User Tag List

Seite 2 von 2 ErsteErste 12
Ergebnis 26 bis 30 von 30

Thema: Security Bulletin

  1. #26
    Admin Avatar von Bernd Glasstetter
    Registriert seit
    03.2000
    Ort
    Waldshut-Tiengen
    Beiträge
    28.864
    Mentioned
    53 Post(s)
    Tagged
    1 Thread(s)
    Blog-Einträge
    43
    Wir haben weiter recherchiert. Wir vermuten, daß wir mit dieser Meldung durchaus einen Zusammenhang herstellen können: http://www.heise.de/security/news/meldung/69855 auch wenn die aufgespielten Trojaner andere Namen hatten. Jedenfalls ist die XMLRPC-Lücke eine glaubhafte Schwachstelle, die vermutlich auch bei Photopost existierte.

    Vorkommnis: Derweil hatten wir heute nacht mal wieder eine sehr massive Bruteforce-Attacke. Über 1.300 versuchte SSH-Zugriffe innerhalb von 10 Minuten. Interessanterweise diesmal von einem Server in Deutschland. Betroffen ist hier ein Server Firma www.e-comnet.de . Wir haben bereits Kontakt mit ihnen aufgenommen. Der Serveradmin wird leider einen nicht so schönen Tag haben.

    Sicherheitseinstufung: Normalerweise niedrig. Aber wir sind in erhöhter Alarmbereitschaft und das kann auch durchaus im Zusammenhang mit der Attacke vom 18.02. gestanden haben.

  2. #27
    Admin Avatar von Bernd Glasstetter
    Registriert seit
    03.2000
    Ort
    Waldshut-Tiengen
    Beiträge
    28.864
    Mentioned
    53 Post(s)
    Tagged
    1 Thread(s)
    Blog-Einträge
    43
    http://rpg.comicforum.de war in der Nacht vom 28.3. auf den 29.3. gehacked worden. Dabei wurde die Konfigurationsdatei überspielt und damit auch eine Meldung eingefügt. Die Site funktionierte danach nicht mehr.

    Das Hacking wurde heute morgen entdeckt und die Site vorläufig offline genommen. Eine erste erste forensische Analyse hat einiges in den Log-Dateien hervor gebracht, das es uns vor allen Dingen in diesem Fall ermöglicht eine Anzeige zu erstatten. Denn der Hacker war so leichtsinnig und hat eine Statische IP-Adresse per DSL der Telekom in der Türkei benutzt. Er hat etliche Log-Einträge hinterlassen, die uns außerdem zu einer Hackersite geführt haben, auf der das Hacking auch noch promoted wurde!

    Wir haben die Telekom in der Türkei angeschrieben und aufgefordert demjenigen den DSL-Zugang zu sperren. Wird da nicht innerhalb von 24 Stunden reagiert werden wir auch Anzeige gegen die Telekom Türkei stellen.

    Die Sicherheitslücke beschränkte sich auf zu umfangreiche Zugangsrechte zu der Konfigurationsdatei. Das ist jetzt auch behoben und wird kein Problem mehr darstellen.

  3. #28
    Admin Avatar von Bernd Glasstetter
    Registriert seit
    03.2000
    Ort
    Waldshut-Tiengen
    Beiträge
    28.864
    Mentioned
    53 Post(s)
    Tagged
    1 Thread(s)
    Blog-Einträge
    43
    Heute einmal etwas aus dem Bereich der Prävention. Wie schützt man sich am Besten gegen einen Angriff? Indem man dem Angreifer keine Angriffsplattform bietet.

    Das Sicherheitskonzept unseres eigenen CMS-Systems für die Splashpages scheint jedenfalls erfolgreich zu sein. Wir haben den Scanner http://chorizo-scanner.com/ benutzt, um uns einmal selbst davon zu überzeugen. Dieser führt zahlreiche Tests durch, die unter anderem Cross Site Scripting-Attacken oder SQL-Injections simulieren. Die angehängte Grafik zeigt, wie gut die Site abgesichert ist.

    Um genau zu sein, haben wir bei über 10.000 Scans nur 10 Probleme gehabt und die sind noch nicht einmal sonderlich sicherheitsrelevant, betreffen nur ein Standardproblem des sicheren Betriebssystems, das wir einsetzen: Das hinkt bei den Updates auf neueste Versionen unter anderem von PHP immer etwas hinterher. Dafür können wir aber auch sicher sein, dass der Server sehr stabil läuft. Doch die gefundenen Probleme sind nicht bei den Skripten, die wir programmiert haben, aufgetreten. Und das ist uns das Wichtigste!

  4. #29
    Admin Avatar von Bernd Glasstetter
    Registriert seit
    03.2000
    Ort
    Waldshut-Tiengen
    Beiträge
    28.864
    Mentioned
    53 Post(s)
    Tagged
    1 Thread(s)
    Blog-Einträge
    43
    Da haben wir doch mal wieder einen interessanten Angriff gehabt:

    Aug 14 19:46:47 ******* proftpd[1779]: ************* (***********) - Refused PORT 84,161,103,238,0,142 (bounce attack)

    Da kommt dieser Link gerade Recht:

    http://www.securityspace.com/de/smys....html?id=14599

    Hier wurde also versucht über eine Lücke des WS_FTP einzudringen. Dumm nur, dass die Hacker nicht wussten, dass unser Server ProFTP benutzt.

    Übrigens auch interessant: Das war ein User, der über T-Online im Netz ist. Schlecht für ihn. Denn wir werden jetzt einfach mal bei der Telekom anklopfen und denen unser Log schicken.

  5. #30
    Admin Avatar von Bernd Glasstetter
    Registriert seit
    03.2000
    Ort
    Waldshut-Tiengen
    Beiträge
    28.864
    Mentioned
    53 Post(s)
    Tagged
    1 Thread(s)
    Blog-Einträge
    43
    Derzeit haben wir wieder einmal vermehrt mit Attacken zu tun, die per Brute Force versuchen in den Server einzudringen. Wir sperren wieder nach und nach IP-Adressen aus. Einer der letzten Angreifer kam scheinbar aus den USA.

Seite 2 von 2 ErsteErste 12

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  

Das Splash-Netzwerk: Splashp@ges - Splashbooks - Splashcomics - Splashgames
Unsere Kooperationspartner: Sammlerecke - Chinabooks - Salleck Publications - Splitter - Cross Cult - Paninicomics - Die Neunte
Comicsalon Erlangen
Lustige Taschenbücher