Frage: Bin ich gehackt worden ?

[Valkyrianer]

Guten Morgen,
ich habe mal eine Frage an die Spezialisten. Als ich heute mein Logfile kontrollierte viel mir folgendes auf.

Jemand hatte es geschafft eine File mit dem Namen xD.php per FTP in meinen Webserver zu plazieren. Ich hänge mal den Printscreen so wie das xD.php drann. Wie kann ich solche Aktionen verhindern ? Mein Passwort war nicht ein null acht fünfzehn Passwort. Kann mir jemand sagen, was die Datei macht ?

Gruß Uwe

PS: xD.php habe ich umbenannt in XD.txt

 

[Matthieu]

Es sieht stark danach aus, die genaue Analyse überlasse ich aber lieber denen, die häufiger mit PHP arbeiten. Aber die Zeile "SkaLFooLD Was Here ." lässt nichts gutes erahnen. Nimm deinen FTP-Server erst mal Offline (Port schließen), ändere dein Passwort und kontrolliere, ob die Automatische Blockierung aktiviert wurde und funktioniert.

MfG Matthieu

PS:Laut Geo-Tool gehört die IP zu Marokko.

 

[randfee]

ja, schaut so aus. Hast du die Passwörter geändert? Welche Firmware-Version betreibst du? Hast du die AutoBlock Funktion aktiviert? Hast du die DS hinter einem Router?

 

[Valkyrianer]

ja, schaut so aus. Hast du die Passwörter geändert? Welche Firmware-Version betreibst du? Hast du die AutoBlock Funktion aktiviert? Hast du die DS hinter einem Router?

Das Password für den User Uwe habe ich sofort geändert. Der Synology 209+ hängt hinter einem Router von Dlink (DIR-855) Hardware Firewall war aktiviert.
Die aktuelle Firmware ist drauf (DSM 3.0-1354) Die Autoblockfunktion ist eingeschaltet. Sie Anhang....Das Password hatte keinen Bezug zu mir oder so....

Gruß Uwe

 

[Matthieu]

Ich glaube er könnte etwas ausgenutzt haben: Du hast den Timer auf 1 Minute gestellt. Wenn er also nur 1 Abfrage pro Minute fährt und dann noch ein Wörterbuch verwendet, könnte er nach ein paar Wochen ein Resultat haben. Wenn er das mit Hunderten von Servern macht, ist auch dieses "paar Wochen" nicht das Problem. Erhöhe die Zeit mal auf 10 oder 15 Minuten.

An die Security-Experten: Gibt es mehr Möglichkeiten, die Herkunft des Angriffs genauer zu spezifizieren? Vlt. steckt ja eine Synology-Lücke dahinter ...

@Valkyrianer: Mach schon mal eine Kopie der Datei /var/log/messages, denn da könnte noch etwas zu finden sein.

MfG Matthieu

 

[Valkyrianer]

Ich glaube er könnte etwas ausgenutzt haben: Du hast den Timer auf 1 Minute gestellt. Wenn er also nur 1 Abfrage pro Minute fährt und dann noch ein Wörterbuch verwendet, könnte er nach ein paar Wochen ein Resultat haben. Wenn er das mit Hunderten von Servern macht, ist auch dieses "paar Wochen" nicht das Problem. Erhöhe die Zeit mal auf 10 oder 15 Minuten.

An die Security-Experten: Gibt es mehr Möglichkeiten, die Herkunft des Angriffs genauer zu spezifizieren? Vlt. steckt ja eine Synology-Lücke dahinter ...

@Valkyrianer: Mach schon mal eine Kopie der Datei /var/log/messages, denn da könnte noch etwas zu finden sein.

MfG Matthieu

Ja mache ich, schicke sie dir als PN oder Email. Warte auf einen guten Bekannten, der mir das Logfile ausliest. Ich selber bin zu doof für Linux.

Gruß Uwe#

 

[Wessix]

Bruteforce

Hi, bin zwar hoffenttlich noch nicht gehackt worden, aber seit kurzem nehmen die sogenannten "Bruteforce" attacken auf meine DS immens zu, habe machmal 3 Angriffe pro Stunde Tendenz steigend.
Irgendwie steigt in mir das Bedüfnis, es solchen Pennern irgendwie heimzahlen zu können. Gibt es denn da irgend ne Möglichkeit, sei es auf dem Rechtsweg oder eben auch auf anderen Wegen. ?
Klar eigentlich hat man mit dem versuchten Login noch nichts verbrochen, aber die Absichten sind ja wohl klar.


Mfg Wessix

 

[jahlives]

Hi, bin zwar hoffenttlich noch nicht gehackt worden, aber seit kurzem nehmen die sogenannten "Bruteforce" attacken auf meine DS immens zu, habe machmal 3 Angriffe pro Stunde Tendenz steigend.
Irgendwie steigt in mir das Bedüfnis, es solchen Pennern irgendwie heimzahlen zu können. Gibt es denn da irgend ne Möglichkeit, sei es auf dem Rechtsweg oder eben auch auf anderen Wegen. ?
Klar eigentlich hat man mit dem versuchten Login noch nichts verbrochen, aber die Absichten sind ja wohl klar.

Und wie willst du dein "Recht" international durchsetzen? Die meisten solchen Scriptkiddies hängen irgendwo in der Welt. Bei mir kommen sie häufig aus Russland und China.
Problematisch ist auch, dass du dem Inhaber der IP böse Absicht nachweisen müsstest. Denn der Computer könnte auch mit Malware verseucht sein, ohne Wissen des Besitzers.
Ich würde mir darüber nicht allzuviele Gedanken machen, denn rechtlich kannst du nicht viel machen. Halte dich an den guten Grundsatz: Komplexes Passwort, das regelmässig geändert wird. Zusätzlich die Logs regelmässig angucken und Blockiermethoden (wie z.B. Autoblock im DSM) verwenden. Für 90% der Scriptkiddies reicht es wenn du den einen anderen externen Port für ssh verwendest.
@topistarter
Wenn ich mir das Script so schnell angucke, dann schaut mir das nach einem Webmailer aus. Könnte man zum Rumspammen missbrauchen.
Beim Durchschauen konnte ich jedoch nichts erkennen, wo versucht würde auf Systemfiles zuzugreifen oder Rechte auszuweiten. Auch scheint es keinen Weg zu geben Remotekommandos auszuführen. Alles in allen hast du imho Glück gehabt, da hätte man dir üblere Scripte hochladen können
Du musst aber auf jeden Fall umgehend die Passworte aller User, die auch FTP Zugriff haben, ändern. Am besten eh gleich ALLE! Kontrollier ob du noch weitere solche verdächtigen Files hast

 

[Valkyrianer]

Wenn ich mir das Script so schnell angucke, dann schaut mir das nach einem Webmailer aus. Könnte man zum Rumspammen missbrauchen.
Beim Durchschauen konnte ich jedoch nichts erkennen, wo versucht würde auf Systemfiles zuzugreifen oder Rechte auszuweiten. Auch scheint es keinen Weg zu geben Remotekommandos auszuführen. Alles in allen hast du imho Glück gehabt, da hätte man dir üblere Scripte hochladen können
Du musst aber auf jeden Fall umgehend die Passworte aller User, die auch FTP Zugriff haben, ändern. Am besten eh gleich ALLE! Kontrollier ob du noch weitere solche verdächtigen Files hast

Also wenn ich es schaffen würde, so eine Datei, wie die xD.php zu installieren, würde ich mir erst mal per Fileanhang die .htaccess zu schicken.
Da kann schon interessantes drin stehen. (Passwörter) Wie auch immer, es bereitet mir Unbehagen, wenn jemand mein Privates ausspioniert.

Gruß Uwe

Hier noch einmal eine Liste der vermutlichen Angriffe.

 

[Super-Grobi]

Vielleicht hilft es auch sich einen neuen DDNS Namen zuzulegen, so ist man dann für den Angreifer nicht mehr zu finden. ok, auch für Bekannte, Verwandte und Freunde nicht, aber die kann man ja benachrichtigen....

Grüße

 

[Matthieu]

@SuperGrobi: Die Angriffe gehen gegen die IPs und nicht die DDNS-Adressen. Die kennen auch die IP nicht, sondern probieren einfach welche IP momentan online ist. Aufgrund des IP-Mangels sind das aktuell ziemlich viele.

@Valkyrianer: Eigentlich sollten PWs in htaccess-Dateien "verschlüsselt" vorliegen. Ansonsten machst du etwas falsch ...

MfG Matthieu

 

[jahlives]

Also wenn ich es schaffen würde, so eine Datei, wie die xD.php zu installieren, würde ich mir erst mal per Fileanhang die .htaccess zu schicken.
Da kann schon interessantes drin stehen. (Passwörter) Wie auch immer, es bereitet mir Unbehagen, wenn jemand mein Privates ausspioniert.

Was will man denn mit der .htaccess? Steht ja "nur" unwichtiges Webserverzeugs drin. Gefährlicher wären Scripte die versuchen sich ans Filesystem zu machen und aus dem Webserververzeichnis ausbrechen wollen. Oder Scripte die irgendwas aus dem Internet nachladen.
Und wenn in der .htaccess selber Passworte drin stehen bist du auch ein bissl selber schuld Die gehören in eine Datei die nicht über die URL erreicht werden kann

 

[Super-Grobi]

@SuperGrobi: Die Angriffe gehen gegen die IPs und nicht die DDNS-Adressen. Die kennen auch die IP nicht, sondern probieren einfach welche IP momentan online ist. Aufgrund des IP-Mangels sind das aktuell ziemlich viele.

Ja, gebe Dir im Prinzip recht, aber was in diesem Fall aus meiner Sicht dagegen spricht:

a) google kennt "xD.php", was mich annehmen lässt, dass es nicht massenweise unter /web/ abgelegt wurde, also niemand ist, der grad tausende Rechner infiziert.

b)Wie wäre der denn vorgegangen?
Scann IP-Bereich: 21
Wörterbuch Attacke Name "uwe" ????
und Wörterbuch Attacke auf das Password...
also zumindest "uwe" wird der doch gewusst haben müssen, oder irgendwie anders raus bekommen haben müssen, ansonsten versucht man es mit root, ftp, admin, administrator, aber sicher nicht mit "uwe"
was mich vermuten lässt, dass der Angreifer den "uwe" irgendwie kennt...

c) Namensgebung "xD.php".
Würde man normalerweise doch schlauer verstecken oder?
auch hier glaub ich, dass dem uwe da einer eins auswischen will

Und von daher würde das diese Art von "Angreifer" schon abschütteln....

Grüße

 

[Valkyrianer]

Was will man denn mit der .htaccess? Steht ja "nur" unwichtiges Webserverzeugs drin. Gefährlicher wären Scripte die versuchen sich ans Filesystem zu machen und aus dem Webserververzeichnis ausbrechen wollen. Oder Scripte die irgendwas aus dem Internet nachladen.
Und wenn in der .htaccess selber Passworte drin stehen bist du auch ein bissl selber schuld Die gehören in eine Datei die nicht über die URL erreicht werden kann

So hatte ich das.....

AuthName "Titel"
AutType "Basic"
AuthUserFile "volume1/web/pass/xy-ungelöst.pw"
require valid-user

@Super Grobi, schau die die Seite www.scharoll.eu an, dann weiste wie er auf meinen Namen gekommen ist. Wie sagt man so schön, "Lebenserfahrung ist die Summe alle Missgeschicke."

 

[Super-Grobi]

ja, ok ..... (hmmm, ich sollte bei mir auch mal suchen glaub ich....)

Außerdem hab ich glaub ich SkaLFooLD gefunden

http://www.formspring.me/SkaLFooLD



Grüße

 

[jahlives]

So hatte ich das.....

AuthName "Titel"
AutType "Basic"
AuthUserFile "volume1/web/pass/xy-ungelöst.pw"
require valid-user

Genau darum sollte die xy-ungelöst.pw nicht unterhalb von /volume1/web liegen

 

[goetz]

Hallo,
Namenslisten durchgehen ist aber wirklich üblich

Nov 29 07:28:03 zrzsp8 sshd[4004]: Invalid user victor from 74.63.222.75
Nov 29 07:28:03 zrzsp8 sshd[4006]: reverse mapping checking getaddrinfo for 75-222-63-74.reverse.lstn.net [74.63.22
2.75] failed - POSSIBLE BREAK-IN ATTEMPT!
Nov 29 07:28:03 zrzsp8 sshd[4006]: Invalid user anne from 74.63.222.75
Nov 29 07:28:04 zrzsp8 sshd[4008]: reverse mapping checking getaddrinfo for 75-222-63-74.reverse.lstn.net [74.63.22
2.75] failed - POSSIBLE BREAK-IN ATTEMPT!

und davon könnte ich Tonnen liefern.

Gruß Götz

 

[Super-Grobi]

Hi Goetz,

aber bekommt der Hacker denn nur für den Namen irgend eine ok/nok Rückmeldung? Ich hoffe doch mal nicht, das gehört ja nun zum ganz kleinen 1x1 da nichts zurückzugeben.

Die Chancen auf gut Glück ein Password und einen Namen richtig zu treffen sind doch richtig (mit verlaub) Scheiße. Da kann man ja eigentlich fast Mitleid mit dem Hacker bekommen Erstaunlich dass sich das überhaupt ab und zu ausgeht....

Teil des Problems hier ist sicher auch, dass auf der Homepage eine ganze Menge Infos Preisgegeben werden:
- Die Vornamen
- der Nachname
- die Webadresse
- Das eine Synology Ds209+ für den Blog verwendet wird.
nach kurzem suchen.

Nur über die Webadresse ist dann ja ein länger andauernder Angriff überhaupt realisierbar, der eine Neuanmeldung des Routers beim Provider übersteht. Denn mit den 1440 Anmeldungen/Tag bei 1 Anmeldung/Minute kommt man ja nicht weit. Meine Fresse, wie lange muss der schon probiert haben, selbst wenn er das Maximum von 5 Anmeldungen / Minute ausgenutzt hätte...

Kann denn hier jemand genug php um mal sagen zu können was dieses script denn nun wirklich macht, und wie es überhaupt aufgerufen würde?

Grüße

 

[itari]

Ich hab jetzt nur oberflächlich durchgelesen, aber mir scheint es, dass am Thema vorbei diskutiert wird. Es ging um den FTP-Zugang und zwar unverschlüsselt, welcher ja wohl auch wohl vom Topic-Starter verwendet wird. Da kann man ja das Kennwort wohl auch im Klartext mitschneiden, oder?

Ganz allgemein sollte man sich überlegen, wozu die DS im Internet da ist. (Eigentlich ja nur als Web/Mail-Server). Und niemand braucht einen offenen administrativen Fernzugriff wirklich, und wenn, dann kann man den auch immer mit VPN absichern.

Es ist auch keine Schande sich speziell fürs Web eine DS anzuschaffen und die so einzurichten, dass es auch keine/kaum Nebeneffekte hat, wenn sie gehackt wird.

Itari

 

[jahlives]

Also das Script ein ein Mailscript, welches via URL und Post Formular Eingaben übernimmt. Das ruf ich auf, gebe die Maildetails mit und das Script bläst eine Mail raus.
Wie gesagt versuchte Filesystemzugriffe konnte ich ned ausmachen. Auch kein Versuch irgendwelche Software nachzuladen