lochkartenstanzer
Apr 19, 2017
view2598
view18
6
Goto Top

Hacker-Angriff auf Berlin Story! Sämtliche Daten weg B.Z. Berlin

GermanGeneralBackupSecurity
Thou shalt make Backups!

http://www.bz-berlin.de/berlin/friedrichshain-kreuzberg/hacker-angriff- ...
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 335508

Url: https://administrator.de/contentid/335508

Printed on: July 27, 2024 at 14:07 o'clock

18 Comments
Latest comment
Goto Top
Member: Herbrich19
Herbrich19 Apr 19, 2017 at 21:08:37 (UTC)
Goto Top
Ja, Backups sind immer gute. Habe ich auch mit meinen schönen Exchange Server erfahren müssen face-sad

Gruß an die IT-Welt,
J Herbrich
Member: MrFlow
MrFlow Apr 20, 2017 at 05:47:55 (UTC)
Goto Top
Hallo,

ergänzend dazu aus dem Blog von Berlin Story:

https://www.berlinstory.de/blog/berlin-story-gehackt/

&&

https://www.berlinstory.de/blog/berlin-story-hack-naechstes-up-date/

Grüße
heart2
Member: Deepsys
Deepsys Apr 20, 2017 at 08:57:12 (UTC)
Goto Top
Interessant ist das der Hack über eine andere Webseite auf dem gleichen Webserver lief:

"Der Angreifer hat erst geguckt, welche Domains auf uns registriert sind. Dann hat er geprüft, welche auf dem gleichen Server liegen. Diese hat er nach Sicherheitslücken durchsucht. Eine der anderen Installationen hatte ein veraltetes Plugin, zu dem eine Lücke bekannt war. Die Lücke wurde mit DirBuster[1] gefunden."
https://www.berlinstory.de/blog/berlin-story-hack-naechstes-up-date/
Member: Smilymarco
Smilymarco Apr 20, 2017 at 11:18:38 (UTC)
Goto Top
Ich finde die Vorgehensweise ziemlich interessant und erschreckend zugleich...
Die meisten Webhoster werden auf einem Server für viele Kunden viele Instanzen laufen haben. Wenn jetzt ein einziger dieser Kunden keine Updates installiert oder verwundbare Plugins verwendet, kann man noch so viel Zeit in seine eigene Sicherheit stecken... im Endeffekt vollkommen nutzlos.
Member: sabines
sabines Apr 20, 2017 at 11:58:52 (UTC)
Goto Top
Moin,

das ist wirklich ein großes Problem, aber normalerweise ist doch die Instanz gekappselt.
Wie sind die vom Kunden A zu Kunde B gekommen, ohne dass der Server selbst das Problem war?

Gruß
Member: Lochkartenstanzer
Lochkartenstanzer Apr 20, 2017 updated at 13:41:28 (UTC)
Goto Top
Zitat von @Smilymarco:

Ich finde die Vorgehensweise ziemlich interessant und erschreckend zugleich...
Die meisten Webhoster werden auf einem Server für viele Kunden viele Instanzen laufen haben. Wenn jetzt ein einziger dieser Kunden keine Updates installiert oder verwundbare Plugins verwendet, kann man noch so viel Zeit in seine eigene Sicherheit stecken... im Endeffekt vollkommen nutzlos.

Diese Angriffsmethode bei shared-hosting ist schon über ein Jahrzehnt alt. Ich habe schon mehrere Kunden aus der Patsche helfen müssen, die zwar selbst "saubere" webseiten hatten, aber der Angreifer über einen "Mitbewohner" des Servers ein Schlupfloch gefunden hat und damit auch andre Mitbenutzer mit ausgenutzt haben.

merke:

shared-Hosting ist nur für unkritisches geeignet wie z.B. Tante Emmas Gemüsebeet-Videos oder so. Unternehmenswichtige Webseiten und Anwendungen gehören auf dedizierte Server unter eigener Kontrolle.

lks
Member: kaiand1
kaiand1 Apr 20, 2017 at 15:36:09 (UTC)
Goto Top
Dann gibt es aber auch noch die Möglichkeit das eine Lücke im Verwaltungstool gibt womit die Einstellung des Servers/Kundenaccount verwaltet werden für Mail, FTP Benutzer ect.
Wir hatten da mal den Fall das der Hersteller im Login eine Lücke hatte worüber der Angreifer reingekommen ist.
Und die hatten sogar Freundlicherweise auch die Lokalen Backups gelöscht mit den ganzen Logfiles aber leider für die gab es Extern noch eine Sicherung mit den ganzen Aktuellen und vorigen Daten inkl Logfiles für genau so seinen Fall ;)
Member: Herbrich19
Herbrich19 Apr 20, 2017 at 16:03:34 (UTC)
Goto Top
Ja sehe ich genau so, Deswegen habe ich alle meine Websites und selbst das DNS auf einen eigenen Root / V-Server face-smile

Gruß an die IT-Welt,
J Herbrich
Member: XPFanUwe
XPFanUwe Apr 20, 2017 at 20:20:42 (UTC)
Goto Top
Wer alle Daten verliert, noch dazu solch Einrichtung, hat nicht 1 Euro in eine IT Fachkraft gesteckt!
Mitglied: 117471
117471 Apr 20, 2017 at 21:27:45 (UTC)
Goto Top
Hallo,

normalerweise ist doch die Instanz gekappselt.

Kommt drauf an, wie billig der ### ist...
Member: Lochkartenstanzer
Lochkartenstanzer Apr 21, 2017 at 04:53:57 (UTC)
Goto Top
Zitat von @Herbrich19:

Ja sehe ich genau so, Deswegen habe ich alle meine Websites und selbst das DNS auf einen eigenen Root / V-Server face-smile


V-Server gehören in die Kategorie shared hosting. Heutzutage ist es kein Hexenwerk aus der VM auszubrechen und hypervisorrechte zu bekommen, um "benachbarte" VMs zu infiltrieren.

lks
Member: sabines
sabines Apr 21, 2017 at 04:55:35 (UTC)
Goto Top
Zitat von @117471:

Hallo,

normalerweise ist doch die Instanz gekappselt.

Kommt drauf an, wie billig der ### ist...

Geiler Kommentar face-wink
Member: Lochkartenstanzer
Lochkartenstanzer Apr 21, 2017 updated at 05:01:37 (UTC)
Goto Top
Zitat von @sabines:

das ist wirklich ein großes Problem, aber normalerweise ist doch die Instanz gekappselt.
Wie sind die vom Kunden A zu Kunde B gekommen, ohne dass der Server selbst das Problem war?

Die haben bei 1&1 gehostet. face-smile

lks

PS: Es reicht, wenn ein Kunde auf der Kiste schlampt dann bekommt der angreifer lokale Userrechte. Und dann kann man mit privilege escalation sich riot-rechte verschaffen. Und schon hat er kontrolle über alle Instanzen.
heart1
Member: Herbrich19
Herbrich19 Apr 22, 2017 at 00:13:06 (UTC)
Goto Top
Na toll, gut das ich eigene Server habe. Aber jetzt bin ich als 1&1 Kunde sicher das ich nie Shared Hosting dort betreiben werde. Ich meine die Webspaces bei 1+1 haben nicht mal DNS-Aufschaltung drinnen :D

Gruß an die IT-Welt,
J Herbrich
Member: kaiand1
kaiand1 Apr 22, 2017 at 00:40:21 (UTC)
Goto Top
Nun dies mag zwar beim Provider 1&1 passiert sein jedoch kann dies auch bei jeden anderen Anbieter mit Shared Hosting passieren.
Aber da ja die Auslagerung der IT "in" ist und ja die Versprechungen der Anbieter 1A sind das alles Sicher als Sicher ist und es Unmöglich ist das Fremde Zutritt erlangen....

Jedoch wurde wohl damals mit den Cryptolockern & Co nicht genug Aufmerksamkeit erzeugt das Backups gemacht und Sicher gelagert werden... sollte wohl mal in den Medien (TV,Zeitung ect) erscheinen das die mal Aufgeklärt werden... ;)
Member: LordGurke
LordGurke Apr 22, 2017 updated at 11:55:26 (UTC)
Goto Top
Zitat von @Lochkartenstanzer:

PS: Es reicht, wenn ein Kunde auf der Kiste schlampt dann bekommt der angreifer lokale Userrechte. Und dann kann man mit privilege escalation sich riot-rechte verschaffen. Und schon hat er kontrolle über alle Instanzen.

Du brauchst nichtmal root-Rechte. Du musst nur die Rechte des Webserver-Users erlangen. Der läuft je nach Konfiguration zwar auch mit der UID des Kunden, hat aber dann nicht selten für alle Kunden die selbe GID (Gruppe) oder befindet sich wenigstens in einer Gruppe, in der sich auch alle anderen Kunden befinden.
Und wenn da jemand seine Upload-Verzeichnisse mit "chmod 777" für alles und jeden vollständig beschreibbar macht, weil "nur dann geht es"...

Aber: Ich hätte erwartet, dass 1&1 Backups der Webspace-Server vorhält, die in kurzer Zeit wiederherstellbar sind.
Ich meine, was machen die denn, wenn denen aufgrund eigener Fehler die Daten wegkommen?
Member: Lochkartenstanzer
Lochkartenstanzer Apr 22, 2017 at 12:48:32 (UTC)
Goto Top
Zitat von @LordGurke:

Ich meine, was machen die denn, wenn denen aufgrund eigener Fehler die Daten wegkommen?

Auf ein süßes Katzenvideo verlinken, um vom dem Fehler abzulenken. face-smile

lks
Member: Herbrich19
Herbrich19 Apr 23, 2017 at 15:23:04 (UTC)
Goto Top
Ja und noch par Werbe Banner dazu wen es ein Free Hosting ist :D

Gruß an die IT-Welt,
J Herbrich
GermanGeneralBackupSecurity