18
Hacker-Angriff auf Berlin Story! Sämtliche Daten weg B.Z. Berlin
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 335508
Url: https://administrator.de/contentid/335508
Ausgedruckt am: 22.11.2024 um 13:11 Uhr
18 Kommentare
Neuester Kommentar
Ja, Backups sind immer gute. Habe ich auch mit meinen schönen Exchange Server erfahren müssen 
Gruß an die IT-Welt,
J Herbrich
Gruß an die IT-Welt,
J Herbrich
Hallo,
ergänzend dazu aus dem Blog von Berlin Story:
https://www.berlinstory.de/blog/berlin-story-gehackt/
&&
https://www.berlinstory.de/blog/berlin-story-hack-naechstes-up-date/
Grüße
ergänzend dazu aus dem Blog von Berlin Story:
https://www.berlinstory.de/blog/berlin-story-gehackt/
&&
https://www.berlinstory.de/blog/berlin-story-hack-naechstes-up-date/
Grüße
2
Interessant ist das der Hack über eine andere Webseite auf dem gleichen Webserver lief:
"Der Angreifer hat erst geguckt, welche Domains auf uns registriert sind. Dann hat er geprüft, welche auf dem gleichen Server liegen. Diese hat er nach Sicherheitslücken durchsucht. Eine der anderen Installationen hatte ein veraltetes Plugin, zu dem eine Lücke bekannt war. Die Lücke wurde mit DirBuster[1] gefunden."
https://www.berlinstory.de/blog/berlin-story-hack-naechstes-up-date/
"Der Angreifer hat erst geguckt, welche Domains auf uns registriert sind. Dann hat er geprüft, welche auf dem gleichen Server liegen. Diese hat er nach Sicherheitslücken durchsucht. Eine der anderen Installationen hatte ein veraltetes Plugin, zu dem eine Lücke bekannt war. Die Lücke wurde mit DirBuster[1] gefunden."
https://www.berlinstory.de/blog/berlin-story-hack-naechstes-up-date/
Ich finde die Vorgehensweise ziemlich interessant und erschreckend zugleich...
Die meisten Webhoster werden auf einem Server für viele Kunden viele Instanzen laufen haben. Wenn jetzt ein einziger dieser Kunden keine Updates installiert oder verwundbare Plugins verwendet, kann man noch so viel Zeit in seine eigene Sicherheit stecken... im Endeffekt vollkommen nutzlos.
Die meisten Webhoster werden auf einem Server für viele Kunden viele Instanzen laufen haben. Wenn jetzt ein einziger dieser Kunden keine Updates installiert oder verwundbare Plugins verwendet, kann man noch so viel Zeit in seine eigene Sicherheit stecken... im Endeffekt vollkommen nutzlos.
Moin,
das ist wirklich ein großes Problem, aber normalerweise ist doch die Instanz gekappselt.
Wie sind die vom Kunden A zu Kunde B gekommen, ohne dass der Server selbst das Problem war?
Gruß
das ist wirklich ein großes Problem, aber normalerweise ist doch die Instanz gekappselt.
Wie sind die vom Kunden A zu Kunde B gekommen, ohne dass der Server selbst das Problem war?
Gruß
Zitat von @Smilymarco:
Ich finde die Vorgehensweise ziemlich interessant und erschreckend zugleich...
Die meisten Webhoster werden auf einem Server für viele Kunden viele Instanzen laufen haben. Wenn jetzt ein einziger dieser Kunden keine Updates installiert oder verwundbare Plugins verwendet, kann man noch so viel Zeit in seine eigene Sicherheit stecken... im Endeffekt vollkommen nutzlos.
Ich finde die Vorgehensweise ziemlich interessant und erschreckend zugleich...
Die meisten Webhoster werden auf einem Server für viele Kunden viele Instanzen laufen haben. Wenn jetzt ein einziger dieser Kunden keine Updates installiert oder verwundbare Plugins verwendet, kann man noch so viel Zeit in seine eigene Sicherheit stecken... im Endeffekt vollkommen nutzlos.
Diese Angriffsmethode bei shared-hosting ist schon über ein Jahrzehnt alt. Ich habe schon mehrere Kunden aus der Patsche helfen müssen, die zwar selbst "saubere" webseiten hatten, aber der Angreifer über einen "Mitbewohner" des Servers ein Schlupfloch gefunden hat und damit auch andre Mitbenutzer mit ausgenutzt haben.
merke:
shared-Hosting ist nur für unkritisches geeignet wie z.B. Tante Emmas Gemüsebeet-Videos oder so. Unternehmenswichtige Webseiten und Anwendungen gehören auf dedizierte Server unter eigener Kontrolle.
lks
Dann gibt es aber auch noch die Möglichkeit das eine Lücke im Verwaltungstool gibt womit die Einstellung des Servers/Kundenaccount verwaltet werden für Mail, FTP Benutzer ect.
Wir hatten da mal den Fall das der Hersteller im Login eine Lücke hatte worüber der Angreifer reingekommen ist.
Und die hatten sogar Freundlicherweise auch die Lokalen Backups gelöscht mit den ganzen Logfiles aber leider für die gab es Extern noch eine Sicherung mit den ganzen Aktuellen und vorigen Daten inkl Logfiles für genau so seinen Fall ;)
Wir hatten da mal den Fall das der Hersteller im Login eine Lücke hatte worüber der Angreifer reingekommen ist.
Und die hatten sogar Freundlicherweise auch die Lokalen Backups gelöscht mit den ganzen Logfiles aber leider für die gab es Extern noch eine Sicherung mit den ganzen Aktuellen und vorigen Daten inkl Logfiles für genau so seinen Fall ;)
Ja sehe ich genau so, Deswegen habe ich alle meine Websites und selbst das DNS auf einen eigenen Root / V-Server 
Gruß an die IT-Welt,
J Herbrich
Gruß an die IT-Welt,
J Herbrich
Wer alle Daten verliert, noch dazu solch Einrichtung, hat nicht 1 Euro in eine IT Fachkraft gesteckt!
Hallo,
Kommt drauf an, wie billig der ### ist...
normalerweise ist doch die Instanz gekappselt.
Kommt drauf an, wie billig der ### ist...
Zitat von @Herbrich19:
Ja sehe ich genau so, Deswegen habe ich alle meine Websites und selbst das DNS auf einen eigenen Root / V-Server
Ja sehe ich genau so, Deswegen habe ich alle meine Websites und selbst das DNS auf einen eigenen Root / V-Server
V-Server gehören in die Kategorie shared hosting. Heutzutage ist es kein Hexenwerk aus der VM auszubrechen und hypervisorrechte zu bekommen, um "benachbarte" VMs zu infiltrieren.
lks
Zitat von @117471:
Hallo,
Kommt drauf an, wie billig der ### ist...
Hallo,
normalerweise ist doch die Instanz gekappselt.
Kommt drauf an, wie billig der ### ist...
Geiler Kommentar
Zitat von @sabines:
das ist wirklich ein großes Problem, aber normalerweise ist doch die Instanz gekappselt.
Wie sind die vom Kunden A zu Kunde B gekommen, ohne dass der Server selbst das Problem war?
das ist wirklich ein großes Problem, aber normalerweise ist doch die Instanz gekappselt.
Wie sind die vom Kunden A zu Kunde B gekommen, ohne dass der Server selbst das Problem war?
Die haben bei 1&1 gehostet.
lks
PS: Es reicht, wenn ein Kunde auf der Kiste schlampt dann bekommt der angreifer lokale Userrechte. Und dann kann man mit privilege escalation sich riot-rechte verschaffen. Und schon hat er kontrolle über alle Instanzen.
1
Na toll, gut das ich eigene Server habe. Aber jetzt bin ich als 1&1 Kunde sicher das ich nie Shared Hosting dort betreiben werde. Ich meine die Webspaces bei 1+1 haben nicht mal DNS-Aufschaltung drinnen :D
Gruß an die IT-Welt,
J Herbrich
Gruß an die IT-Welt,
J Herbrich
Nun dies mag zwar beim Provider 1&1 passiert sein jedoch kann dies auch bei jeden anderen Anbieter mit Shared Hosting passieren.
Aber da ja die Auslagerung der IT "in" ist und ja die Versprechungen der Anbieter 1A sind das alles Sicher als Sicher ist und es Unmöglich ist das Fremde Zutritt erlangen....
Jedoch wurde wohl damals mit den Cryptolockern & Co nicht genug Aufmerksamkeit erzeugt das Backups gemacht und Sicher gelagert werden... sollte wohl mal in den Medien (TV,Zeitung ect) erscheinen das die mal Aufgeklärt werden... ;)
Aber da ja die Auslagerung der IT "in" ist und ja die Versprechungen der Anbieter 1A sind das alles Sicher als Sicher ist und es Unmöglich ist das Fremde Zutritt erlangen....
Jedoch wurde wohl damals mit den Cryptolockern & Co nicht genug Aufmerksamkeit erzeugt das Backups gemacht und Sicher gelagert werden... sollte wohl mal in den Medien (TV,Zeitung ect) erscheinen das die mal Aufgeklärt werden... ;)
PS: Es reicht, wenn ein Kunde auf der Kiste schlampt dann bekommt der angreifer lokale Userrechte. Und dann kann man mit privilege escalation sich riot-rechte verschaffen. Und schon hat er kontrolle über alle Instanzen.
Du brauchst nichtmal root-Rechte. Du musst nur die Rechte des Webserver-Users erlangen. Der läuft je nach Konfiguration zwar auch mit der UID des Kunden, hat aber dann nicht selten für alle Kunden die selbe GID (Gruppe) oder befindet sich wenigstens in einer Gruppe, in der sich auch alle anderen Kunden befinden.
Und wenn da jemand seine Upload-Verzeichnisse mit "chmod 777" für alles und jeden vollständig beschreibbar macht, weil "nur dann geht es"...
Aber: Ich hätte erwartet, dass 1&1 Backups der Webspace-Server vorhält, die in kurzer Zeit wiederherstellbar sind.
Ich meine, was machen die denn, wenn denen aufgrund eigener Fehler die Daten wegkommen?
Zitat von @LordGurke:
Ich meine, was machen die denn, wenn denen aufgrund eigener Fehler die Daten wegkommen?
Ich meine, was machen die denn, wenn denen aufgrund eigener Fehler die Daten wegkommen?
Auf ein süßes Katzenvideo verlinken, um vom dem Fehler abzulenken.
lks
Ja und noch par Werbe Banner dazu wen es ein Free Hosting ist :D
Gruß an die IT-Welt,
J Herbrich
Gruß an die IT-Welt,
J Herbrich
