Registrieren  •  Login 
  
 
im Forum




Blog-Übersicht -> CERT.at - Defacement auf froonix.com Blogs, die ich lese: Vorläufiges Ende :: Schnelltest: MOO.com - 50 Free Business Cards
CERT.at - Defacement auf froonix.com
Verfasst am: 21.07.2010, 10:51   Autor: killerbees19
Mit diesem Betreff flatterte heute eine E-Mail in meinen Posteingang. Zuerst wollte ich sie schon ungelesen als Spam löschen, aber nach Begutachtung des E-Mail Headers entschied ich mich doch noch, sie erst einmal zu anzusehen. Worum es vermutlich geht, war mir schon bewusst, bevor ich die Mail überhaupt öffnete. Jemand verstand die Startseite von froonix.com wieder einmal nicht und schreibt mir jetzt etwas Nettes...

Genau so war es dann auch, nur ging das ganze auch gleich als Kopie an meinen Hoster Rolling Eyes
Die ganze E-Mail ist am Ende des Beitrages sichtbar, die will ich euch nicht vorenthalten.

Ich habe für solche Warnungen durchaus Verständnis und bin mir gerade durch so eine "spezielle" Startseite auch bewusst, dass es zu Missverständnissen führen kann. Das passierte auch nicht erst einmal, noch nie aber gleich mit einer Meldung an meinen Hoster. Das Spielchen "Hack it again?" verstehen manche Nutzer einfach nicht und empfinden es nicht als Spaß oder lustigen Platzhalter. Gut, damit muss ich leben. Deshalb gibt es seit mehr als einem Jahr in der anderen oberen Ecke den Link "WTF is that?" und diese Erklärung hat bisher noch JEDER/JEDE Person verstanden. Nur nicht CERN.at - Gratulation zu dieser tollen Leistung!

Wie geschrieben, ich bin für solche Meldungen durchaus dankbar. Aber wenn man sich schon die Mühe eines (automatisierten?) Screenshots macht, dann sollte es doch wenigstens möglich sein, einmal die ganze Website mit ihren <20 Wörtern (!) komplett zu lesen. Das hätte durchaus kürzer gedauert als die E-Mail Bausteine zusammen zu setzen. Diese Aktion stößt bei mir also einmal nicht auf Zustimmung. Ich hoffe einmal mein Hoster versteht die Website und reagiert nicht genau so. Eine Antwort an CERT.at und meinen Hoster netcup verschickte ich bereits, ich bin gespannt, ob da überhaupt noch eine Antwort kommt...

Achja: Und Danke für zehn verlorene Minuten meines Lebens, die ich brauchte, um die E-Mail(s) zu beantworten!
Nachfolgend noch die originale E-Mail, ungekürzt und unzensiert - nur den Screenshot erspare ich mir Wink

CERT.at via RT hat Folgendes geschrieben:
(English version below)

Sehr geehrtes Abuse-Team, sehr geehrte Damen und Herren!

Sie erhalten dieses Mail, da sie einer der eingetragener Ansprechpartner
für Belange der Domain froonix.com sind.

CERT.at stieß beim routinemäßigen Durchsuchen einschlägiger
Webseiten und -Foren auf einen Hinweis, daß auch ihre Website Opfer
eines "Defacements" wurde. Beim Aufruf der Adresse
sahen wir, dass dies zutrifft (siehe Screenshot im Anhang).
Aktuell wird www.froonix.com auf 188.40.248.248 gehostet.

Wir möchten sie daher bitten, diese Seite dringend anzusehen und
geeignete Maßnahmen zu treffen.

Defacement (engl. für "Entstellung" oder "Verunstaltung")
bezeichnet das unberechtigte Verändern einer Website. Defacement ist
eine Form von Webvandalismus und in vielen Fällen recht harmlos.

Bitte beachten sie, daß im betroffenen Webserver unter Umständen
auch andere Schadsoftware installiert sein könnte. Das heißt, es
reicht in diesen Fällen nicht, nur die Seiten wiederherzustellen,
auch etwaige Schadsoftware sollte entfernt sowie das ursprüngliche
Sicherheitsproblem gelöst werden.

Abhilfe
-------
In der Regel ist ein erster Schritt, sicherzugehen, daß der Angreifer
die Webseite nicht nochmals verändern oder in das System eindringen
kann, während sie die Originalseite wieder herstellen. Im Notfall
empfehlen wir, den Webserver sogar kurzfristig vom Netz zu nehmen.

Als nächsten Schritt empfehlen wir, zu analysieren, _wie_ das
Defacement entstanden ist. Überprüfen sie auch bitte die
Berechtigungen und die Version Ihrer Webseitensoftware. Häufig sind es
Sicherheitslücken in Content-Management-Systemen (zB Joomla, Wordpress,
typo3, phpbb ...), die dem Angreifer ein solches Eindringen ermöglichen.

Abschließend empfehlen wir, den Originalzustand der Website vom letzten
nicht veränderteten Backup wieder herzustellen, alle verwendete
Software auf aktuellen Stand zu bringen und gegebenenfalls die
relevanten Paßwörter zu ändern. Bitte überprüfen sie dabei auch, ob
die Backups in dem gewünschten Zustand sind.

Erst nachdem sichergestellt ist, daß der Angreifer nicht über die
selbe Sicherheitslücke wieder eindringen kann, sollte die Seite wieder
in Betrieb genommen werden.

Abschließende Schritte
----------------------
Bitte lassen sie uns wissen, ob sie das Problem lösen konnten - so
können auch wir den Fall abschließen, bzw. versuchen, ihnen weitere
Unterstützung zu geben.

Über eine kurze Rückmeldung, ob diese Benachrichtigung für sie
hilfreich war, und ob sie das Problem lösen konnten, würden wir uns
freuen.

Hintergrund
-----------
Zitat aus http://de.wikipedia.org/wiki/Defacement:

Defacement (engl. für "Entstellung" oder "Verunstaltung")
bezeichnet das unberechtigte Verändern einer Website.

Meistens betrifft Webvandalismus die Einstiegsseite. Normalerweise
werden Sicherheitslücken in Webservern ausgenutzt oder Passwörter
durch Methoden wie Brute Force oder Social Engineering herausgefunden.
Ähnlich wie in der Graffitiszene werden von denjenigen, die
die Verunstaltungen durchgeführt haben, Bilder oder Sprüche
hinterlassen. Diese veränderten Seiten bleiben in verschiedenen
Archiven zu besichtigen.

(Siehe auch: wikipedia
http://en.wikipedia.org/wiki/Website_defacement )

Über CERT.at
------------
CERT.at ist das österreichische nationale CERT (Computer Emergency
Response Team).

Als solches ist CERT.at der Ansprechpartner für IT-Sicherheit im
nationalen Umfeld. Es vernetzt andere CERTs und CSIRTs (Computer
Security Incident Response Teams) aus den Bereichen kritische
Infrastruktur, IKT (Informations- und Kommunikationstechnologie)
und gibt Warnungen, Alerts und Tipps für KMUs (kleine und mittlere
Unternehmen) heraus.

Bei Angriffen auf Rechner auf nationaler Ebene koordiniert CERT.at und
informiert die jeweiligen Netzbetreiber und die zuständigen lokalen
Security-Teams.

Diese Nachricht erging an Sie, da wir den Auftrag haben, die
Gesamtsicherheit und den Nutzen des Internets in Österreich
zu fördern, und daher auch proaktiv versuchen, von möglichen
Sicherheitsproblemen zu erfahren und bei der Lösung derselben zu
helfen.

----------------------------------------------------------------------

Dear correspondent,

you get this mail because you are one of the registered contacts for
the domain froonix.com .

While routinely searching through relevant websites and online forums,
CERT.at found hints that your domain fell victim to a "defacement".

From http://en.wikipedia.org/wiki/Website_defacement :
------------------------------------
A website defacement is an attack on a website that changes the visual
appearance of the site. These are typically the work of system crackers,
who break into a web server and replace the hosted website with one of
their own.

A message is often left on the webpage stating his or her pseudonym and
the output from "uname -a" and the "id" command along with "shout outs"
to his or her friends. Sometimes the Defacer makes fun of the system
administrator for failing to maintain server security. Most times the
defacement is harmless, however, it can sometimes be used as a
distraction to cover up more sinister actions such as uploading malware.
------------------------------------

We tried to open the address
http://www.froonix.com/
in a web browser (see attached screenshot) and to us it looks like the
actual content is probably not what you want to display.

Please investigate yourself and take appropriate measures.

Kind regards,
CERT.at


Die sollten sich vielleicht auch einmal an die neue deutsche Rechtschreibung gewöhnen Razz


MfG Christian

Dieser Beitrag wurde insgesamt 1 mal geändert. Zuletzt am 21.07.2010, 10:53.


Autor Nachricht
killerbees19
Administrator & Rennleitung
Administrator & Rennleitung



Geschlecht: Männlich
Anmeldedatum: 09.05.2006
Wohnort: Wien (Mariahilf)

Beiträge: 19699
Danke: 1308


BeitragVerfasst am: 21.07.2010, 14:20    Titel:

Mittlerweile kam auch schon eine Antwort von CERT.at Wink

CERT.at via RT hat Folgendes geschrieben:
Sg Hr. Schroetter,

angesichts der hohen Anzahl an Website-Defacements ist uns eine Pruefung
bis ins letzte Detail und zum letzten Link leider nicht immer moeglich.

Wir ersuchen, den Fehl-Alarm zu entschuldigen und nehmen ihre Seite in
unsere "False-Positive"-Liste auf.

mfg,
***** *****
CERT.at
 
Nach oben
Benutzer-Profile anzeigen killerbees19 ist derzeit offline
Na wer bin ich wohl
Gast







BeitragVerfasst am: 02.08.2010, 15:17    Titel:

Zitat:
Achja: Und Danke für zehn verlorene Minuten meines Lebens, die ich brauchte, um die E-Mail(s) zu beantworten!

Ich denke in deinem Leben hast Du schon viel mehr Zeit mit noch blödsinnigeren Dingen vergeudet oder ?
 
Nach oben
killerbees19
Administrator & Rennleitung
Administrator & Rennleitung



Geschlecht: Männlich
Anmeldedatum: 09.05.2006
Wohnort: Wien (Mariahilf)

Beiträge: 19699
Danke: 1308


BeitragVerfasst am: 02.08.2010, 15:21    Titel:

Na wer bin ich wohl hat Folgendes geschrieben:
Ich denke in deinem Leben hast Du schon viel mehr Zeit mit noch blödsinnigeren Dingen vergeudet oder ?

Ja, um Beiträge von anonymen "Na wer bin ich wohl" zu lesen Zwinker / Razz


MfG Christian
 
Nach oben
Benutzer-Profile anzeigen killerbees19 ist derzeit offline
eYeWoRRy
Gast







BeitragVerfasst am: 26.11.2010, 23:15    Titel: LOL

Eig. witzig, aber sehr übertrieben - oh mann *kopfschüttel*

Btw - hab sicher nen Acc hier, weiß nur grad das PW ned Razz
 
Nach oben


 

Verwendete Zeitzone: CET (Europe/Berlin)
Aktuelles Datum & Uhrzeit: 11.12.2024, 02:23
Nach oben
Valid HTML 4.01 Transitional
Valid CSS!

Hosted by netcup
 
 
[ happytec.at | blog.happytec.at | forum.happytec.at | esports.happytec.at ]