Versuch der unfreundlichen Übernahme: Virenangriff auf Augen geradeaus!
Statt produktiv zu sein, zu recherchieren und zu schreiben, habe ich den heutigen Vormittag mit Absicherungs- und Aufräumarbeiten verbracht: Auf Augen geradeaus!, so heute morgen die Warnmeldung meines Internet-Providers, wurde ein Virenangriff gestartet. Deshalb habe ich erst mal alle Passwörter geändert (das sind für verschiedene Accounts und Zugänge eine Menge…) und sonst auch noch aufgeräumt.
Es handelte sich offensichtlich um eine Backdoor. Und ich gebe das vor allem als Warnung an die Kollegen weiter, die wie ich auf der Münchner Sicherheitskonferenz waren und das – offene – WLAN dort benutzt haben: Ich habe keinen Beleg dafür, dass der Angriff dort passiert ist – aber es war das einzige offene WLAN, das ich in den vergangenen Wochen genutzt habe. Deshalb better safe than sorry: überprüft mal eure Systeme. (Die MSC habe ich auch schon informiert.)
Nachtrag: Da die Experten ohnehin debattieren, hier die Meldung im Wortlaut (XXX ist meine Accountbezeichnung):
In Ihrem Account XXXXX wurde ein Virus gefunden :
Um den Virus bzw. den Schadcode daran zu hindern weiterhin Schaden anzurichten, hat ihn unser Virenscanner umgehend gesperrt.
Eine detaillierte Liste der Dateien finden Sie zusätzlich im FTP-Ordner in der Datei „/www/htdocs/XXXXX/logs/viren_log_2014_02_03.html“.
Die Liste erhebt keinen Anspruch auf Vollständigkeit, bitte kontrollieren Sie Ihre Dateien auf weiteren Schadcode.
Häufige Ursachen für Virenbefall im FTP-Account sind Sicherheitslücken in oft nicht aktualisierten Scripten wie CMS, Shop, Forum, Gästebücher usw., oder ein Befall mit Schadecode auf dem PC, mit dem die Webseite bearbeitet wurde.
Wir empfehlen in jedem Fall ein sofortiges Ändern aller Zugangsdaten (Accountlogin, FTP, E-Mail-Passwörter), sowie eine gründliche Überprüfung des PCs mit geeigneter Software.
php_obfus_24.UNOFFICIAL gefunden in /www/htdocs/XXXXX/wp-includes/count.php umbenannt in: /www/htdocs/XXXXX/wp-includes/VIRUS_php_obfus_24.UNOFFICIAL_count.php
(Grafik: Flickr-User Brett Jordan unter CC-BY-Lizenz)
hm, hatte ich nicht vor einiger Zeit von einer internationalen Konferenz (in GB?) gelesen, wo die angelsächsischen Geheimdienste Journalisten gezielt in Bereiche mit verseuchten WLAN’s gelotst haben?
Apropos „Hacker“: der ChaosComputerClub hat laut SPON Strafanzeige gegen die Bundesregierung und Geheimdienstmitarbeiter erstattet. Wegen NSA und so…
Gibts eine Stellungnahme der MSC?
Sind auch andere Journalist(inn)en betroffen?
Ich würde gern erfahren, wie die Geschichte weiter geht.
Und falls sie nicht weiter geht, wüsste ich gern, wer sie für „beendet“ erklärt …
http://www.pofallabeendetdinge.de
Mal wieder unsere Freundliche Linken Politische Gesinnung
Besonders Multi Kulti und tolerant wollen Sie sein, vor allem sind Sie die Demokraten
Aber geht ihre Meinung nicht über und die anderen haben recht
Dann Naziparolen und Freundlichkeiten beschimpfen, und Internet angegriffen das finde ich als sehr demokratisch, auf solche Demokraten kann ich verzichten
NSU ja das ist nicht gut aber Ihre Brandstiftungen werden früher oder Später auch mal Tote geben, sei es Feuer Leute die unter ihren Brandanschläge kommen, oder welche die im Auto Übernachten, weil sie auf Wohnungssuche sind
http://www.zdnet.com/uks-security-branch-says-ubuntu-most-secure-end-user-os-7000025312/
Grundsätzlich würde ich nie ein offenes W-LAN verwenden, wenn nicht per VPN. Gerade dann, wenn sensible Daten bearbeitet werden und/oder man mit so einem System sein Geld verdient, sollte man sich hier nach einer stabilen und sicheren Option umsehen. Nun hab ich hier die Möglichkeit des Uni-VPN. Du müsstest Dir hier eine Alternative suchen, die ggf Geld kosten kann.
Ansonsten: wenn man, wie Du mit Mac, an einer Konferenz teilnimmt, sollte man ein zweites System verwenden. Das ermöglicht dann idR zwar nur eingeschränkte Nutzbarkeit, kann aber einfach reseted werden, wenn es infiziert worden ist. Hier gibt es verschiedene Möglichkeiten mit Mac: Virtual Box, Parallels oder BootCamp. Manchmal reicht schon ein zweiter Account auf dem OS X mit eingeschränkten Zugriffsrechten. Ansonsten weiß ich nicht, wie Du deinen Mac abgesichert hast. Man kann aber einiges machen, was über die Standard-Sicherungssysteme hinaus geht.
Grundsätzlich gilt dabei das, was auch de Maiziere auf der MSC gesagt hat: Sicherheit und Nutzbarkeit sind zwei Antipole (er hat es im Bezug zu Cloud-Diensten gesagt). Beides gleichzeitig zu erreichen ist eigentlich ausgeschlossen. Gerade Mac ist sehr gut bedienbar, aber eben auch sehr offen.
Wenn Du hierzu eine gute fachliche Beratung brauchst, wende dich mal an diesen Herren:
http://www.sicherheitsforschung-magdeburg.de/dienstleistungen/referenten-schulungen.html#c224
Ich bin mir sicher, er wird Dir gern kollegiale Hilfe zukommen lassen…
@Alarich:
WAS?! Im falschen Thema geschrieben?
@T.W.:
Derartige Malware geht auch im Internet haufenweise rum und kann durchaus auch von legitimen Websites (News, etc.) stammen. Über die ganzen Werbenetzwerke lassen sich relativ simpel infizierte Dateien in Form von Bildern, etc. verteilen. Auch reicht es aus, wenn nur ein einziges infiziertes System im W-Lan hing…
Darf ich fragen, inwiefern Sie Ihr(e) System(e) auf Malware-Befall geprüft haben?
Sollte Interesse bestehen, kann ich hier gerne behilflich sein (Gerne auch mit einer Gratis-Lizenz meines Brötchengebers). Sollten Sie Interesse haben, finden Sie meine E-Mail (und somit auch meinen Brötchengeber) in den Details zu diesem Post.
vlt möchte ja auch einer der betroffenen mit dem CCC zusammenarbeiten und mal schauen was da an „schadsoftware“ genutzt wurde.
man hört die herren und damen dort wären an sowas sehr interessiert …
edit: vorrausgesetzt es erhärtet sich der verdacht, dass das offene w-lan für einen gezielten „man-in-the-middle“ angriff auf journalisten genutzt wurde.
„vlt möchte ja auch einer der betroffenen mit dem CCC zusammenarbeiten“
tja, da könnte ich einen persönlichen Kontakt anbieten.
@markus, d.Ä.:
Ausgeschlossen ist dies zwar nicht, aber ich halte es für unwahrscheinlich, dass hier ein gezielter Angriff auf Journalisten vorliegt. Diejenigen, welche vermutlich das grösste Interesse daran hätten, haben die Mittel dies so bewerkstelligen, dass der ISP eines Journalisten darauf garantiert nicht aufmerksam wird. Das hört sich eher nach Anfängern (In Bezug auf die Entwicklung von Malware an), als nach Profis an. Cyber-Kriminelle mit finanziellem Interesse habe ebenso wie staatlich sanktionierte Hacker die Mittel dies auf einem professionellem Niveau zu betreiben, so dass der ISP nicht anhand von Traffic darauf aufmerksam wird.
Ich tippe eher auf die Asozialen von Anonymous und Co. Die haben auch schon mal die Kundendaten von Rand Corp erbeutet und veröffentlicht. Und sich dabei eingebildet, sie hätten eine weltweite Verschwörung von Kriegstreibern enttarnt.
Patrick | 03. Februar 2014 – 13:29
Nur geschlagene XXX bellen???????
Ich finde dass als Frechheit wie Linke Gruppen mit anderer Meinung umgehen
Ihre Meinung ist die beste und so weiter
Aber jede andere Meinung wird Bombardiert Internet Angriffe und Nazi Definierung
Uns offizielle Angriff auf die AFD einer soll mit Messer bewaffnet gewesen sein, so wie auch Brandanschläge gegen die BW
Gegen EURO sind Nazis und dabei Gerit einer der war im KZ und hat überlebt wurde dafür als Nazi beschimpfen nur weil er gegen den EURO ist, Nein ihr seid gleich wie die Nazis für mich
Ihrer obigen Beschreibung nach, ist es äußers unwahrscheinlich, dass die offene WLAN-Infrastruktur für den wie auch immer gearteten Angriff auf Ihre Domain/Server-Architektur verantwortlich ist.
Backdoors auf Server-Systeme werden erfahrungsgemäß in den allermeisten Fällen über Lücken durch nicht eingespielte Sicherheitspatches installiert. Je nach Art des Hosting-Vertrages mit Ihrem Provider sollten Sie (rootServer, managedServer, vServer) auf jeden Fall mal nachschauen (lassen), ob die wichtigsten Dienste (Mail, Http, Ftp, Virtualisierungsumgebung …) auf dem jeweils neuesten Stand sind.
@ Alarich | 03. Februar 2014 – 13:51
Auch bei Selbstgesprächen gilt das alte FUnker-Motto: Denken, Dr…., Spr….
Mich würde mal interessieren, wo TW den Presseartikel her hat, der als Aufreisserbild dient. Das ist ja schon sehr merkwürdig, wie in diesem Artikel der Begriff „Mailbombe“ neu definiert wird.
Tja, hätte man mal den Karl Theodor offiziell eingeladen, mit seinem Thema Cybersicherheit…
Huch, das geht ja ab hier…
Also: Ich habe, wie gesagt, keinen Beleg, dass es auf der MSC passiert ist; das war eher als Warnhinweis an Kollegen gedacht. Fakt ist nur, dass es das einzige offene WLAN war, das ich in letzter Zeit verwendet habe. (Allerdings war dieses WLAN im Sicherheitsbereich und strahlte nicht so stark, dass es außerhalb der Absperrung aufgefangen werden konnte.)
Politische Vermutungen habe ich schon gar nicht angestellt…
Und: ich habe Ubuntu benutzt…
Wie auch immer, ich bin dran, bezweifele allerdings, dass es über den Hintergrund Klarheit gibt. Und natürlich: kann ich mir auch über eine Webseite eingefangen haben.
Ach ja: Auch bei diesem Thema bitte kein OT…
@ patrick.
naja ich tippe da auch weniger auf NSA und GCHQ als auf den BND. wie man so hört haben die etwas probleme mit der mitarbeiterrekrutierung für solcher sachen …
da kommt dann schonmal so ein pfusch raus.
@Lollo
Das Bild habe ich bei Flickr gefunden…
O. Punkt | 03. Februar 2014 – 13:57
Können Sie das mal Vormachen ?
@T.W.:
Ist das letzte Kernel Update für die Sicherheitslücke der Binärschnittstelle X32 installiert?
http://packages.ubuntu.com/saucy/linux-image-3.11.0-15-generic
Zwar ist bislang noch keine Malware (meines Wissens nach) bekannt, welche die Lücke ausnutzt, aber das muss nichts heissen…
@Alarich:
Alles schön und gut, aber was hat das mit einem Befall von Malware bei einem Journalisten zu tun?
@T.W.:
Und ganz unverschlüsselt war das WLAN auf der MSC ja auch nicht, jeder Teilnehmer hatte seinen eigenen Zugangscode.
Von den Leuten her. Das es hier zu 80% Pro BW ist ?
Und die anderen 20 % auch nicht gegen BW unbedingt ist
ja schön das wir mal drüber gesprochen haben alarich
Das ist ja fast so aussagekräftig wie eine BSI-Warnung. Ein Angriff auf Thomas Wiegolds Laptop oder auf Augen geradeaus? Vom ISP oder vom Hosting-Provider gemeldet?
Erfahrungsgemäß wahrscheinlich letzteres. Dann müssten sich aber weniger die Teilnehmer der MSC Sorgen machen, als alle, die hier mit echter E-Mail-Adresse und interessanter IP unterwegs sind.
Hm, deswegen habe ich ja auch sofort alles zugemacht (gehe ich doch jedenfalls von aus).
(Für die Experten: siehe Nachtrag oben.)
@T.W.:
Wäre es möglich mir die Log Datei zukommen zu lassen (Per Mail bitte – Welcher Scanner im Einsatz ist, sollte nicht öffentlich breit getreten werden!)?
Ich vermute hier einen FP (False Positive; Eine fälschliche Erkennung einer legitimen Datei) seitens des Scanners. Es gibt immer wieder Erkennungen von Javascript „Obfuscated“ Dateien, welche in der Regel auf einen FP zurückzuführen sind. Zumindest ausgehend von den Daten aus dem Nachtrag schaut es ohne weitere Einzelheiten zu kennen stark danach aus. Wäre vor allem interessant, welcher Scanner (falls im Bericht enthalten) die Erkennung hatte. Es besteht natürlich die Möglichkeit, dass es eine valide Erkennung ist, aber vom Namen aus der Mail her schaut das eher nach einer Malware Familie aus, welche per drive-by-download Verbreitung findet und es daher recht unwahrscheinlich ist, dass man eine solche auf einem Webserver findet (Ausgehend davon, dass die Kollegen, welche die Seite programmiert haben, wissen was Sie tun).
Bezüglich eines möglichen Attacks schlußfolgere ich:
vermutlich gäbe es kaum Motivation, die Plattform augengeradeaus.net schwächen zu wollen.
Die größere Motivation läge vermutlich darin, hinter die Kulissen von augengeradeaus.net schauen zu wollen. (z.B. Welches Informantennetz wird gepflegt? Wer steckt hinter dem ein oder anderen militärfachlichen Kommentator? Schließlich wird hier ja auch die ein oder andere Information preisgegeben, die besser nur im Dienstgebrauch verwendet werden sollte.)
Also wieso soll man sich wundern, wenn hier auf der Plattform gute Experten-Talks stattfinden und Freund wie Feind interessiert mitlesen oder ggf. durch Kommentare gezielt den Informationsfluss steuern bzw. durch Angriff sogar die Fähigkeit zur Manipulation besitzen wollen.
Landeseigene Dienste würde ich allerdings ausschließen, weil die Plattform hierfür wiederum viel zu „harmlos“ wäre.
Die landeseigenen Dienste könnten die Daten der ständigen Kommentatoren vermutlich auch einfach bekommen, in dem sie diese höflich danach fragen. ;)
Die meisten hier kennen sich doch vermutlich schon persönlich oder aus anderen Foren.
Notfalls könnten die auch einfach beim Provider die IP-Adressen der Besucher abschöpfen und hätten da ihre Ermittlungsansätze.
Nee, ich tippe auf sogenannte „Aktivisten“ mit einer schönen drogenverstärkten Weltverschwörungsthese.