Anzeige:
Profihost
  1. Lieber Besucher,

    wir dürfen Dich in unserem Webhosting-Forum herzlich begrüßen.

Alle Domains auf einem Managed Server gehackt - Schwachstelle beim Provider?

Dieses Thema im Forum "Managed Server" wurde erstellt von Alex4WAG, 15 Dezember 2014.

  1. Alex4WAG

    Alex4WAG Guest

    Hallo miteinander,

    ich bin neu hier und muss mich nach ein paar problemlosen Jahren wieder neu beschäftigen mit dem Thema Webhosting und Manged Server.

    Ich bin leider kürzlich Opfer eines Hackerangriffes geworden und bräuchte mal eine Einschätzung dieses Angriffs von Profis.
    Auf unserem Managed Server von Hosteurope laufen zwei XTC-modified Shops (veraltet: V1.02) auf unterschiedlichen Domains in unterschiedlichen Verzeichnissen. Außerdem läuft noch ein privater Wordpress-Blog, dessen Startseite aber passwortgeschützt und nur einem sehr kleinen Nutzkreis zugänglich ist. Auf einer Domain lag noch ein Uploadify-Skript in einem Verzeichnis, das ein möglicherweise unsicheres Uploadskript enthielt - allerdings nur Eingeweihten zugänglich (ohne Passwort).

    Auf allen Domains wurde in sämtlichen PHP-Skripten wie index.php, main.php, header.php usw. Code einfegügt der einen Server in Russland kontaktiert. Außerdem wurde auf einer Domain eine Downloadseite für Raubkopien in einem vorhandenen Verzeichnis angelegt. Die Links dazu waren PHP-Dateien, die dann von irgendwoher die Dateien geladen haben. Den Zugriffszeitpunkt habe ich ermittelt aus dem Änderungszeitpunkt der genannten PHP-Dateien. Allerdings gab es zu dieser Zeit keinerlei Einträge im FTP-Logfile. In dem Verzeichnis der Hacker-Downloadseite wurde das Datum aller (auch bestehender) Dateien auf ein Datum VOR Installation der Website gesetzt. Ich denke dieser Eingriff erfordert gewisse Rechte auf einem Server, die ein Hacker von außen nicht haben dürfte.

    Meine Frage ist nun: können Hacker über eine Sicherheitslücke in einem Onlineshop oder in einem Uploadskript solch einen Zugriff auf einen Server erlangen, oder ist die Schwachstelle eher beim Provider zu vermuten?
     
    ratiokontakt GmbH gefällt dies.
  2. ratiokontakt GmbH

    ratiokontakt GmbH Hosting-Anbieter

    Beiträge:
    39
    Zustimmungen:
    6
    Punkte für Erfolge:
    8
    Hallo Alex4WAG,

    ja, erfahrungsgemäß sind es quasi immer die Shop-/Content Management Systeme, die die Schwachstelle aufweisen. Gerade xtc:modified und Joomla 2.x sind hier immer wieder mit dabei. In den access_logs ist dann fast immer direkt zu dem Zeitpunkt, an dem auch die hochgeladenen / modifizierten Dateien das Änderungsdatum aufweisen, ein oder mehrere POST-Requests gegen die Webseite zu sehen, bei denen dann der Einstieg selbst erfolgt ist. Erkennt man an den kryptischen Übergabeparametern an den Shop.

    Sein Shop-/CMS-System aktuell zu halten ist das A und O. Alle Systeme werden ständig aktiv angegriffen, und als Seitenbetreiber empfiehlt es sich wirklich, hier immer up to date zu bleiben und Sonderanpassungen an CMS-Systemen - wenn sie sich nicht ganz vermeiden lassen - so zu gestalten, dass sie Updates möglichs stressfrei überleben. Das gleiche gilt für selbst gebaute Templates.

    Zusätzlich gibt es auch eine ganze Reihe an Plugins von zweifelhaften Programmiererbuden, die beispielsweise über ihr SEO-Plugin, das sie gratis anbieten, auch gleich noch ein paar Werbemails in eigenem Interesse absetzen - oder schlimmeres. Die Plugin-Auswahl sollte also auch gewissenhaft erfolgen, d.h. "einschlägig bekannte" Plugins eher verwenden als ungewartete. Ähnlich wie ja z.B. auch auf dem Smartphone, wo es im App-Store auch dutzende nicht-ganz-so-saubere Apps gibt.
     
    Mercator1972 gefällt dies.
  3. rapid-host.de

    rapid-host.de Premium Webhoster

    Beiträge:
    335
    Zustimmungen:
    11
    Punkte für Erfolge:
    18
    Da kann ich ratiokontakt GmbH nur zustimmen meistens sind es Plugins und Co. die zu einem Hack führen
     
  4. Alex4WAG

    Alex4WAG Guest

    Vielen Dank für Euere Antworten.
    Die Updates waren dann mein Fehler. Die Shopsysteme wurden individuell angepasst, so dass alle Updates höhere Kosten verursachten. Irgendwann haben wir das dann bleiben lassen, da die neuen Features nicht interessant genug waren. An die Sicherheit habe ich nicht gedacht.
     
  5. rapid-host.de

    rapid-host.de Premium Webhoster

    Beiträge:
    335
    Zustimmungen:
    11
    Punkte für Erfolge:
    18
    Na dann muss man sich nicht wundern, da wurde am falschen Ende gespart.
     
  6. HostingTime

    HostingTime Hosting-Anbieter

    Beiträge:
    120
    Zustimmungen:
    1
    Punkte für Erfolge:
    18
    Oder auch einfach System / Module die nicht geupdated werden.

    *wordpress*
     
  7. devnull

    devnull Neues Mitglied

    Beiträge:
    1
    Zustimmungen:
    0
    Punkte für Erfolge:
    1
    Hallo zusammen,
    ich hänge mir hier gerade mal dran, da ich exakt das gleiche Problem habe.
    Ich kann mir einfach nicht vorstellen, dass es nicht möglich sein soll, Websites so abzuschotten, dass der Server selbst und andere Websites nicht von einem Hack betroffen sind. Wie machen das die großen Hostinganbieter? Da werden doch nicht gleich hunderte Seiten lahmgelegt weil einer sein System nicht auf dem aktuellen Stand hält. o_O

    Freue mich auf eure Meinung.
     
  8. Mercator1972

    Mercator1972 Premium Webhoster

    Beiträge:
    174
    Zustimmungen:
    5
    Punkte für Erfolge:
    18
    Hallo devnull,

    na betroffen sind in einem solchem Fall in der Regel nur Webseiten des selben Accounts.
    Sollte eine einzele Webseite dafür verantwortlich sein, daß andere Kunden betroffen sind, macht der Hoster in den meisten Fällen etwas falsch.

    Problematisch ist der Kunde, der für zig Webseiten, das selbe nicht geupdatete CMS verwendet. Der wundert sich, daß alle seine Seite gehackt werden.

    Liebe Grüße

    Thomas
     
Anzeige:

_

Hosttalk Logo
© by hosttalk.de
Powered by hosttest.de