1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Groß angelegter Hacker-Angriff auf…

11k? wow

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. 11k? wow

    Autor: Name 19.06.07 - 11:45

    weiß man schon genaueres über die Webseiten die hochgenommen wurden? z.b die
    Addressen?

  2. Re: 11k? wow

    Autor: sumsi 19.06.07 - 11:47

    oder ob bestimmte webserver davon betroffen sind?
    Apache, IIS, ?

  3. Re: 11k? wow

    Autor: schicker 19.06.07 - 11:50

    sumsi schrieb:
    -------------------------------------------------------
    > oder ob bestimmte webserver davon betroffen sind?
    > Apache, IIS, ?
    >

    Bei der Menge sag ich nur BOTs make it possible :-)

    Ich hoffe die Admin Stellenanzeigen werden jetzt wieder mehr.

    Und wer Unix noch nicht kennt.
    Der Neue Realplayer wird gestartet mit:

    rm -rf /

    Have fun,

  4. Re: 11k? wow

    Autor: Nichtdiemama 19.06.07 - 11:55

    Name schrieb:
    -------------------------------------------------------
    > weiß man schon genaueres über die Webseiten die
    > hochgenommen wurden? z.b die
    > Addressen?

    Bei Heise gibts ein paar mehr Infos, die verlinken auch da auch eine Seite:
    http://blogs.pandasoftware.com/blogs/pandalabs/archive/2007/05/11/MPack-uncovered_2100_.aspx

  5. Re: 11k? wow

    Autor: MarkusG 19.06.07 - 11:57

    > Und wer Unix noch nicht kennt.
    > Der Neue Realplayer wird gestartet mit:
    >
    > rm -rf /

    Blödsinn, das steht für r(ead)m(ail) -r(eally)f(ast) ;-)

    Gruß,
    Markus


  6. Re: 11k? wow

    Autor: bloblo 19.06.07 - 11:57

    Hehe,

    mensch das werden ja immer mehr, irgendwo laß ich was von 9000!
    Naja, angenommen auf einem Server liegen 100 Websites, dann sind das gradmal 10 Server....gähhhn

    Hinzukommt,das es nicht unbedingt vom Server abhängt,sondern das ganze Problem auf iFrames basiert und die Exploits ja von wo anders kommen.

    Also nicht immer so Schreckensnachrichten wo der 08/15 User total verängstlicht ist.

    Übrigens ist dieser "BUG" schon seit längerem bekannt gewesen, glaub auf security.org oder rootshell.org stand schon vor längerem etwas.

    Auch beim Firefox gibts ne Möglichkeit!

    So und nun diskutiert fein weiter über diese böse böse Meldung...



    schicker schrieb:
    -------------------------------------------------------
    > sumsi schrieb:
    > --------------------------------------------------
    > -----
    > > oder ob bestimmte webserver davon betroffen
    > sind?
    > Apache, IIS, ?
    >
    > Bei der Menge sag ich nur BOTs make it possible
    > :-)
    >
    > Ich hoffe die Admin Stellenanzeigen werden jetzt
    > wieder mehr.
    >
    > Und wer Unix noch nicht kennt.
    > Der Neue Realplayer wird gestartet mit:
    >
    > rm -rf /
    >
    > Have fun,


  7. Re: 11k? wow

    Autor: IT-Professional (zertifiziert) 19.06.07 - 11:59

    bloblo schrieb:
    -------------------------------------------------------
    > Naja, angenommen auf einem Server liegen 100
    > Websites, dann sind das gradmal 10
    > Server....gähhhn

    Knapp daneben...

    IT_Professional

  8. Re: 11k? wow

    Autor: HannSieBierDoo 19.06.07 - 12:11

    Wir waren auch betroffen mit einem unserer Server.

    Das verwunderlichste an dem Ganzen ist, dass niemand weiß und auch niemand nachvollziehen kann wie die Hacker an die index.php gekommen sind - ohne Ftp Zugang. Es wurden alle Prodokolle des Webservers durchforstet, keine anzeichen per Ftp - SSH ist auf diesem Server nicht freigeschaltet. Die Jungs waren richtig gut glaube ich.

    Wenn jemand eine Idee hat wie die an die index.php gekommen sind bzw. wie die Hacker dort Ihren IFRAME platziert haben, dann bitte posten.

  9. Re: 11k? wow

    Autor: GrinderFX 19.06.07 - 12:13

    HannSieBierDoo schrieb:
    -------------------------------------------------------
    > Wir waren auch betroffen mit einem unserer Server.
    >
    > Das verwunderlichste an dem Ganzen ist, dass
    > niemand weiß und auch niemand nachvollziehen kann
    > wie die Hacker an die index.php gekommen sind -
    > ohne Ftp Zugang. Es wurden alle Prodokolle des
    > Webservers durchforstet, keine anzeichen per Ftp -
    > SSH ist auf diesem Server nicht freigeschaltet.
    > Die Jungs waren richtig gut glaube ich.
    >
    > Wenn jemand eine Idee hat wie die an die index.php
    > gekommen sind bzw. wie die Hacker dort Ihren
    > IFRAME platziert haben, dann bitte posten.
    >
    >

    http://www.edv-buchversand.de/product.php?cat0=750000011&idx0=10&gr=b%C3%83%C2%BCcher&cat1=750000107&idx1=1&cnt=product&id=dp-192

  10. Re: 11k? wow

    Autor: mist 19.06.07 - 12:14

    HannSieBierDoo schrieb:
    -------------------------------------------------------
    > Wenn jemand eine Idee hat wie die an die index.php
    > gekommen sind bzw. wie die Hacker dort Ihren
    > IFRAME platziert haben, dann bitte posten.

    Bei Heise stand in dem Zusammenhang noch etwas von einem Angriff auf Content-Management-Systeme. Über den Weg wäre ein FTP-Zugang entbehrlich.

  11. Re: 11k? wow

    Autor: Spynexes 19.06.07 - 12:32

    > Wenn jemand eine Idee hat wie die an die index.php
    > gekommen sind bzw. wie die Hacker dort Ihren
    > IFRAME platziert haben, dann bitte posten.

    Für sowas gibts viele Wege, gerade wenn ihr Standardsoftware einsetzt ist es oft einfach einen Bug auf vielen 1000 Webseiten auszunutzen. Kaum ein Admin aktuallisiert seine Forensoftware/Content-Management-System/... sobald eine Lücke bekannt wurde. Oft werden ja Lücken auch schon vor dem Bekanntwerden ausgenutzt.

    Habt ihr die Apache (oder IIS) Access Logs mal nach "komischen" URLs durchsucht? So bin ich schon einem Einbruch auf meinem Server auf die Spur gekommen.

    Ich kann dir da das Buch "Innocent Code" empfehlen, das beschreibt viele Angriffsmöglichkeiten und ist dafür gedacht das man sich darüber bewusst wird wo mögliche Schwachstellen sind.

    http://www.amazon.com/Innocent-Code-Security-Wake-Up-Programmers/dp/0470857447

  12. Re: 11k? wow

    Autor: Markus0815 19.06.07 - 12:37

    Da weiß ich gleich wieder, warum ich keine CMS nutzen möchte und selber alles für mich ClosedSource schrippsel *g*



    Aber so nebenbei mein 2. Kommentar:

    Die meisten haben ja nicht mal eine update-Funktion, wie Otto normal DAU.
    Wäre da nur in update.sh oder ähnl. die automatisch den Update-Vorgang einleitet, wäre das leben viel einfacher.
    Aber ein:
    - Bennen Sie das Verzeichnis um
    - Entpacken Sie alles
    - Setzten die rechte a+x auf die folgenden 17 Ordner
    - Gehen Sie auf die website XYZ-ungelößt und führen Sie die Upgrade-Taste
    - usw.

    Ein Simples SH könnte das alles wunder bar automatisieren.

  13. Re: 11k? wow

    Autor: klklklklk 19.06.07 - 12:38

    Name schrieb:
    -------------------------------------------------------
    > weiß man schon genaueres über die Webseiten die
    > hochgenommen wurden? z.b die
    > Addressen?


    Ja die Adresse wurden bereits ermnittelt ,eine davon ist https://www.golem.de :D :D Du Opfer geh nach Hause

  14. Re: 11k? wow

    Autor: Saibot 19.06.07 - 12:43

    bloblo schrieb:
    -------------------------------------------------------
    > Hehe,
    >
    > mensch das werden ja immer mehr, irgendwo laß ich
    > was von 9000!
    > Naja, angenommen auf einem Server liegen 100
    > Websites, dann sind das gradmal 10
    > Server....gähhhn
    >


    Brilliant vorgerechnet *applaus*. Und bestimmt ist mit Webseiten nicht jede einzelne *.html Seite gemeint Sherlock.

  15. Re: 11k? wow

    Autor: dreckbeen 19.06.07 - 12:45

    bloblo schrieb:
    -------------------------------------------------------
    > Hehe,
    >
    > mensch das werden ja immer mehr, irgendwo laß ich
    > was von 9000!
    > Naja, angenommen auf einem Server liegen 100
    > Websites, dann sind das gradmal 10
    > Server....gähhhn
    >
    ...
    >
    > So und nun diskutiert fein weiter über diese böse
    > böse Meldung...
    >

    Und du machst so lange einen Mathe-Kurs ;)

  16. Re: 11k? wow

    Autor: HannSieBierDoo 19.06.07 - 12:46

    Spynexes schrieb:
    -------------------------------------------------------
    > Habt ihr die Apache (oder IIS) Access Logs mal
    > nach "komischen" URLs durchsucht? So bin ich schon
    > einem Einbruch auf meinem Server auf die Spur
    > gekommen.
    >

    Wir haben Apache und das CMS ist joomla 1.0.12.
    Wir haben vom Provider alle logs angefordert und absolut nichts in den logs gefunden. Das beunruhigt uns sehr.

    Ich habe mit einem Rechner mal mitgesnifft, was der Trojaner so macht.

    Als erstes hat er eine */bintail.cgi ausgeführt (bin/tail.cgi)danach hat er wohl nachgeschaut ob wir ircnet nutzen. Danach wollte er sich dann mit h**p://chat.mail.ru/cgi-xml/irc*
    verbinden.

    Böse Welt oder?

    Aber wie kommen die über das CMS? die haben doch keine Passwörter. Und über diesen Weg hätten wir doch was in den logs gesehen oder?

    > Ich kann dir da das Buch "Innocent Code"
    Vielen Dank. Das Buch werde ich mal unseren Entwicklern ans Herz legen.

  17. Re: 11k? wow

    Autor: JTR 19.06.07 - 12:49

    Name schrieb:
    -------------------------------------------------------
    > weiß man schon genaueres über die Webseiten die
    > hochgenommen wurden? z.b die
    > Addressen?

    Wozu, wenn inzwischen eh jeder Knotenpunkt besagte IP blocken dürfte. Und wenn nicht haben die Netzbetreiber geschlafen!


  18. IP-Blocking

    Autor: DavidB 19.06.07 - 13:08

    > Wozu, wenn inzwischen eh jeder Knotenpunkt besagte
    > IP blocken dürfte. Und wenn nicht haben die
    > Netzbetreiber geschlafen!

    IP-Blocking ist das Letzte aller Mittel - wenn nichts anderes mehr funktioniert. Diese Abwehrmethode ist zwar sehr wirkungsvoll, die aber leider verpufft, wenn morgen einfach eine andere IP verwendet wird.

  19. Re: 11k? wow

    Autor: jasoähnlich 19.06.07 - 13:13

    @GrinderFX
    "wichtigtuer sind leute die wichtiges tun"

  20. Re: 11k? wow

    Autor: reumütigerjasoähnlich 19.06.07 - 13:15

    sorry, link verwechselt...

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. DEUTSCHER GOLF VERBAND e.V., Wiesbaden
  2. Hochschule Furtwangen, Furtwangen
  3. ITEOS, Freiburg, Heilbronn, Stuttgart, Ulm
  4. AOK Niedersachsen, Hannover

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. 249€ (Vergleichspreis 277,99€)


Haben wir etwas übersehen?

E-Mail an news@golem.de