommts überhaut noch auf den Server?
Backup?
Waren wirklich Kunden?daten auf eurem Webserver?

Zwecks dem rechtlichen kenn ich mich net aus, würd aber Anzeige erstatten. Vielleicht lässt sich ja die IP nachverfolgen.

Und noch ein Tipp: Sowas sind oft (Ex-)Mitarbeiter!

b_d

Registered: Jul 2002
Location: 0x3FC
Posts: 10633

18.07.2011 - 16:10

baaam wie fad muss manchen menschen sein ... :confused:

der hoster würd ich da gleich mit reinziehn. immerhin ist doch der für die sicherheit zuständig??

sprengmeister

Little Overclocker

Registered: Jun 2007
Location: Wien
Posts: 94

18.07.2011 - 16:11

anzeige machen und mal den hoster der website kontaktieren, ob da vlt. generell auf deren servern herumgespielt worden ist (und ob sie noch ein backup der seite haben).
hattet ihr ein cms auf der seite laufen?

mat

Administrator
Legends never die

Registered: Aug 2003
Location: nö
Posts: 25644

18.07.2011 - 16:12

Oberflächlich sieht es nur aus wie Defacement. Man müsste eigentlich davon ausgehen, dass alle Daten entnommen und alle Passwörter aufgedeckt sind. Im Normalfall sollte aber nur die Startseite überschrieben worden sein. Defacements sind nur dazu da, um zu zeigen, dass es Sicherheitslücken gibt. Echte Daten- und Accountshacks sollten eigentlich keine Spuren hinterlassen.

Die technischen Schritte sind:

=> Den Hoster sofort kontaktieren.
=> Daten sichern
=> ALLE in Verbindung stehenden Passwörter ändern (also zB auch die DBs, die in der Webapp verwendet werden)

Strafrechtlich weiß ich nicht, wie man vorgehen sollte. Eine Anzeige ist aber sicher nicht die schlechteste Idee.

COLOSSUS

Administrator
GNUltra

Registered: Dec 2000
Location: ~
Posts: 12173

18.07.2011 - 16:13

Erstmal den fuer den Server verantwortlichen evaluieren und kontaktieren. Der soll euch sagen, was genau passiert ist (die Logs seines gecrackten Systems auswerten), und sich umschauen, was auf dem Dateisystem des Webservers los ist - ob Dinge geloescht oder ueberschrieben wurden. Auch soll er euch gleich und verbindlich sagen, ob und wenn ja von wann es ein Backup eurer Daten zu einem Zeitpunkt vor dem Defacement gibt. Die spielt ihr aber natuerlich nicht gleich wieder ein, sondern lasst die Seite mal vom Netz nehmen. Dann schaut ihr nach (bzw. bezahlt jemandem Geld dafuer, dass er nachschaut), wo die Schwachstelle an eurer Seite bzw. der sie hostenden Infrastruktur liegt, behebt diese, spielt das korrigierte Backup wieder ein, und geht wieder online.

Strafanzeige ist meines Erachtens etwas uebertrieben, das riecht stark nach "Scriptkiddie-probiert-metasploit-CMS-cracks aus". Aber das kann eh nur euer IT-Verantwortlicher entscheiden.

Obermotz

Fünfzylindernazi

Registered: Nov 2002
Location: OÖ/RI
Posts: 5262

18.07.2011 - 16:17

Schaut optisch stark nach Kind aus, ja..

Btw. hatte wohl auch Zugang zum Dateisystem, das Favicon ist auch replaced..

Bearbeitet von Obermotz am 18.07.2011, 16:21

djonny

Addicted

Registered: Oct 2008
Location: Bgld/W
Posts: 598

18.07.2011 - 16:22

Also sowas sieht man öfters, welches CMS war im Einsatz?

Strafrechtlich muss man sich überlegen ob es sich auszahlt? muss jeder selbst entscheiden.
So wie ich das kenne ist das meist nicht wirklich zurückzuführen... auch Skript Kiddies nehmen Proxys und verwischen somit ihre Spuren.

@brain_death und Konsorten. Der Serveradmin bzw. Hoster ist nicht für die Sicherheit eures Webspaces verantwortlich!

Wenn das so wäre könnte sich keiner von euch mehr ein Webpaket leisten weil dann müsste ein Hoster jedes einzelne File das ein KUNDE auf seinen Webspace lädt kontrolliern ob der Code keine Schwachstellen hat.

Obermotz

Fünfzylindernazi

Registered: Nov 2002
Location: OÖ/RI
Posts: 5262

18.07.2011 - 16:25

Der Hoster ist natürlich für die Sicherheit des Servers zuständig, sei es physisch als auch technisch (falls managed). Aber für das Passwort zu deinem FTP, deine Datenbankpasswörter und CMS-Passwörter respektive alles was du hochlädst und konfigurieren kannst bist du selbst verantwortlich.
Und meistens liegts natürlich nicht am Hoster

djonny

Addicted

Registered: Oct 2008
Location: Bgld/W
Posts: 598

18.07.2011 - 16:31

Danke Obermotz so meinte ich das auch deshalb hab ich ja geschrieben Webspace.

Das PHP, Apache, MySQL, Imap Server, Postfix, usw am aktuelle Stand gehalten werden und keine Sicherheitslücken haben dafür ist der Hoster verantwortlich.

Aber ein Hoster kann natürlich nicht für Userdaten verantwortlich sein und kontrollieren ob die Sicher sind.

Turrican

Legend
Amiga500-Fan

Registered: Jul 2002
Location: Austria,Stmk.
Posts: 23254

18.07.2011 - 16:40

manchen leuten muss echt fad sein :bash:

M4D M4X

Legend
Tier & Bier!! und LEDs ;)

Registered: Jan 2005
Location: überall ;)
Posts: 7637

18.07.2011 - 17:27

der Hoster dürft ein Billiganbieter in den USA sein....

jedenfalls kann ich erst morgen die Verantwortliche in unsrer Firma erreichen.

-> Wer könnte/würde sich unsre HP anschauen ob Fehler drin sind?
was kostet das?
Privatpersonen die eine Honorarnote stellen sind auch willkommen

AbSailer

boo hoo wendy

Registered: Aug 2002
Location: Linz/Stmk
Posts: 1160

18.07.2011 - 18:15

Zitat von Turrican
manchen leuten muss echt fad sein

stimmt, facebook im tab :bash:

um sprengmeister zu zitieren

Zitat
hattet ihr ein cms auf der seite laufen?

Hansmaulwurf

u wot m8?

Registered: Apr 2005
Location: VBG
Posts: 5639

18.07.2011 - 18:26

Zitat von AbSailer
um sprengmeister zu zitieren

Schaut danach aus, und imho auch als wäre es lange nicht geupdated.
Schau mal das das CMS sicher ist, ich denke mal File-Upload und Datenbank-Ansteuerung wird das CMS übernehmen, also ist maybe nur wenig am Code selbst auszusetzen sondern einfach die Aktualität des CMS ein Problem. Habt's ihr nen Webmaster?
(Nur zur technischen Seite, besides "what do?")

M4D M4X Legend Tier & Bier!! und LEDs ;) Registered: Jan 2005 Location: überall ;) Posts: 7637	18.07.2011 - 16:03 Servus! unser Internetauftritt http://www.carlreiner.at wurde gehacked... Wie sollen wir vorgehen? Einem Kollegen wurde geraten Strafanzeige zu erstatten um "aus dem Schneider zu sein" wenn wer Blödsinn mit ev. gefladerten Daten macht.. Die Seite liegt nicht auf unserem Server sondern ist extern gehostet ( ich hab ka wo) was sollen wir machen?
enforcer What? Registered: Apr 2001 Location: Mäder / Vlbg Posts: 2425	18.07.2011 - 16:10 würd auch zu ner anzeige raten. außerdem hoster/provider kontaktieren (website zurücksetzen, passwörter ändern, ...)
Obermotz Fünfzylindernazi Registered: Nov 2002 Location: OÖ/RI Posts: 5262	18.07.2011 - 16:10 Nice Ich schätz mal, es wurde nur die Indexseite replaced? Dann lässt sichs wohl leicht wieder herstellen.. Wurde das Passwort geändert? Kommts überhaut noch auf den Server? Backup? Waren wirklich Kunden?daten auf eurem Webserver? Zwecks dem rechtlichen kenn ich mich net aus, würd aber Anzeige erstatten. Vielleicht lässt sich ja die IP nachverfolgen. Und noch ein Tipp: Sowas sind oft (Ex-)Mitarbeiter!
b_d © Natural Ignorance (NI) Registered: Jul 2002 Location: 0x3FC Posts: 10633	18.07.2011 - 16:10 baaam wie fad muss manchen menschen sein ... der hoster würd ich da gleich mit reinziehn. immerhin ist doch der für die sicherheit zuständig??
sprengmeister Little Overclocker Registered: Jun 2007 Location: Wien Posts: 94	18.07.2011 - 16:11 anzeige machen und mal den hoster der website kontaktieren, ob da vlt. generell auf deren servern herumgespielt worden ist (und ob sie noch ein backup der seite haben). hattet ihr ein cms auf der seite laufen?
mat Administrator Legends never die Registered: Aug 2003 Location: nö Posts: 25644	18.07.2011 - 16:12 Oberflächlich sieht es nur aus wie Defacement. Man müsste eigentlich davon ausgehen, dass alle Daten entnommen und alle Passwörter aufgedeckt sind. Im Normalfall sollte aber nur die Startseite überschrieben worden sein. Defacements sind nur dazu da, um zu zeigen, dass es Sicherheitslücken gibt. Echte Daten- und Accountshacks sollten eigentlich keine Spuren hinterlassen. Die technischen Schritte sind: => Den Hoster sofort kontaktieren. => Daten sichern => ALLE in Verbindung stehenden Passwörter ändern (also zB auch die DBs, die in der Webapp verwendet werden) Strafrechtlich weiß ich nicht, wie man vorgehen sollte. Eine Anzeige ist aber sicher nicht die schlechteste Idee.
COLOSSUS Administrator GNUltra Registered: Dec 2000 Location: ~ Posts: 12173	18.07.2011 - 16:13 Erstmal den fuer den Server verantwortlichen evaluieren und kontaktieren. Der soll euch sagen, was genau passiert ist (die Logs seines gecrackten Systems auswerten), und sich umschauen, was auf dem Dateisystem des Webservers los ist - ob Dinge geloescht oder ueberschrieben wurden. Auch soll er euch gleich und verbindlich sagen, ob und wenn ja von wann es ein Backup eurer Daten zu einem Zeitpunkt vor dem Defacement gibt. Die spielt ihr aber natuerlich nicht gleich wieder ein, sondern lasst die Seite mal vom Netz nehmen. Dann schaut ihr nach (bzw. bezahlt jemandem Geld dafuer, dass er nachschaut), wo die Schwachstelle an eurer Seite bzw. der sie hostenden Infrastruktur liegt, behebt diese, spielt das korrigierte Backup wieder ein, und geht wieder online. Strafanzeige ist meines Erachtens etwas uebertrieben, das riecht stark nach "Scriptkiddie-probiert-metasploit-CMS-cracks aus". Aber das kann eh nur euer IT-Verantwortlicher entscheiden.
Obermotz Fünfzylindernazi Registered: Nov 2002 Location: OÖ/RI Posts: 5262	18.07.2011 - 16:17 Schaut optisch stark nach Kind aus, ja.. Btw. hatte wohl auch Zugang zum Dateisystem, das Favicon ist auch replaced.. Bearbeitet von Obermotz am 18.07.2011, 16:21
djonny Addicted Registered: Oct 2008 Location: Bgld/W Posts: 598	18.07.2011 - 16:22 Also sowas sieht man öfters, welches CMS war im Einsatz? Strafrechtlich muss man sich überlegen ob es sich auszahlt? muss jeder selbst entscheiden. So wie ich das kenne ist das meist nicht wirklich zurückzuführen... auch Skript Kiddies nehmen Proxys und verwischen somit ihre Spuren. @brain_death und Konsorten. Der Serveradmin bzw. Hoster ist nicht für die Sicherheit eures Webspaces verantwortlich! Wenn das so wäre könnte sich keiner von euch mehr ein Webpaket leisten weil dann müsste ein Hoster jedes einzelne File das ein KUNDE auf seinen Webspace lädt kontrolliern ob der Code keine Schwachstellen hat.
Obermotz Fünfzylindernazi Registered: Nov 2002 Location: OÖ/RI Posts: 5262	18.07.2011 - 16:25 Der Hoster ist natürlich für die Sicherheit des Servers zuständig, sei es physisch als auch technisch (falls managed). Aber für das Passwort zu deinem FTP, deine Datenbankpasswörter und CMS-Passwörter respektive alles was du hochlädst und konfigurieren kannst bist du selbst verantwortlich. Und meistens liegts natürlich nicht am Hoster
djonny Addicted Registered: Oct 2008 Location: Bgld/W Posts: 598	18.07.2011 - 16:31 Danke Obermotz so meinte ich das auch deshalb hab ich ja geschrieben Webspace. Das PHP, Apache, MySQL, Imap Server, Postfix, usw am aktuelle Stand gehalten werden und keine Sicherheitslücken haben dafür ist der Hoster verantwortlich. Aber ein Hoster kann natürlich nicht für Userdaten verantwortlich sein und kontrollieren ob die Sicher sind.
Turrican Legend Amiga500-Fan Registered: Jul 2002 Location: Austria,Stmk. Posts: 23254	18.07.2011 - 16:40 manchen leuten muss echt fad sein
M4D M4X Legend Tier & Bier!! und LEDs ;) Registered: Jan 2005 Location: überall ;) Posts: 7637	18.07.2011 - 17:27 der Hoster dürft ein Billiganbieter in den USA sein.... jedenfalls kann ich erst morgen die Verantwortliche in unsrer Firma erreichen. -> Wer könnte/würde sich unsre HP anschauen ob Fehler drin sind? was kostet das? Privatpersonen die eine Honorarnote stellen sind auch willkommen
AbSailer boo hoo wendy Registered: Aug 2002 Location: Linz/Stmk Posts: 1160	18.07.2011 - 18:15 Zitat von Turrican manchen leuten muss echt fad sein stimmt, facebook im tab um sprengmeister zu zitieren Zitat hattet ihr ein cms auf der seite laufen?
Hansmaulwurf u wot m8? Registered: Apr 2005 Location: VBG Posts: 5639	18.07.2011 - 18:26 Zitat von AbSailer um sprengmeister zu zitieren Schaut danach aus, und imho auch als wäre es lange nicht geupdated. Schau mal das das CMS sicher ist, ich denke mal File-Upload und Datenbank-Ansteuerung wird das CMS übernehmen, also ist maybe nur wenig am Code selbst auszusetzen sondern einfach die Aktualität des CMS ein Problem. Habt's ihr nen Webmaster? (Nur zur technischen Seite, besides "what do?")

HILFE - Firmenwebseite gehacked

Forum Index > Digital Life > Internet & Provider

M4D M4X

enforcer

Obermotz

b_d

sprengmeister

mat

COLOSSUS

Obermotz

djonny

Obermotz

djonny

Turrican

M4D M4X

AbSailer

Hansmaulwurf