Schon wieder gehackt... :(

[Basti]

Ja, wie man der Überschrift vielleicht schon entnehmen kann, wurde meine Seite gestern bzw. heute morgen ganz früh schon wieder gehackt.

Diesmal war der Hacker aber etwas "erfolgreicher", weil er sogar in meine Domainverwaltung etc. gekommen ist und Email-Adressen usw. gelöscht hat.

Zum Glück war ich zu diesem Zeitpunkt noch online und konnte meinem Support noch Bescheid sagen, die Passwörter zu ändern, sodass der Hacker erstmal gestoppt wurde.

Trotzdem war der Schaden ernorm, meine ganze MySQL Datenbank wurde gelöscht und viele Dateien verändert.
Im Moment habe ich sogar keine Lust mehr, meine Seite weiter zu betreiben, da dies schon der zweite Hackerangriff in zwei Wochen war, so langsam nehme ich das schon persönlich.
Ich verstehe einfach nicht, warum es solche unnützen Leute gibt die die Arbeit von anderen zerstören möchten.
Auf jeden Fall fühlt man sich nach einem solchen Angriff komisch, ähnlich wie bei einem Einbruch ^^. Man kommt sich mit seinen Seite ja nicht mehr sicher vor.

Ich weiß noch nicht, wie es jetzt mit meiner Homepage weitergeht, da ich einfach noch nicht so viel in Sachen Sicherheit lernen konnte und Hacken ja immer leichter ist als Sicherheitsvorkehrungen zu erstellen.

Habt ihr vielleicht noch ein paar Tipps für mich? Könnte Hilfe auf jeden Fall gebrauchen.

Meine Seite wird jetzt wohl erstmal länger down sein, da ich wohl noch mehr lernen muss um gegen die Hackerangriffe geschützt zu sein.

[Manuel]

Hi du!

Das tut mir leid. Das ist uns ja auch passiert, wo die Seite dann erstmal eine Woche lang down war. Natürlich gibt es Möglichkeiten ein System sicherer zu machen und sich zu schützen. Ich kann dir die Tage nach meinen Klausuren gerne mal aufschreiben, was ich für wichtig in Dingen Sicherheit halte. Vielleicht könnte man daraus auch ne Art Workshop machen, wo sich mehr Leute einbringen und bei dem wir einfach Themen verteilen und jeder ein Thema ausarbeitet und sich darüber informiert, so dass alle etwas davon haben. Denn Sicherheit fängt bei der eigenen Seite an und hört beim Server auf, denn der ist ebenso wichtig. Dafür hat Markus ja schon ein paar kleinere Dinge für die Shell geschrieben, die wichtig sind und die man beachten sollte, wenn man einen eigenen Server betreibt.

Aber wie gesagt, wenn da Interesse besteht gehen wir sowas gerne mal alle zusammen durch. Ich fänds jedenfalls klasse, sich dann da auszutauschen, denn jeder kann etwas dazu lernen und wie wichtig Sicherheit ist, ist nur den wenigsten klar...ich brauche mittlerweile 50% mehr Zeit für meine Scripte, da ich auf Sicherheit achte und alles absichere...sonst wäre Vieles so viel einfacher und schneller gemacht.

Lg,
Manuel

[Basti]

Die Idee mit dem Workshop finde ich super. Ich habe anfangs die Sicherheit auch ein wenig unterschätzt, da man als Betreiber einer privaten Seite denkt, nicht so "interessant" für potentielle Angreifer zu sein.

Ich habe mich zwar schon seid dem letzten Angriff mit dem Thema beschäftigt, aber wie man sieht, hat es ja nicht gereicht. Und als mehr oder weniger Anfänger in diesem Bereich weiß man ja gar nicht, worauf man alles achten sollte und welche Sicherheitsvorkehrungen helfen usw.

Deshalb fände ich so einen Informationsaustausch wie gesagt super

[Lukas]

Oh mann, manche Leute haben echt nichts zu tun...

Aber wie kommt der denn über deine Seite in die Domainverwaltung?
Da braucht man doch normal ein extra Passwort und müsste den Server vom Provider hacken oder?

[Basti]

Aber wie kommt der denn über deine Seite in die Domainverwaltung?
Da braucht man doch normal ein extra Passwort und müsste den Server vom Provider hacken oder?

Ich habe bei meinem Betreiber eine "Verwaltungssoftware", über die ich so Sachen wie MySQL Datenbanken, Email Adressen und eben die Domains verwalten (aber keine neue registrieren) kann.
Das ganze ist natürlich extern und ich habe auf meiner Seite auch nirgends angegeben, wo ich hoste.
Irgendwie hat derjenige aber doch den Weg dorthin gefunden, und dann natürlich viel Schaden anrichten können.
Ab jetzt habe ich aber für alle Bereiche ein anderes Passwort, damit man, wenn man ein Passwort hat, nicht Zugang zu anderen Bereichen hat.

[Rene]

rausfinden wo man hostet ist kein Problem.

Aber ehrlich gesagt, versagt da auch ein wenig dein Hoster, wenn man so einfach in das panel eindringen kann.

bei wem bist du den.
Schon einmal an einen Umzug gedacht?

lg

[Basti]

Aber ehrlich gesagt, versagt da auch ein wenig dein Hoster, wenn man so einfach in das panel eindringen kann.
lg

Das Problem war ja, dass ich überall das gleiche Passwort verwendet habe, und somit hatte der Hacker dann auch das Passwort für das Panel.

Wie ist das denn bei anderen Hostern?

[iudexone]

Hi,
also das tut mir wirklich leid für deine Seite!

Also ich denke mal er hat irgendwie dein Passwort herausgefunden und konnte sich dann überall einloggen. Entweder ein Script war nicht sicher von dir, und er konnte das Passwort auslesen (ist es in der Datenbank gespeichert gewesen?) oder er hat eine Bruteforce Attacke auf deinen Hoster Login oder Seiten Login verübt.

Alles andere schließe ich erstmal aus.

Also das ist wichtig:

- Lange und schwierige Passwörter verwenden. Ab 16 Stellen würde ich empfehlen. Das dauert bei einer Bruteforce Attacke dann sehr lange zu knacken.

- Verschiedene Passwörter wählen, denn wenn jemand ein Passwort herausbekommt hat er nur eingeschränkte Kontrolle. Auch nicht in jedem Forum oder Seite das gleiche Passwort wählen, sonst ist die Gefahr groß, dass eine Seite gehackt wird und die dein Passwort in die Finger bekommen.

- Passwörter nur verschlüsselt speichern, z.B. mit einem md5 Hash.
Falls er eine Schwachstelle findet und in deine Datenbank kommt, hat er nur den Hash. Den kann er aber bei einem langen Passwort wahrscheinlich nicht herausbekommen, somit ist der Hash wertlos.

- Bruteforceschutz programmieren. Überall wo man sich bei dir einloggen kann, sollte ein solcher Schutz vorhanden sein. Wenn sich jemand 3 Mal falsch einloggt wird der Zugang für 10min gesperrt.


Du solltest deinen Hoster mal fragen ob die vielleicht seine IP geloggt haben, und dann kannst du überlegen ob du weitere Schritte gehen willst. Ich würde versuchen mir über die Logs irgendwie seine IP zu erkämpfen, dann würde ich seine IP tracen. Jetzt hast du seinen ungefähren Wohnort. Überlege ob es jemanden gibt der dich nicht mag in diesem Gebiet. Denn ich glaube nicht das jemand eine Private Seite zweimal zerstört, ohne einen Grund zu haben.


Edit: Ich würde darüber ein Tutorial schreiben wenn es einige interessieren würde.

[Basti]

Danke für die ausführliche Antwort.

Die Bruteforce Attacke bei meinem Hoster ist auszuschließen, da der eine Sperre drinne hat, aber bei mir werde ich es dann wohl auch noch einsetzen.

Ich habe jetzt alle meine Passwörter mit 15 Zeichen benutzt und für jeden Login ein anderes genommen, um eben das zu verhindern, was du angesprochen hast.

md5() benutze ich auch, werde es aber wahrscheinlich dann noch vielseitiger einsetzen.

Da ich Zugriff auf die Log-Dateien habe, habe ich auch seine IP. Wie kann ich denn feststellen, von welcher Region das ungefähr stammt? Gibt's da eine Seite o.ä. für? Wär nämlich schon interessant.

// edit: Hab mal ein bisschen bei Google gesucht. Also anscheinend kam der Hacker aus Österreich, zumindest ist sein Provider dort. Somit kann ich Leute aus meinem Bekanntenkreis ausschließen; die wären von ihren Fähigkeiten sowieso nicht in der Lage dazu

Das mit dem Tutorial ist sicher ein gute Idee, wobei man das besser aufteilen sollte, also in mehrere Bereiche. Manuel hat ja auch schon vorgeschlagen, so eine Art Workshop zu machen, wo dann alle die Interesse haben mit arbeiten

[iudexone]

Okay dann weißt du schonmal das es wahrscheinlich niemand aus deinem Freundeskreis war.

Er kann natürlich auch einen Proxy verwendet haben. Das mit dem Tutorial werde ich mir mal überlegen, und nächste Woche mal mit Mau absprechen.

[Lukas]

Ist eigentlich OT aber egal:

Wenns keiner in deinem Bekanntenkreis ist, dann bestimmt ein CS Spieler mit kleinem Pimmel der jetzt bei seinen Freunden damit prahlt

[klobrille]

Ist eigentlich OT aber egal:

Wenns keiner in deinem Bekanntenkreis ist, dann bestimmt ein CS Spieler mit kleinem Pimmel der jetzt bei seinen Freunden damit prahlt

[mobi81]

Autsch das tut mir echt leid. Schon das zweitemal aua

Hi,
Also das ist wichtig:

- Lange und schwierige Passwörter verwenden. Ab 16 Stellen würde ich empfehlen. Das dauert bei einer Bruteforce Attacke dann sehr lange zu knacken.

- Verschiedene Passwörter wählen, denn wenn jemand ein Passwort herausbekommt hat er nur eingeschränkte Kontrolle. Auch nicht in jedem Forum oder Seite das gleiche Passwort wählen, sonst ist die Gefahr groß, dass eine Seite gehackt wird und die dein Passwort in die Finger bekommen.

- Passwörter nur verschlüsselt speichern, z.B. mit einem md5 Hash.
Falls er eine Schwachstelle findet und in deine Datenbank kommt, hat er nur den Hash. Den kann er aber bei einem langen Passwort wahrscheinlich nicht herausbekommen, somit ist der Hash wertlos.

- Bruteforceschutz programmieren. Überall wo man sich bei dir einloggen kann, sollte ein solcher Schutz vorhanden sein. Wenn sich jemand 3 Mal falsch einloggt wird der Zugang für 10min gesperrt.

Also das mußt aufjedenfall beachten , dann ahst du schon mal einen sehr guten Schutz.
Dann schaue auch deine Codes durch nicht das er dadurch an das Mysql passwort kam.

[wkud]

Hi,

das ist natürlich immer ärgerlich.
Der Weg war vermutlich über das Forensystem selbst.
Denn phpBB ist teilweise wirklich sehr löchrig...
Ich empfehle dir den RSS-Feed von http://www.securityfocus.com zu abonnieren.
Dann bist du über alle Lücken immer auf dem laufenden. Evtl. gibt's auch nen phpBB-Feed zu solchen Infos.

Nicht die Hoffnung aufgeben!

[iudexone]

Er hatte glaube ich gar nicht ein phpBB installiert gehabt oder?