Feb 18 2013

WalliBlog under HackAttack – Einstieg – Teil 1

In meinem ersten Artikel nach dem Neuanfang des WalliBlog am 31.03.2012 versprach ich, den Ablauf des Angriffs und des Missbrauchs zu dokumentieren. Zugegeben, es ist schon etwas her, aber versprochen ist versprochen.
Zudem muss man als IronBlogger ja auch liefern. Wink


Teil 1 Beginn/Bemerken des Angriffs

Teil 2 allgemeinen Beschreibung der Folgen

Teil 3 technische Dokumentation (steht zur Zeit noch aus)


Der Einstieg

Ablauf

          • 26.11.2011 19:34 erhielt ich eine Mail meines Providers mit folgendem Inhalt:
            Sehr geehrte/r Herr,
            heute erhalten Sie eine dringende Nachricht zu Ihrem 1&1 Webspace. Ihr 1&1 Webspace versendet zurzeit eine große Anzahl von E-Mails, die von den Empfängern als Spam markiert werden. Da große Provider die Anzahl von Spambeschwerden als Grundlage für ein Blacklisting des versendenden Mail-Servers nutzen, gefährden diese Beschwerden Ihren Vertrag. Um die Sperre Ihres Webspaces zu verhindern, prüfen Sie daher bitte umgehend Ihren E-Mail-Versand mithilfe der folgenden Punkte: ..
            Es folgt eine längere Liste
          • Gelesen habe ich die Mail so gegen 23:55. Na gut, dachte ich, schaun wir mal morgen nach.
          • 27.11.2011 09:53 erhielt kurz nach dem Frühstück eine weitere Mail:
            Sehr geehrte/r Herr ,
            Sie haben bereits eine E-Mail mit wichtigen Sicherheitshinweisen zu Ihrem 1&1 Webspace von uns erhalten. Ihr 1&1 Webspace versendet jedoch weiterhin eine große Anzahl von E-Mails, die von vielen Empfängern als Spam markiert werden. Aufgrund der hohen Anzahl der E-Mails gehen wir zurzeit davon aus, dass Unbefugte Ihren 1&1 Webspace angegriffen haben und zum Versand von Spam missbrauchen.
            Um diese Gefahr für Sie abzuwenden, wird Ihr 1&1 Webspace vorübergehend gesperrt.
          • Nun war ich doch etwas beunruhigt, und arbeitete dann auch sofort die Liste der erste Mail ab. Schaute in den Maillog nach und fand doch eine sehr große Zahl von versendeten Mails in alle Welt. Auch das Programm, welches dafür verantwortlich war, wurde nicht nur auf die Dateirechte 000 gesetzt, sondern gelöscht. Einige Dateien, die nicht von mir angelegt wurden und kryptische Namen hatte, löschte ich – so die Empfehlung – gleich mit.
            Mein Provider wurde über die Art und Nutzung der Site etc. informiert, um dem Abuse-Team zu helfen.
          • 06.12.2011 17:45 schrieb mir das Abuse-Team die folgenden Zeilen:
            1 Analyse des Angriffs
            1.1 Ihre folgende Datei hat den Angreifern als Einfallstor gedient: ./xxxx/tiny_mce/plugins/ajaxfilemanager/ajax_create_folder.php
            1.2 Über dieses Einfallstor ist es den Angreifern gelungen die folgenden schädlichen Dateien auf Ihren Webspace zu laden: ./xxxx/tiny_mce/plugins/ajaxfilemanager/inc/class.images.php ./xxxx/tiny_mce/plugins/ajaxfilemanager/inc/thumbsdata.php ./xxxx/tiny_mce/plugins/ajaxfilemanager/inc/w1191173215918580.php ./xxxx/tiny_mce/plugins/ajaxfilemanager/inc/class.imagess.php ./xxxx/tiny_mce/plugins/ajaxfilemanager/thumbsdata.php
            ./xxxx/index.php (wurde inhaltlich verändert) ./xxxx/w1610327850865301.php
            ./xxxx/w8881736927605465.php
            ./xxxx/.DAV/htaccess (wurde inhaltlich verändert)

            ./xxxx/thumbsdata.php ./xxxx/thumbsdatas.php
            ./xxxx/htaccess (wurde inhaltlich verändert)
            1.3 Um weitere Angriffe zu verhindern, haben wir alle oben genannten Dateien deaktiviert. Bitte beachten Sie, dass dadurch Teile Ihrer Webpräsenz beeinträchtigt sein können.
            1.4 Ihren 1&1 Webspace haben wir entsperrt. Diese vorübergehende Sperre war zum Schutz unserer Infrastruktur notwendig, bitte haben Sie dafür Verständnis.
          • Die besondere Aufmerksamkeit galt natürlich den oben genannten und fett hervorgehobenen Dateien. Die PHP-Dateien w….php und das Verzeichnis .DAV stammten nicht von mir. Das PHP-Programm tiny_mce gehörte zu Editor, den ich einmal testweise installierten und nicht mehr genutzen habe. Eingebunden in ein CMS-System mit Namen CMSimple. Ich habe also alle dazugehörige Bestandteil inklusive des CMS gelöscht, und mich geärgert, dass ich dieses nicht genutzte Teil einfach auf dem Server in einem Testverzeichnis habe liegen lassen. Die .htaccess habe ich natürlich bereinigt.
          • Da ich meinen Blog auch da schon seit längerem mit WordPress betrieben habe, ging es also nach dieser umfänglichen Lösch- und Änderungsparty weiter mit dem Blog.
            Ich war beruhigt.
          • Am 20.12.2011 um 14:39 erhielt ich dann eine Mail mit folgendem Inhalt:
            Sehr geehrte/r Herr ,
            heute erhalten Sie eine dringende Nachricht zu Ihrem 1&1 Webspace. Ihr 1&1 Webspace versendet zurzeit eine große Anzahl von E-Mails, die von den Empfängern als Spam markiert werden. Da große Provider die Anzahl von Spambeschwerden als Grundlage für ein Blacklisting des versendenden Mail-Servers nutzen, gefährden diese Beschwerden Ihren Vertrag. Um die Sperre Ihres Webspaces zu verhindern, prüfen Sie daher bitte umgehend Ihren E-Mail-Versand mithilfe der folgenden Punkte: …
            Es folgt die bekannte längere Liste
          • Verdammt – was soll das? Ich habe doch alles gemacht und darüberhinaus sogar das ganze CMSimple gelöscht.

 


Teil 1 Beginn/Bemerken des Angriffs

Teil 2 allgemeinen Beschreibung der Folgen

Teil 3 technische Dokumentation (steht zur Zeit noch aus)

Permanentlink zu diesem Beitrag: https://www.wallinet.de/blog/2013/02/walliblog-under-hackattack-einstieg-teil-1/

1 Ping

  1. […] Wal­li­Blog under Hack­At­tack – Ein­stieg – Teil 1 […]

Schreibe einen Kommentar

Your email address will not be published.

Social Widgets powered by AB-WebLog.com.