MarketingNet Selbstverwaltung
Willkommen im Foyer der Selbstverwaltung Nachricht vom 18. Dezember 2009: [MarketingNet] - Bezüglich Schadware in Kundenwebspace Weitere Nachrichten: Nachrichten-Verzeichnis \| vorherige \| Neueste \| nächste Diese Nachricht enthält weiterführende Informationen und Erkenntnisse zum Schadware-Vorfall vom 7.12. Sie ist in drei Abschnitte gegliedert: Bericht über die Ergebnisse Schilderung des rekonstruierten Vorfalls und der vorgefundenen Mängel Empfohlene Maßnahmen zur Wahrung der Sicherheit Ihres Webspaces. ========== In meiner Nachricht vom 7.12. hatte ich die Vermutung geäußert, dass Websites "gehackt" worden seien und mitgeteilt, dass "Schadware" in diesen Sites installiert worden ist. Eingehende Nachforschungen konnten den Hergang nunmehr klären. Es ist inzwischen sicher, dass keine Websites "gehackt" worden sind, sondern dass die Schadware auf völlig andere Weise eingeschleppt worden ist. Hier das Ergebnis der Untersuchungen: Die verseuchten Webspaces hatten unterschiedliche Dokumente ihres korrekten Inhaltes leicht verändert, das Datenvolumen war um zwischen 1 kB und ca 15 kB vergrößert. Ferner hatten diese Sites neue Verzeichnisse angelegt in public_html oder Unterverzeichnissen davon, welche NICHT zum normalen Inhalt der Website gehören. In diesen neuen Verzeichnissen waren teils komplette Software-Anwendungen installiert, sodass der Webspace um bis zu 12 MB mehr Verbrauch zeigte als der erwünschte Inhalt. Die eigentliche Schadware in diesen Verzeichnissen stellte sich als gefälschte Software einer Internet-Anwendung dar (Netbanking, PayPal und andere), um Zugangsdaten zu erschwindeln. Die ursprüngliche Annahme, dass dies nur durch "Hacker" - also mit ausgeforschten Zugangsdaten illegal Eingedrungene - geschehen sein konnte, stellte sich als falsch heraus. Zwar kann auch jetzt nicht ausgeschlossen werden, dass korrekte Zugangsdaten in falsche Hände gelangt sein könnten, der Vorfall an sich konnte jedoch eindeutig auf ganz andere Ursachen zurückgeführt werden. Das eigentliche Sicherheitsrisiko lag eindeutig bei "infizierten" lokalen Computern, möglicher Weise auch Laptops und anderen mobilen Geräten, sowie falsch eingestellten Zugriffsrechten am Server. Der rekonstruierte Ablauf der Schadware-Einschleusung stellt sich so dar: Ein lokaler Computer wird per eMail oder durch Aufruf einer infizierten Website mit einem (uns bisher namentlich nicht bekannten) Virus befallen. Dieser Virus "schläft" auf dem Computer, bis eine FTP-Verbindung zu einem Webspace hergestellt wird. Während die Verbindung besteht, schleust der Virus Schadcode zum Webspace und verändert dort eine Datei index.htm, index.html oder index.php (möglicher Weise auch andere, jedoch konnten wir das bisher nicht verifizieren.) Vermutlich wird als erste Aktion eine kleines Javascript-Programm eingeschleust, welches in der Folge nach Aufruf der Seite weitere Veränderungen vornimmt. Es könnte als erste Aktion ein sogen. "iframe" eingeschleust werden, welcher eine Verbindung zu einem Schad-Server herstellt. (Hier sollten korrekt eingestellte Zugriffsrechte ein nicht überwindliches Hindernis darstellen!) Das Javascript schreibt neuen Code in die vom Server ausgegebene Seite, sodass am Computer des Betrachters anderer Code ankommt, als im Dokument der Seite im Webspace vorhanden ist. Dieser Code enthält weitere Bausteine der Schadware. Auf eine uns derzeit noch nicht bekannte Weise wird über diesen Weg (veränderte Ausgabeseite - Verbindung zum Schadware-Server) ein Zip-Archiv eingeschleust und am Webserver des Kunden gespeichert. (Hier sollten korrekt eingestellte Zugriffsrechte ein nicht überwindliches Hindernis darstellen!) Ein solcher Art eingeschleustes Zip-Archiv enthält die komplette Schad-Software, die per Aufruf des Archivs von einem Browser aus gestartet werden kann. Das Entpacken des Archivs installiert die komplette Schadware. Dieses Szenario setzt folgende Mängel voraus, um zur Infektion des Webspace führen zu können. Der lokale Computer des Kunden (oder eines Beauftragten, der FTP-Recht besitzt) ist mit einem Virus verseucht. Die Zugriffsrechte von Dateien am Server im Webspace-Verzeichnis public_html sind grob falsch eingestellt. ================ Unabhängig davon, ob Ihr Webspace betroffen war, sollten Sie UNBEDINGT folgende Vorkehrungen treffen und dauerhaft wahren: Ihr Computer muss unbedingt mit einem guten Antivirus-Programm, und idealer Weise auch einer Firewall geschützt UND stets auf den aktuellen Stand des Betriebssystem sein. Ich habe persönlich mit "Avast"-AV und "Ashampoo"-Firewall sehr gute Erfahrungen gemacht, beide Anwendungen gibt es für Privatanwender kostenlos. Es gibt allerdings keine Gewähr, dass "normale" AV-Anwendungen eine schon vorhandene Infektion finden und komplett beseitigen können, dafür sind unter Umständen weitere Anwendungen oder sogar komplettes Neu-Aufsetzen des Computer nötig. Beachten Sie bitte unbedingt: Es ist möglich, dass Ihr Computer unerkannter Weise infiziert ist, was so gut wie alle Betriebs-System-Aktualisierungen mehr oder weniger unwirksam macht. Voraussetzung dafür, dass die Betriebssystem-Aktualisierungen wirklich wirksam werden, ist ein "sauberes Ausgangs-System"! WICHTIG: Solange Sie nicht sicher sind, dass Ihr Computer "sauber" ist, versuchen Sie bitte NICHT: (i) ein "Windows-Update" vorzunehmen, (ii) Ihren Webspace zu verwalten Bitte rufen Sie sich ins Bewusstsein, dass die "Zugriffsrechte" auf Verzeichnisse und Dateien eines Webservers SEHR TRIFTIGE Gründe haben! Verzeichniss und Dateien im Verzeichnis public_html und allen Unterverzeichnissen dürfen NIEMALS Schreibrechte für "Welt" haben! Sollten sich dort Dateien mit anderen als Lese-Rechten für "Welt" und "Gruppe" finden, machen Sie sich bewusst, dass diese ein Sicherheits-Risiko darstellen und Sie sich Sorgen um die Sicherheit Ihres Webspace machen müssten. Fragen und Äußerungen zu diesem Thema bitte im Forum beahndeln - http://forum.marketcentral.at Bei Beachtung der "grundlegenden" Sicherheits-Aspekte ist Ihr Webspace sicher wie "in Abrahams Schoß"! ========== Helmut W. Karl Administrator MarketingNet Zu Ihrem Bereich der Selbstverwaltung. (Sie müssen sich mit Teilnehmername und persönlichem Passwort ausweisen.)

MarketingNet Selbstverwaltung

Willkommen im Foyer der Selbstverwaltung

Nachricht vom 18. Dezember 2009:

[MarketingNet] - Bezüglich Schadware in Kundenwebspace

Weitere Nachrichten: Nachrichten-Verzeichnis | vorherige | Neueste | nächste

Diese Nachricht enthält weiterführende Informationen und Erkenntnisse zum Schadware-Vorfall vom 7.12. Sie ist in drei Abschnitte gegliedert:

Bericht über die Ergebnisse
Schilderung des rekonstruierten Vorfalls und der vorgefundenen Mängel
Empfohlene Maßnahmen zur Wahrung der Sicherheit Ihres Webspaces.

==========

In meiner Nachricht vom 7.12. hatte ich die Vermutung geäußert, dass Websites "gehackt" worden seien und mitgeteilt, dass "Schadware" in diesen Sites installiert worden ist.

Eingehende Nachforschungen konnten den Hergang nunmehr klären. Es ist inzwischen sicher, dass keine Websites "gehackt" worden sind, sondern dass die Schadware auf völlig andere Weise eingeschleppt worden ist.

Hier das Ergebnis der Untersuchungen:

Die verseuchten Webspaces hatten unterschiedliche Dokumente ihres korrekten Inhaltes leicht verändert, das Datenvolumen war um zwischen 1 kB und ca 15 kB vergrößert.

Ferner hatten diese Sites neue Verzeichnisse angelegt in public_html oder Unterverzeichnissen davon, welche NICHT zum normalen Inhalt der Website gehören. In diesen neuen Verzeichnissen waren teils komplette Software-Anwendungen installiert, sodass der Webspace um bis zu 12 MB mehr Verbrauch zeigte als der erwünschte Inhalt.

Die eigentliche Schadware in diesen Verzeichnissen stellte sich als gefälschte Software einer Internet-Anwendung dar (Netbanking, PayPal und andere), um Zugangsdaten zu erschwindeln.

Die ursprüngliche Annahme, dass dies nur durch "Hacker" - also mit ausgeforschten Zugangsdaten illegal Eingedrungene - geschehen sein konnte, stellte sich als falsch heraus. Zwar kann auch jetzt nicht ausgeschlossen werden, dass korrekte Zugangsdaten in falsche Hände gelangt sein könnten, der Vorfall an sich konnte jedoch eindeutig auf ganz andere Ursachen zurückgeführt werden.

Das eigentliche Sicherheitsrisiko lag eindeutig bei "infizierten" lokalen Computern, möglicher Weise auch Laptops und anderen mobilen Geräten, sowie falsch eingestellten Zugriffsrechten am Server.

Der rekonstruierte Ablauf der Schadware-Einschleusung stellt sich so dar:

Ein lokaler Computer wird per eMail oder durch Aufruf einer infizierten Website mit einem (uns bisher namentlich nicht bekannten) Virus befallen.
Dieser Virus "schläft" auf dem Computer, bis eine FTP-Verbindung zu einem Webspace hergestellt wird.
Während die Verbindung besteht, schleust der Virus Schadcode zum Webspace und verändert dort eine Datei index.htm, index.html oder index.php (möglicher Weise auch andere, jedoch konnten wir das bisher nicht verifizieren.)
Vermutlich wird als erste Aktion eine kleines Javascript-Programm eingeschleust, welches in der Folge nach Aufruf der Seite weitere Veränderungen vornimmt. Es könnte als erste Aktion ein sogen. "iframe" eingeschleust werden, welcher eine Verbindung zu einem Schad-Server herstellt.

Das Javascript schreibt neuen Code in die vom Server ausgegebene Seite, sodass am Computer des Betrachters anderer Code ankommt, als im Dokument der Seite im Webspace vorhanden ist. Dieser Code enthält weitere Bausteine der Schadware.
Auf eine uns derzeit noch nicht bekannte Weise wird über diesen Weg (veränderte Ausgabeseite - Verbindung zum Schadware-Server) ein Zip-Archiv eingeschleust und am Webserver des Kunden gespeichert.

Ein solcher Art eingeschleustes Zip-Archiv enthält die komplette Schad-Software, die per Aufruf des Archivs von einem Browser aus gestartet werden kann.
Das Entpacken des Archivs installiert die komplette Schadware.

Dieses Szenario setzt folgende Mängel voraus, um zur Infektion des Webspace führen zu können.

Der lokale Computer des Kunden (oder eines Beauftragten, der FTP-Recht besitzt) ist mit einem Virus verseucht.
Die Zugriffsrechte von Dateien am Server im Webspace-Verzeichnis public_html sind grob falsch eingestellt.

================

Unabhängig davon, ob Ihr Webspace betroffen war, sollten Sie UNBEDINGT folgende Vorkehrungen treffen und dauerhaft wahren:

Ihr Computer muss unbedingt mit einem guten Antivirus-Programm, und idealer Weise auch einer Firewall geschützt UND stets auf den aktuellen Stand des Betriebssystem sein.
Ich habe persönlich mit "Avast"-AV und "Ashampoo"-Firewall sehr gute Erfahrungen gemacht, beide Anwendungen gibt es für Privatanwender kostenlos.

WICHTIG

bitte NICHT

Bitte rufen Sie sich ins Bewusstsein, dass die "Zugriffsrechte" auf Verzeichnisse und Dateien eines Webservers SEHR TRIFTIGE Gründe haben!

Verzeichniss und Dateien im Verzeichnis public_html und allen Unterverzeichnissen dürfen NIEMALS Schreibrechte für "Welt" haben!

Sollten sich dort Dateien mit anderen als Lese-Rechten für "Welt" und "Gruppe" finden, machen Sie sich bewusst, dass diese ein Sicherheits-Risiko darstellen und Sie sich Sorgen um die Sicherheit Ihres Webspace machen müssten.

Fragen und Äußerungen zu diesem Thema bitte im Forum beahndeln - http://forum.marketcentral.at

Bei Beachtung der "grundlegenden" Sicherheits-Aspekte ist Ihr Webspace sicher wie "in Abrahams Schoß"!
==========

Helmut W. Karl
Administrator MarketingNet

Zu Ihrem Bereich der Selbstverwaltung. (Sie müssen sich mit Teilnehmername und persönlichem Passwort ausweisen.)