[Paccy]

Hallo,

gestern wurde mein Forum www.mpathie-forum gehackt (MyBB 1.8.5 mit SSL Zertifikat, alles up-to-date und mit langen, komplexen Passwörtern, Honeypot, PIN fürs ACP, zusätzlicher .htaccess/.htpasswd fürs ACP.

Es waren offensichtlich Profis mit islamistischem Hintergrund; zumindest wurde ein Defacing der Startseite vorgenommen:

   

Es waren auch weitere Webseiten auf dem Server (ehemals YoPeHo, jetzt von Dogado übernommen) betroffen.

   

https://www.zone-h.org/archive/ip=91.223.141.105

Vermutlich wurde also der Server gekapert.

Ich habe im Moment dazu auch keine Frage; der Hoster ist informiert und wird sich im Laufe des Tages hoffentlich darum kümmern. Ich schreibe das hier, um andere Kunden dieses Hosters zu warnen, beziehungsweise, um andere Betroffene zu finden.
Wie die Hacker vorgegangen sind ist noch unbekannt; aber ich kann zum jetzigen Zeitpunkt nicht ausschließen, dass es über meine Seite war.
Vor zwei Wochen (damals MyBB 1.6.16 ohne SSL) gelang bereits ein Hack in meinen Nutzeraccount, aus dem ich ausgesperrt wurde.
Möglichweise hat die Forensoftware und/oder ein Plugin also ein Leck. Nur mal so als Info, falls jemand Ähnliches bei sich bemerkt hat.

[StefanT]

Es waren offensichtlich Profis mit islamistischem Hintergrund

Ein Profi war das wahrscheinlich nicht; viel eher gab es irgendwo eine gravierende Sicherheitslücke, die sich ohne größeren Aufwand ausnutzen ließ.

Wie die Hacker vorgegangen sind ist noch unbekannt; aber ich kann zum jetzigen Zeitpunkt nicht ausschließen, dass es über meine Seite war.

Normalerweise sollten die Kunden so abgesichert sein, dass durch den Hack eines Kunden die anderen beeinträchtigt werden können. Daher halte ich dieses Szenario für sehr unwahrscheinlich.

[Paccy]

Okay, mein Provider stellt sich dumm und behauptet, dass die Hacker über mein Forum eingedrungen seien. Ich habe vor dem Restore alles gesichert. Wo könnte ich Hinweise dazu finden?

[StefanT]

Die Analyse von Angriffen ist oft sehr kompliziert, Ansatzpunkte sind die Logs (Access-Logs, FTP-Logs,...) und die vorgenommenen Veränderungen.

Okay, mein Provider stellt sich dumm und behauptet, dass die Hacker über mein Forum eingedrungen seien.

Dann frag ihn bitte nach Beweisen. Da mehrere unabhängige Kunden betroffen waren (das darf eigentlich nicht passieren), hat der Hoster deutlich mehr Informationen zur Verfügung und kann sich ein besseres Bild machen. Wenn er sich darauf festlegt, dass es an deiner Website lag, dann sollte er dies anhand von Log-Einträgen oder ähnlichem belegen können. Diese wären nebenbei auch ein Ansatzpunkt für dich.

[Paccy]

Dann frag ihn bitte nach Beweisen. Da mehrere unabhängige Kunden betroffen waren (das darf eigentlich nicht passieren), hat der Hoster deutlich mehr Informationen zur Verfügung und kann sich ein besseres Bild machen. Wenn er sich darauf festlegt, dass es an deiner Website lag, dann sollte er dies anhand von Log-Einträgen oder ähnlichem belegen können. Diese wären nebenbei auch ein Ansatzpunkt für dich.

Tja...gestern schrieb er:

wie es scheint wurden die Dateien die für das Defacement verantwortlich über die Foren-Software eingeschleust. Anhaltspunkte für ein Einschleusen
der Dateien über den Server kann ich an dieser Stelle Ausschließen.

Wie es aber genau zum Einschleusen gekommen ist kann ich leider nicht nachstellen. Als Provider sind wir angehalten in solchen Fällen sofort zu reagieren,
die Webseite zu sperren und Sie unverzüglich zu informieren um damit weiteren Missbrauch zu verhindern und Sie vor möglichen Schadenersatzansprüchen
dritter zu schützen. Dies macht die nachträgliche Recherche, insbesondere wenn zwischenzeitlich Dateien verändert wurden, etwas schwierigen.

In Ihrem Fall standen uns leider nur noch Logfiles zur Recherche zur Verfügung. Hieraus ergab sich jedoch kein eindeutiger Hinweis aus dem hergeleitet werden
konnte wie die Dateien eingeschleust wurden.

Bei andere Kunden auf diesen Server die Ebenfalls der selben Defacement-Attacke zum Opfer gefallen sind konnte aber eindeutig die Ursache geklärt werden. Hier
konnten wir eindeutig den Weg über Sicherheitslücken in den verwendeten Systemen Joomla und Wordpress nachvollziehen. Ein Beispiel wie leicht eine solche Lücke
ausgenutzt werden kann sehen Sie unter folgendem Link, davon war z.B. einer der andern Kunden betroffen:
http://black-cybersec-crew.blogspot.de/2...press.html

Insofern ist mit sehr hoher Wahrscheinlichkeit davon auszugehen, dass auch in Ihem Fall eine Lücke in der Foren-Software ausgenutzt wurde. Den Server haben wir zur
Sicherheit aktuell nochmal intensiv auf eventuelle Sicherheitslücken hin geprüft, konnten aber nicht außergewöhnliches feststellen.

Wenn Ihnen Dateinamen, insbesondere PHP-Datein, aufgefallen sein sollten, können Sie mir diese kurz mitteilen damit ich gezielter in den Logfiles nachschauen kann.
Falls Ihnen das weiter hilft, wir konnten als Ursprungsland für die Hacks der anderen Seiten Russland und der Ukraine identifizieren.

Eine Strafanzeige können wir in solchen Fällen nicht stellen, da Sie als Domaininhaber dies tun müssten. Wir können dann aber auf Anfrage alle nötigen Logfiles zum
Vorgang zur Verfügung stellen und soweit wie möglich Auskunft erteilen um bei der Aufklärung zu unterstützen.

Und auf weitere Bitte um Beweise...

der exakte Zeitpunkt lässt sich leider auch nicht mehr ermitteln, da die infizierten Dateien nicht mehr zur Analyse vorliegen. Insofern kann
ich nur empfehlen das Forum des Herstellers der Software zu nutzen um Informationen zu eventuelle Sicherheitslücken zu erhalten. Eventuell
haben andere Nutzer dieser Software ähnliche Erfahrungen und können mit Tipps weiter helfen.

Wichtig ist es auf jeden Fall alle vom Hersteller zur Verfügung gestellten Updates aktuell zu halten.

Das war's dann wohl. Ich bin kein Experte für so etwas und kann auch mit den Logdateien nur wenig anfangen...

[MrBrechreiz]

Sehr mager was dein Hoster da bieten kann.

Nun mal im Ernst. Wenn es an MyBB liegen sollte, müssten da nicht einige mehr solchen Attacken unterliegen und darauf hier im Support Forum nach Hilfe erfragen ? Klingt für mich eher sehr unwahrscheinlich, da ja auch, wie selbst von deinem Hoster angegeben, es mehrere Seiten gleichzeitig erwischt hat und diese kein MyBB installiert hatten.......

[AnyChat]

So wie der Hoster schreibt, wurden alle Seiten bei ihm einzeln gehackt und das halte ich, gelinde gesagt, für extrem unwahrscheinlich wenn man sich mal anschaut wie viele Seiten gehackt wurden.
Meines Erachtens nach versucht der Hoster die Schuld auf seine Kunden abzuwälzen und zugleich seine Unfähigkeit als Hoster zu verschleiern.

Wenn man dem Hoster auf die Schliche kommen möchte muss man nun eigentlich nur in den Joomla und Wordpress Foren ein wenig suchen ob es da im besagten Zeitraum vermehrt zu Nachfragen kam wegen Sicherheitslücken, denn diese beiden Systeme benennt er ja und sagt, er konnte es dort absolut nachvollziehen wie die Hacker vorgegangen sind.

Sollte sich in den Foren aber nichts finden hast du deine Antwort wo das Problem liegt und solltest schnell den Hoster wechseln.