Der heutige Morgen ...

1. offizieller Beitrag
    • Offizieller Beitrag

    ... noch nicht einmal mit Kaffee ausgestattet, erzählte mir mein System heute, dass am Server jemand dran war - und ich lag im Bett. *hm*


    Der Blick in den Source zeigte sehr schnell, dass da was drin war, was nicht (!) reingehört ... und der Schwellkörper mit vier Buchstaben war präsent!!


    Weichgehirne hatten auf irgendeinem Wege (das ist weiterhin nicht ganz klar) mittels FTP-Kommando einen Weg gefunden, Dateien zu ändern - nämlich um das Zeug, was da nicht reingehörte. Betroffen waren offensichtlich nur "index"-Dateien sowie gezielte Dateien im Wordpress-Blog (FOUL).


    Auf der offiziellen Seite von Wordpress (kurz WP) hab ich dann auch schon entsprechende Nachweise dazu gefunden, dass es wohl schon länger kursiert und als "iframe Hack" geführt wird.


    In unserem Falle wäre ein iframe (das ist ein Fenster im Fenster mit eigenem Code zur Ausführung - unabhängig von mir und meinem Zugriff) mit unbekanntem Inhalt aus Russland gefüllt worden. Wir (Partner und ich) tippen auf Werbung oder Phishing - Datenverlust (Source/Daten) schließen wir beide aus.


    Unbekannt bleibt, wie die User Zugangsdaten bekommen konnten bzw. generell den Fuß in die Tür. Der Zugriff selbst erfolge über die tollen USA, Frankreich und Norwegen mittels öffentlichen Proxy-Servern, wodurch eine Untersuchung schwierig wird - aber nicht unmöglich!


    Mein persönlicher Verdacht aufgrund des Ziellandes liegt bei drei Teilen, die von fussball:xxl benutzt werden - darunter auch der neue Chat, FOUL selbst sowie ein Drittanbieter, der eigentlich nichts mit Source für mich zu tun hat, wo es aber gestern eine "Unregelmäßigkeit" gegeben hatte.


    Dass ich natürlich angesäuert bin, wird wohl niemanden verwundern. Es zeigt einfach nur wieder, dass es Weichgehirne gibt, die mit ihrer Zeit nichts besseres anzufangen wissen, als andere Leute und Projekte zu sabotieren ...


    ACHTUNG: Da mein System so einen Mist von selbst ausblendet und ich keinen stillen Alarm o. ä. bekomme, IST JEDER USER ANGEHALTEN, DER ZWISCHEN 03:00 UHR UND 11:45 UHR BEI FUSSBALL:XXL WAR, SEIN SYSTEM AUF MALWARE, SPYWARE VOLLSTÄNDIG ZU TESTEN! Ich übernehme keine Verantwortung für mögliche entstandene oder folgende Schäden oder schlimmer in jedweder Art.


    Ich brauche jetzt erstmal einen Kaffee ... *hm*


    Fazit: Je bekannter man wird, umso eher häufen sich solche Fälle ...

    • Offizieller Beitrag

    Arbeitsplatz unbemerkt kontrolliert


    Gegen 17:10 Uhr das böse Erwachen: Alle Seiten meiner Kunden waren hiervon betroffen - damit liegt das Problem klar auf meiner Seite der Firewall.


    Demnach handelt es sich nicht um einen gezielten Angriff auf diesen Server, sondern den Datendiebstahl direkt von meiner Festplatte aus meiner eigenen Sicherheitshochburg. Wie hier die "Festung" genommen werden konnte, ist weiterhin unklar, von weiterem Schadcode muss ich aber im Betriebssystem ausgehen ...

    • Offizieller Beitrag

    Erneut unerwünschte Änderungen
    Meine Befürchtung hat sich bestätigt und in der vergangenen Nacht wurden erneut Seiten modifiziert - aber nicht rund um fussball:xxl.


    Aktuell bemühe ich mich um Schadensbegrenzung und habe eine Hotline für meine Kunden eingerichtet.


    Da noch nicht alle ihre Zugangsdaten veränadert haben, muss ich hier "Gewehr bei Fuß" stehen und handeln, wenn Änderungen auftreten ...

    • Offizieller Beitrag

    Zur Lage der fussball:xxl Nation ...


    - ja, der Entwicklungsrechner (Client) wurde geknackt
    - ja, ich habe Trojaner, Keylogger und weitere hässlichen Sachen gefunden
    - ja, McAfee hat hier kläglich versagt und diese Dinge erst gemeldet, als ein anderes Tool diese "gescannt" hatte (TrendMicro via Java-Engine; trotz wöchentlicher Voll-Kontrolle)
    - ja, der Source von fussball:xxl ist voraussichtlich gestohlen worden
    - ja, auch meine Kunden von "Public Projects" sind/waren betroffen


    Aktuell läuft weiterhin der Scan von TrendMicro und der hat weitere zwei Keylogger gefunden. Fakt ist, dass Zugangsdaten hier aus dem System entwendet worden sind und mittels FTP-Zugang Seiten manipuliert wurden und eben Schadcode eingefügt wurde.


    Weiterhin ist Fakt, dass ich mich gerade nicht um Support etc. kümmern kann - die Moderatoren beider Bereiche sind um eine Hand-in-Hand Arbeit gebeten. In dringenden Fällen bitte kurz anpiepen und ich bin im Skype verfügbar ...


    Ich bemühe mich aktuell um Eindämmung und Schadensbegrenzung.


    Habt bitte Verständnis dafür, dass ich im Moment mit anderen Dingen sehr viel zu tun habe.


    SF

    • Offizieller Beitrag

    Weitere Scans bringen noch mehr Schrott
    Der Vollscan von nun auch McAfee hat noch weitere "Probleme" ans Tageslicht gebracht. Der aktuelle Scan (derzeit bei rund 65 %) zeigt fünf weitere, aktive Schadcodes ...


    McAfee selbst wurde im Hintergrund umgestellt - so dass viele Dinge nicht mehr protokolliert oder gemeldet wurden. Damit wurde es natürlich viel einfacher, hier was einzuschleusen.


    Nach dem heutigen Tag werde ich wohl wieder Zeit finden, eure Fragen hier im Forum zu beantworten und auch eine Stellungnahme zur "Vereinslage" abzugeben.


    Und: Ich trenne mich in Kürze von XP und wechsel zu einem non-Microsoft Produkt! *Schnauze voll hab* Wenn der Scan gelaufen ist, werde ich entsprechend umziehen ...


    Bitte habt noch ein wenig Geduld!


    SF

    • Offizieller Beitrag

    Zwölf - schlimmer geht's doch jetzt fast nimma, oder doch?!
    Zwölf Dinge, die ich hier nie hätte haben wollen, waren da ... klasse. Woher ist weiterhin unklar ...


    Gestern Abend die erste heiße Spur, da erneut probiert wurde, am Vormittag des gestrigen Tages Änderungen durchzuführen. Der Provider ist informiert zur weiteren Klärung (damit es keiner der Admins war).


    Sobald die Antwort vorliegt, und sofern sie entsprechend ausfällt, gibt es die volle rechtliche Breitseite ... und in der Haut möchte ich nicht stecken.


    Mit dem gewetzten Messer und Zähne fletschend ...


    SF

    • Offizieller Beitrag

    Strike ...
    Es soll niemand sagen, dass man keine Fallen stellen kann ... und prompt tappt einer rein, der in DEUTSCHLAND sitzt.


    Ich habe soeben die Info vom Provider bekommen, dass ich mich unverzüglich mit deren Rechtsabteilung in Verbindung soll. Oh, wie schön ...


    Die Frage lautete, ob eine IP aus deren Hause für administrative Zwecke am gestrigen Tage an "meinem" Server benutzt werden sollte - diese Aufforderung ist meine direkte Antwort, die ich hören wollte.


    Ladies and Gentleman ... das gibt volle Breitseite im Firmennamen!! :thunder:

    • Offizieller Beitrag

    Nachgeschlagen
    Erneut hat jemand mit den einst erbeuteten Zugangsdaten probiert, den Server zu betreten. In Absprache mit meinem Serverpartner konnte ich den Aufenthaltsort ermitteln und bin direkt an den Provider ran, der dafür unvorsichtigerweise genutzt wurde. Demnach eine weitere Spur ...


    Hier ist damit also noch lange keine Ruhe eingekehrt ...

    • Offizieller Beitrag

    WebNX hat geantwortet ...


    Grob übersetzt: Bei weiteren Problemen aus deren Netzwerk sollen wir es melden. Man habe dort bereits am 17.12. die Maschine vom Netz genommen (es wurde dort auch registriert, dass ein Bot eingesetzt wurde). Maßnahmen dererseits folgen ...


    Schön. ;)