Thema: Ist das bekannt? (LloydsTSB)

Habe heute eine Mail bekommen:

Sehr geehrte Frau... ,
auf Ihrem 1&1 Webspace wurde nach einem externen Angriff eine
sogenannte Phishing-Seiten abgelegt. Diese Seiten dienen dem Erschleichen von
vertraulichen Zugangsdaten. Sie befinden sich unter der URL:

hXXp://www.sv-breitenholz.de/
xxxxxxxxxxx.html

Über eine Sicherheitslücke in der Software, die Sie installiert haben, ist es
Angreifern gelungen in Ihren Server einzudringen. Um die Sicherheit
wiederherzustellen, gehen Sie wie folgt vor:

1. Löschen Sie unverzüglich die abgelegte Phishing-Seite. Erwägen Sie zuvor
eine Sicherung der Dateien zu Beweiszwecken.

2. Suchen Sie auf Ihrem gesamten Webspace gründlich nach weiteren fremden
Inhalten. Oft legen die Angreifer Dateien ab, mit denen sie jederzeit wieder auf
Ihren Server zugreifen können. Löschen Sie diese Dateien ebenfalls.

3. Schließen Sie alle Sicherheitslücken in Ihrer Software, die diesen Angriff
erlaubt haben.


Die Skripte und das Verzeichnis waren mit neuem Benutzer "apache" installiert worden.
Habe die Dateien entfernt und mußte das Rootverzeichnis mit neuen Rechten versehen.

Weiß jemand wie es demjenigen gelungen ist? Ich habe erst vor 2 Wochen auf V. 1.0.15
umgestellt.

Habe die IP des Verursachers gesichert und gebannt.


Danke,


Balu

Mglw. liegt der Angriff schon länger als 2 Wochen zurück, dann kann die alte Joomla Version die Lücke enthalten haben.
Oder Du hast eine andere Erweiterung installiert, die eine Lücke enthält.
Oder Du hast lokal auf deinem Recher einen Keylogger/Trojaner, der die FTP-Zugangsdaten übermittelt hat.
Soviel zur Frage "Wie ham die das gemacht?"

Die IP des Verursachers zu bannen ist lächerlich und beseitigt nicht die Ursache. Wenn der Angreifer weiterhin Zugang hat, dann kommt er halt mit einer neuen IP.
Bist Du 101% sicher, daß Du alle möglichen Schlupflöcher gefixt und alle eingeschleusten Dateien gelöscht hast? Hast Du dran gedacht, daß auch die Datenbank verseucht sein kann?

Die Mail hast Du nicht umsonst bekommen. Wenn Du den Forderungen nicht unverzüglich nachkommst, kannst Du straf- und zivilrechtlich belangt werden.

Nachtrag:
Jetzt, um 17:24 Uhr ist die Phishing Seite wieder/noch online.

@keraM
Danke für die Antwort, die schädlichen Dateien wurden erst gestern angelegt. Keylogger und ähnliche Exoten scheiden demzufolge aus.
Habe die Dateien um 12:45 Uhr gelöscht, ebenso die infizierte index.php im Rootverzeichnis. Heute um 15:47 Uhr wurde wieder das Pishing-Script installiert und ich weiß nicht wie? Zumindest die index.php konnte ich schützen, ein kleiner Erfolg.

Vor strafrechtlichen Sanktionen habe ich weniger Angst, da es am notwendigen Vorsatz mangelt... (dem Eigentümer eines entwendeten PKW`s kann man auch nicht verfolgen, wenn der Dieb mit dem PKW einen Unfall baut oder damit andere Rechtsgüter schädigt.
Ich habe meine Verzeichnisse entsprechend geschützt, mehr Möglichkeiten habe ich als Normaluser nicht.)

Ich bin doch sicherlich nicht der Einzige im www, der das Problem hat?

MfG

Balu


Nachtrag:
Dank dem Benutzernamen und meiner access-log konnte ich nun alle infizierten Dateien ausfindig machen.
Hoffe, dass ich nun Ruhe habe.

Zitat von Balu50

Habe die Dateien um 12:45 Uhr gelöscht, ebenso die infizierte index.php im Rootverzeichnis. Heute um 15:47 Uhr wurde wieder das Pishing-Script installiert und ich weiß nicht wie?

a) man hat einfach die weiterhin bestehende Lücke im System ein zweites Mal ausgenutzt
b) man hat beim ersten Einbruch ein Shellscript hinterlegt, welches den Zugang unabhängig von irgendwelchen Systemlücken sichert

Zumindest die index.php konnte ich schützen, ein kleiner Erfolg.

Wie hast Du die geschützt?

Vor strafrechtlichen Sanktionen habe ich weniger Angst, da es am notwendigen Vorsatz mangelt...

Du weißt, daß es in Deinem System mindestens eine Sicherheitslücke gibt, beseitigst aber nicht die Ursache. Das sollte für den Vorsatz reichen.
Der Gesetzgeber hat für diesen und ähnliche Fälle das Instrument des Mitstörers und der Mitstörerhaftung geschaffen.
Der Vergleich mit dem PKW hinkt so stark, daß er schon ein Fall für den Rollstuhl ist.

Ich habe meine Verzeichnisse entsprechend geschützt, mehr Möglichkeiten habe ich als Normaluser nicht.

Doch, hast Du!
Du kannst und mußt die Lücke im System finden und beseitigen.
Die Verschleierung der Lücken ist unzureichend und hält die Phisher nicht auf.
So ist bspw. die Komponente Artforms immer noch nicht auf dem aktuellen Stand. Das kann schon eine Lücke sein. Ob es noch weitere gibt, kannst nur Du feststellen.
Lies dazu einfach mal hier im Forum, oder hier, oder hier, oder auf den Mailinglisten WebAppSec, Bugtraq oder full-disclosure.
Mglw. ist es auch eine Erweiterung, die Du zwar installiert, aber nicht published hast.

Das Shellscript kann sich auch in einem anderen Joomla-Verzeichnis verstecken. Gern genommen werden das Cache- oder Includes-Verzeichnis.

Ich bin doch sicherlich nicht der Einzige im www, der das Problem hat?

Nein, ganz sicher nicht.