Ratlos: Nur so am Rande

Nur mal so am Rande:

Mein Webspace bei Evanzo wurde gehackt und auf der Indexseite ein Trojanerloader hinterlegt.

Ich vermute mal stark aufgrund eines Sicherheitsproblems bei Evanzo. Behaupten will ich das aber nicht, da sich das wohl kaum noch klären läßt. Wie sollte sonst jemand an mein Passwort gelangt sein?

Telefonisch (ab 10 Uhr) kein Durchkommen. Fax und E-Mail geschickt. Reaktion nach 1 1/2 Tagen in etwa:

Sie sind für Ihren Account alleine verantwortlich. Strafanzeige müssen Sie selbst stellen. Alle weiteren Informationen nur bei staatsanwaltschaftlichem Ersuchen.

Kooperation mit einem Provider habe ich mir anders vorgestellt.

Ist das normal oder erwarte ich einfach nur zuviel?

Der Ratlose

  1. Hello,

    Sie sind für Ihren Account alleine verantwortlich. Strafanzeige müssen Sie selbst stellen. Alle weiteren Informationen nur bei staatsanwaltschaftlichem Ersuchen.

    Mein Rat: Strafanzeige mit möglichst genauer Beschreibung der _Beobachtungen_, aber keinesfalls der Vermutungen (!) bei der zuständigen Fachgruppe des zuständigen LANDESKRIMINALAMTes stellen, keinesfalls bei Deiner nächsten Polizeistation.

    Die Antwort des Providers hinzufügen und die _Frage_ stellen, wie Du denn sicher sein könntest, dass der Provider einen eventuellen fehler nicht einfach unter den Tisch kehrt.

    Aber zuvor noch einige Fragen:

    Betreibst Du auf Deinem Webspace ein aktives Backend?
    Hast Du eine Upload-Funktion für Files?
    Betreibst Du einen Mail-Service?
    Hast Du ein CMS installiert? Wenn ja, welches?

    usw.

    Also sei Dir klar darüber, dass man Dir hi9er erst guten Rat geben kann, wenn Du alles soweit offen legst. Bitte aber keine Domain nennen!

    Liebe Grüße aus dem Cyberspace

    Tom vom Berg

    --
    Nur selber lernen macht schlau
    http://bergpost.annerschbarrich.de
  2. Hello,

    Nur so am Rande: Vorschlag zum Themenwechsel

    Liebe Grüße aus dem Cyberspace

    Tom vom Berg

    --
    Nur selber lernen macht schlau
    http://bergpost.annerschbarrich.de
  3. Hallo,

    Ich vermute mal stark aufgrund eines Sicherheitsproblems bei Evanzo. Behaupten will ich das aber nicht, da sich das wohl kaum noch klären läßt.

    Würde ich so nicht sagen. Für sowas gibt es eigentlich Log-Files, da kann man oftg schon relativ viel rauskriegen.

    Sie sind für Ihren Account alleine verantwortlich. Strafanzeige müssen Sie selbst stellen. Alle weiteren Informationen nur bei staatsanwaltschaftlichem Ersuchen.

    Prinzipiell erstmal richtig. Wenn auf Deinem Account z.b. irgendwelche Software läuft, die Du dort installiert hast, ist es auch dein Problem dafür zu sorgen, dass sie sicher ist. Falls Du einen Root-Server hast, gilt das besonders - dann obliegt die komplette Sicherheit des Systems eigentlich Dir.
    Dennoch...

    Kooperation mit einem Provider habe ich mir anders vorgestellt.

    ...sehe ich das genauso wie Du. Zumindest prüfen könnten sie, ob sie was machen können. Oder Dir (ggf. dann halt gegen Bezahlung) Support anbieten.
    Das wäre kundenorientiert.

    Ist das normal oder erwarte ich einfach nur zuviel?

    Leider musste ich auf der Arbeit mit einem Hoster (1&1) die Erfahrung auch schon machen. Eine Software lief auf einen Schlag nicht mehr, Hoster spielte den Ahnungslosen ("Root-Server, sie müssen den warten, Ihre software, Ihr Problem, da können wir nix machen").
    Erst als ich selber in Logfiles gewühlt habe und ihnen anhand des Logs einen Festplattenfehler nachweisen konnte, hat man sich gnädigerweise der Sache angenommen und die Platte ausgetauscht - entschuldigt hat man sich nie, Anfragen bezgl. Stellungnahmen gaben nur pampige Antworten.

    Da bleibt leider nur der Providerwechsel (war dann auch unsere Konsequenz).

    Viele Grüße,
    Jörg

    1. Moin Moin!

      »» Ich vermute mal stark aufgrund eines Sicherheitsproblems bei Evanzo. Behaupten will ich das aber nicht, da sich das wohl kaum noch klären läßt.

      Würde ich so nicht sagen. Für sowas gibt es eigentlich Log-Files, da kann man oftg schon relativ viel rauskriegen.

      Wenn der Angreifer sich ausreichend Privilegien verschaffen konnte, sind die Logfiles weg, leer, oder wertlos.

      In jedem Fall: Aktuellen Stand SICHERN, und zwar möglichst auf einem Write-Once-Medium (CD-R / DVD-R, ggf. kombiniert mit Papier). Möglichst den gesamten Server bzw. Account, aber mindestens Document-Root, Alias-Verzeichnisse, Script- und CGI-Verzeichnisse, Server-Config, Logfiles, und die genauen Versionen aller beteiligten Programme incl. Betriebssystem.

      »» Sie sind für Ihren Account alleine verantwortlich.

      Klingt für mich nicht nach einem Root- oder V-Server, daher ist es um so wichtiger, die OS- und Server-Versionen zu dokumentieren. Es ist nicht auszuschließen, dass der Provider veraltete Software einsetzt, die bekannte Sicherheitslücken hat. System-Administration kostet, daran spart ein kurzsichtiger Manager gerne mal. Und wenn dem wirklich so ist, hat es der Provider verbockt.

      »» Strafanzeige müssen Sie selbst stellen. Alle weiteren Informationen nur bei staatsanwaltschaftlichem Ersuchen.

      »» Kooperation mit einem Provider habe ich mir anders vorgestellt.

      ...sehe ich das genauso wie Du. Zumindest prüfen könnten sie, ob sie was machen können. Oder Dir (ggf. dann halt gegen Bezahlung) Support anbieten.
      Das wäre kundenorientiert.

      Und teurer, weil man qualifizierte Techniker statt fachfremde Abwimmler braucht.

      »» Ist das normal oder erwarte ich einfach nur zuviel?

      Leider musste ich auf der Arbeit mit einem Hoster (1&1) die Erfahrung auch schon machen. [...] Da bleibt leider nur der Providerwechsel (war dann auch unsere Konsequenz).

      Sehe ich auch so. Lieber klein und fein statt Massenhoster. Kostet vielleicht ein paar Euro mehr, dafür hat man aber freundliche und kompetente Ansprechpartner statt Textblock-Auswürfler und fachfremde Erstsemester-Stundenten an der Hotline.

      Alexander

      --
      Today I will gladly share my knowledge and experience, for there are no sweeter words than "I told you so".
  4. hi,

    Kooperation mit einem Provider habe ich mir anders vorgestellt.

    Solche Provider hatte ich auch.

    Ist das normal oder erwarte ich einfach nur zuviel?

    Mach'n KK und Du kannst Dich wieder über andere Dinge ärgern.

    Bis zum Nächstenmal ;)
    Hotte

    --
    Hier könnte eine Signatur stehen.
    1. Lieber hotti,

      Solche Provider hatte ich auch.

      ja, auch ich habe Evanzo hinter mir ('ne betreute Website, die ich schleunigst habe umziehen lassen).

      | Ist das normal oder erwarte ich einfach nur zuviel?

      Mach'n KK und Du kannst Dich wieder über andere Dinge ärgern.

      Auch ich rate zu diesem Schritt. Leidvolle Erfahrungen muss man nicht mit jedem Hoster machen...

      Liebe Grüße,

      Felix Riesterer.

      --
      ie:% br:> fl:| va:) ls:[ fo:) rl:° n4:? de:> ss:| ch:? js:) mo:} zu:)
      1. Auch ich rate zu diesem Schritt. Leidvolle Erfahrungen muss man nicht mit jedem Hoster machen...

        Deshalb sollte man z.b. bei webhostlist vorbei schauen - wo die nicht mal gelistet sind.

        Wobei der Anbieter mittlerweile einem größeren gehört: http://www.webhostlist.de/provider/nachrichten/98067-1blu-AG-kauft-Mitbewerber-Evanzo.html was aber nicht unbedingt ein Qualitätsmerkmal ist. (und die Ergebnise im Forum bei webhostlist klingen nicht sonderlich gut)

        Struppi.

  5. Das war einfach nur ein billiger kleiner Webspace HTML und eine Flash Datei. Nichts mit eigenem Server oder ähnlichem. Naja, Kündigung ist raus.

    1. Achso, da gibt es noch ein Verzeichnis conf auf das ich als Normalsterblicher keinen Zugriff habe, wenn ich das richtig in Erinnerung habe, weil da die Konfiguraitonsdateien vermutlich liegen.

      Das wurde auch verändert und ich habe keinen Zugriff auf dieses Verzeichnis.

      Das spricht doch dafür, dass eine Sicherheitslücke bei Evanzo vorliegt, oder kann ich mit HTML, ein wenig php und flash so ein Einfallstor schaffen, dass jemand Zugriff auf dieses Verzeichnis bekomme?

      1. Das spricht doch dafür, dass eine Sicherheitslücke bei Evanzo vorliegt, oder kann ich mit HTML, ein wenig php und flash so ein Einfallstor schaffen, dass jemand Zugriff auf dieses Verzeichnis bekomme?

        Ja, mit wenig php durchaus

        Struppi.

        1. Moin Moin!

          »» Das spricht doch dafür, dass eine Sicherheitslücke bei Evanzo vorliegt, oder kann ich mit HTML, ein wenig php und flash so ein Einfallstor schaffen, dass jemand Zugriff auf dieses Verzeichnis bekomme?

          Ja, mit wenig php durchaus

          Und da hilft auch kein Providerwechsel, wenn nachher wieder die gleiche Scriptsammlung zum Einsatz kommt. PHP ist leider mehr auf schnelle Ergebnisse als auf sicheren Umgang mit Daten getrimmt. Es soll möglich sein, in PHP sichere Programme zu schreiben, aber das setzt sehr genaue PHP-Kenntnisse und viel Erfahrung voraus. Billig-Hoster mit antiken und vermurksten PHP-Installationen machen die Sache nicht besser. #1039 gilt natürlich auch für PHP.

          Alexander

          --
          Today I will gladly share my knowledge and experience, for there are no sweeter words than "I told you so".