Fremdzugriff auf Webserver

[Max84]

Hallo zusammen

Mein Homepageanbieter hat mir mitgeteilt, dass in letzter Zeit sehr viel Traffic verursacht wurde. Ich habe veranlasst, dass er der Sache mal auf den Grund gehen soll. Es kam heraus, dass Bilder mit pornografischem Inhalt auf meiner Seite über FTP hochgeladen wurden.

Folgendes teilte mir mein Anbieter mit:

"....im Verzeichnis www/htdocs/ ist ein Unterverzeichnis namens /start_files/ angelegt, in dem verschiedene Bilddateien mit pornografischen Inhalten abgelegt sind. Diese Inhalte wurden in den letzten Wochen massiv aufgerufen, so dass durch diese Aufrufe der Traffic erzeugt wurde.

Sie hatten kritische PHP-Optionen bisher bzw. seit 06.08.2011 wie folgt eingestellt:

enable_register_globals - aktiv / ON
enable_safe_mode - inaktiv / OFF
allow_url_fopen - aktiv / ON"

Kann mir einer plausibel erklären, was das alles bedeutet? Ich habe mich seit über einem halben Jahr nicht mehr über FTP eingeloggt und die Zugangsdaten sind auch nur mir bekannt....

 

[oneOeight]

was für PHP software hast du denn sonst so installiert?

register_globals sollte man abschalten, da es eine sicherheistlücke ist.
das sind halt globale variable in PHP, aber manche ältere PHP programme laufen dann nicht.

safe_mode ist seit 5.3.0 deprecated, d.h. sollte man eh nicht mehr benutzen.
welche PHP version ist denn auf dem server?

jedenfalls wird sich halt einer über eine lücke zugriff verschafft haben, eventuell auch neue benutzer für ftp angelegt haben oder macht das ganze über php...

 

[Schnapfel]

Ich glaube, man muß hier zwischen "Webserver" und "FTP Zugang" unterscheiden. Der Webserver ist, so weit ich weiß, nur zum lesen da, während man beim FTP-Zugang auch Dateien hinaufladen kann. Wenn man letzteres nicht unbedingt braucht, bietet sich aus Gründen der Sicherheit der Webserver an.

 

[mdiehl]

Ist das Dein Homepageanbieter oder Dein (V-)Serveranbieter?
Wenn Du eine Homepage hast dann frage mal den Anbieter, warum er diese Sicherheitslücken nicht geschlossen hat und mache ihm Ärger.
Wenn Du einen vServer oder Server hast bleib ganz ruhig und überlege, ob es sinnvoll ist ohne einen Verantwortlichen für Sicherheitsupdates einen Server direkt am Internet zu betreiben

 

[Pingu]

Der Webserver ist, so weit ich weiß, nur zum lesen da, während man beim FTP-Zugang auch Dateien hinaufladen kann.

Und wie lädst Du dann beispielsweise hier bei MacUser Dateien hoch, wenn er nur zum lesen ist? Schon mal von PUT gehört?

 

[Max84]

Werde Morgen gleich mal nachsehen, welche php-Version vorhanden ist.

Das ist mein Homepageanbieter.

Vielen Dank für die Hinweise!

 

[mdiehl]

Wenn das Dein Homepageanbieter ist, hast Du i.d.R. gar nicht die Möglichkeit die PHP-EInstellungen zu ändern und er ist für den Einbruch verantwortlich. In dem Fall würde ich dringend über einen Wechsel nachdenken. Es ist ja toll wenn die Dir Schwachstellen aufzeigen für die sie selbst verantwortlich sind

 

[Schnapfel]

@ Pingu: PUT? Nie gehört. Wenn ich etwas zum Download anbieten will, lege ich es auf den Webserver, wo man es herunter laden kann. Es ist aber nicht möglich, auf diesem Wege mal eben etwas auf meinen Server zu laden.

 

[Max84]

Wenn das Dein Homepageanbieter ist, hast Du i.d.R. gar nicht die Möglichkeit die PHP-EInstellungen zu ändern und er ist für den Einbruch verantwortlich. In dem Fall würde ich dringend über einen Wechsel nachdenken. Es ist ja toll wenn die Dir Schwachstellen aufzeigen für die sie selbst verantwortlich sind

Ich hab damals meine Homepage auf den FTP Server geladen, das war´s. Kenne mich nicht mal mit PHP aus..... Echt komisch

 

[nightcoding]

@ Pingu: PUT? Nie gehört. Wenn ich etwas zum Download anbieten will, lege ich es auf den Webserver, wo man es herunter laden kann. Es ist aber nicht möglich, auf diesem Wege mal eben etwas auf meinen Server zu laden.

[OT]Doch ist möglich. Sonst würde kein Upload im Internet funktionieren. Mit Grundlagen von HTTP wüsste man das.[/OT]

@Max84

Wenn dein Homepageanbieter dir einen FTP-Zugang stellt ist er für dessen Sicherheit verantwortlich. Abgesehen davon, dass FTP heutzutage nicht mehr verwendet werden soll, weil es eben unverschlüsselt ist und jeder mit ein wenig Ahnung das Passwort auslesen kann, ist dein Anbieter für die Sicherheit verantwortlich.

An Deiner Stelle würde ich deinen Anbieter höflich aber bestimmt darauf hinweisen, dass er so schnell wie möglich die Sicherheit wieder herstellen soll und in Zukunft mehr darauf achten soll. Seriöse Anbieter melden sich übrigens i.d.R. bei solchen Vorkomnissen gar nicht bei dir, sondern sperren zu aller erst den Account und melden sich dann.

Du hast nichts falsch gemacht, dich trifft auch keine Schuld, denn dein Anbieter ist in diesem Fall verantwortlich. Das wäre etwas anderes, wenn du einen V-Server oder dedizierten Server hättest.

Viele Grüße
Martin

 

[knud]

Ich hab damals meine Homepage auf den FTP Server geladen, das war´s. Kenne mich nicht mal mit PHP aus..... Echt komisch

ist da wordpress mit im spiel?

 

[Max84]

@resolutionM

Vielen Dank für die Info! Ist das rechtlich so geregelt?

@knud

Nein, ich hab´s damals mit Flash FXP hochgeladen

 

[nightcoding]

@resolutionM

Vielen Dank für die Info! Ist das rechtlich so geregelt?

Nicht direkt bzw. explizit auf Webhosting-Unternehmen zugeschnitten, aber wenn dir jemand eine Leistung anbietet und die nicht frei von Mängeln ist (beeinträchtigte Sicherheit z.B.) ist das definitiv gesetzlich geregelt.

Wie gesagt, jeder seriöse Webhoster sperrt normalerweise bei zu schnellem und zu hohen Trafficanstieg sofort den Account, um Schlimmeres zu vermeiden. Wenn du bei dem Provider (kannst du mir den mal per PN schicken?) nur ein Webhosting-Paket hast, ist er für die Sicherheit zuständig. Im Vertrag müsste das auch drin stehen. Notfalls sogar in den AGB.

Viele Grüße
Martin

 

[Pingu]

Naja ich denke die Frage, die sich hier stellt ist: Was hast Du (@Max84) als Deine Website hoch geladen?

War das einfach eine statische Website, die Du offline erstellt hast und dann hochgeladen hast?
War das ein dynamisches System aus ausführbaren Dateien wie Wordpress, Joomla oder ähnliches?
Im letzteren Fall, hast Du auch die Sicherheitsupdates eingespielt?

 

[Max84]

Naja ich denke die Frage, die sich hier stellt ist: Was hast Du (@Max84) als Deine Website hoch geladen?

War das einfach eine statische Website, die Du offline erstellt hast und dann hochgeladen hast?
War das ein dynamisches System aus ausführbaren Dateien wie Wordpress, Joomla oder ähnliches?
Im letzteren Fall, hast Du auch die Sicherheitsupdates eingespielt?

Die Seite habe ich Offline mit Web to Date erstellt und dann über FTP hochgeladen

 

[Pingu]

Dann ist es eindeutig, dass Dein Anbieter für die Sicherheit verantwortlich ist. (Ich hoffe Du hast auch nur ein Homepage-Paket und bist nicht eigener Herr über den (virtuellen) Server mit eigenen Rechten und Pflichten.)

 

[Dalgliesh]

An Deiner Stelle würde ich deinen Anbieter höflich aber bestimmt darauf hinweisen, dass er so schnell wie möglich die Sicherheit wieder herstellen soll und in Zukunft mehr darauf achten soll. Seriöse Anbieter melden sich übrigens i.d.R. bei solchen Vorkomnissen gar nicht bei dir, sondern sperren zu aller erst den Account und melden sich dann.

Das würde ich erst einmal eher nicht machen. Insbesondere dann nicht, wenn einem 1. ernsthaft an einer Lösung gelegen ist und 2. unklar ist, wer Schuld hat. Wenn der TE, wie er schreibt, noch nicht einmal weiß, was PHP *ist*, kann er meines Erachtens nicht sicher sein, daß der Fehler nicht doch bei ihm gelegen hat.

Aber selbstverständlich kann man auch die Holzhammermethode anwenden und sich nachher einen neuen Web-Hoster suchen. Kann man machen, klar.

P.S.: Ich würde annehmen, daß der Angreifer die PHP-Optionen verändert hat, wenn Du es nicht warst. Kann es sein, daß jemand an Dein Paßwort gekommen ist? Zum Beispiel, daß Du ein viel zu einfaches Paßwort genommen hast oder das gleiche Paßwort noch woanders verwendet hast oder Du auf eine Phishing-Mail hineingefallen bist?

 

[wegus]

Grund gehen soll. Es kam heraus, dass Bilder mit pornografischem Inhalt auf meiner Seite über FTP hochgeladen wurden.

Folgendes teilte mir mein Anbieter mit:

"....im Verzeichnis www/htdocs/ ist ein Unterverzeichnis namens /start_files/ angelegt, in dem verschiedene Bilddateien mit pornografischen Inhalten abgelegt sind. Diese Inhalte wurden in den letzten Wochen massiv aufgerufen, so dass durch diese Aufrufe der Traffic erzeugt wurde.

Sie hatten kritische PHP-Optionen bisher bzw. seit 06.08.2011 wie folgt eingestellt:

enable_register_globals - aktiv / ON
enable_safe_mode - inaktiv / OFF
allow_url_fopen - aktiv / ON"

Ein Upload via FTP bedeutet, dass diejenigen das FTPUser-Paßwort kennen. Das ist zunächst mal zu ändern.
Darüber hinaus ist zu mutmaßen dass hier ein CMS genutzt wird, dass vielleicht auch den Upload über ein Einbruchsscript ermöglicht hat. Das CMS sollte auf den neuesten Stand gebracht werden - ggf. nach bestehenden Sicherheitslücken suchen. Die gibt es eigentlich immer - das ist meist die Kerhseite von CMSen.

register_globals MUSS heut zu Tage aus sein, sollte der Provider machen und Dein CMS sollte das nicht überschreiben können.

Der safe_mode ist uninteressant

allow_url_fopen würde ich deaktiveren lassen, so lange Dein CMS das nicht zwingend braucht.

 

[nightcoding]

Das würde ich erst einmal eher nicht machen. Insbesondere dann nicht, wenn einem 1. ernsthaft an einer Lösung gelegen ist und 2. unklar ist, wer Schuld hat. Wenn der TE, wie er schreibt, noch nicht einmal weiß, was PHP *ist*, kann er meines Erachtens nicht sicher sein, daß der Fehler nicht doch bei ihm gelegen hat.

Aber selbstverständlich kann man auch die Holzhammermethode anwenden und sich nachher einen neuen Web-Hoster suchen. Kann man machen, klar.

Ich hab nie von der Holzhammer-Methode gesprochen, das ist nicht meine Art. Aber so wie ich das sehe: der TE hat ein einfaches Webhosting-Paket, eine statische Homepage und kein CMS. Darüber hinaus macht der Anbieter ihn für den Fehler verantwortlich, wo er offensichtlich nichts dafür kann. Für mich ist einfach der Anbieter unseriös, denn alleine im eigenen Interesse hätte er schon längst den Account sperren müssen und ihn nicht auch noch darauf hinweisen müssen, was an den PHP-Einstellungen falsch ist, zumal man die in einfachen Webhosting-Angeboten sowieso nicht ändern kann.

Wie gesagt, in meinen Augen ist hier der Anbieter verantwortlich. Klar kann das FTP-Passwort in falsche Hände geraten sein, aber das ist bei FTP auch kein großer Akt, da FTP wirklich unsicher ist und heutzutage eigentlich nicht mehr verwendet werden soll.

Mein Vorschlag: FTP-Passwort ändern und dem Anbieter eine Mail schreiben, dass er die entsprechenden PHP-Einstellungen ändern soll.

Viele Grüße
Martin

 

[Max84]

@ Pingu
Jepp, das ist ein Homepage Paket.

@Dalgliesh

Das Passwort ist keinem ausser mir bekannt. Auf eine Pishingmail bin ich auch nicht reingefallen, dafür sitz ich schon zu lange vor´m Computer Mir liegt es an einer ernsthaften Lösung weil ich keine Lust darauf hab, dass ich für den Inhalt der Bilder verantwortlich gemacht werde......

@wegus
register_globals war anscheinend AN. Wie gesagt, ich hab von PHP absolut keine Ahnung...

@resolution M
Mein Anbieter hat die Einstellungen nachdem ich ihn auf den erhöhten Traffic aufmerksam gemacht habe geändert. Warum er das im Vorfeld nicht gemacht hat weiß ich auch nicht. Das FTP Passwort wurde auch geändert.