www.schwalfenberg.com (Artikel mit Tag angriff)

Wurde Ihre Webseite, Ihr Firmennetzwerk oder Ihr Heim-PC gehackt? (aktualisiert)

nospam@example.com (Frank Schwalfenberg) — Mon, 19 Apr 2010 08:15:00 +0200

Sie sagen nein?

Da sollten Sie sich gar nicht so sicher sein.

Oftmals merkt man es gar nicht wenn man gehackt wurde. Und wenn doch, dann erst zu spät, entweder wenn das Bankonto geräumt wurde oder aber die Kriminalpolizei auf dem Ihren Rechner Dinge findet, die Sie sofort ins Gefängnis bringen könnten, obwohl Sie selbst glauben nichts gemacht zu haben. Daher ist es wichtig sich und seine Rechner zu schützen. .

Wenn Sie es wünschen, kann ich auch gerne bei Ihnen personlich überprüfen, wie sicher Ihr Netzwerk und Ihre Rechner sind. Die Kosten für einen Sicherheitscheck halten sich meistens im Rahmen. Und selbst wenn es Probleme geben sollte, suche ich für Sie nach preiswerten Lösungen oder Alternativen. Nur wenn der Hacker erst zugeschlagen hat wird es meistens viel zu teuer.

Melden Sie sich einfach bei mir (Kontaktdaten finden Sie rechts).
Ihre freue mich Sie zu beraten.

Immer diese Hacker

nospam@example.com (Frank Schwalfenberg) — Mon, 16 Mar 2009 15:41:53 +0100

Wollte uns doch letzte Woche jemand - nennen wir ihn mal Mister X - ein Skript auf den Server legen und ausführen. Mister X schickte uns eine als harmlose Textdatei getarnte Anfrage zur Identität unseres Webservers. Wenn man so will also ein elektronischer Fragebogen mit automatischer Ausfüllhilfe. Schade dass das bei unserem Webserver nicht so klappt hat, wie sich das wohl Mister X gedacht hat. Aber auch irgendwie seltsam dass nicht gefragt wurde wer alles auf dem Rechner zuhause ist. Oder vielleicht wollte Mister X ja erst einmal wissen ob wir ein Linux auf dem Server haben und danach die Nutzerliste aus "/etc/passwd"-Datei lesen. Aber so wird Mister X nie etwas wichtiges von den Bewohnern des Servers erfahren. Obwohl: er könnte uns ein E-Mail schreiben oder anrufen wenn er etwas wissen will. Und noch das: Mister Y und Mister Z waren letzte Woche auf unserem internen Server zu Gast. Kaffee und Kuchen haben sie leider nicht bekommen, gefunden habe sie auch nichts. Aber vielleicht ist es ja der Reiz des Verbotenen erst mit der Brechstange eine Türe zu öffnen anstatt einfach mal anzuklingeln. Mister X, Y und Z haben das offenbar noch nicht gelernt und das wo wir doch so leckeren Kaffee und Tee haben. Auf Anfrage gibt es auch Kuchen.

"Immer diese Hacker" vollständig lesen

Sie über sich

nospam@example.com (Frank Schwalfenberg) — Fri, 13 Feb 2009 12:13:00 +0100

Ihr Computer weiß mehr über Sie, als Sie vielleicht meinen.

Folgende Informationen liefert Ihr Browser von Ihnen:

HOPPLA: Bei Ihrem Browser scheint JavaScript deaktiviert zu sein. Daher kann hier jetzt nicht so viel angezeigt werden. Selbst dieses kann schon eine wichtige Information für einen potenziellen Eindringling sein.

Auch wenn Sie denken sollten, dass die Daten im Browser bleiben, es ist technisch kein Problem diese Daten an den Server zu übermitteln.

Tipp an die Benutzer von Mozilla-basierten Broswsern, wie dem Firefox: schauen Sie sich mal auf einer harmlos aussehenden Internetseite die Eigenschaften der Seite an ("Ansicht -> Seiteninformation"), besonders die Formularfelder, die als "hidden" gekennzeichnet sind, und die Ursprungsadressen der eingebundenen Bilder sind oft sehr verdächtig....

Web 2.0: Trackbacks, die keine sind

nospam@example.com (Frank Schwalfenberg) — Mon, 17 Dec 2007 10:21:52 +0100

Bei der routinemäßigen Durchsicht der Logdateien, tauchten heute morgen Trackbacks auf, die ein ganz anderes Ziel verfolgten, als auf verwandte Beträge im großen Datennetz zu verweisen. Irgendein pfiffiger Hacker versuchte offenbar ein paar Systembefehle auf unserem Server abzusetzen. Schade auch dass es nicht so ganz geklappt hat, da wir doch einige Sicherheitsmaßnahmen ergriffen haben, damit eben dies nicht passieren kann. Der PHP-Safe-Mode ist zwar manchmal störend, aber schützt er doch deutlich vor solchen Angriffen.

Für den Progammier-Interessierten haben wir den Quelltext des Pseudotrackbacks im folgenden wiedergegeben. Aus Sicherheitsgründen verraten wir aber nicht auf welchen verschiedenen Wegen uns dieser zugeschustert werden sollten. Die Nachahmung ist übrigens strafbar.

"Web 2.0: Trackbacks, die keine sind" vollständig lesen

Fragfinn.de - oder: Wieso das Netz nicht das ist, was es sein sollte.

nospam@example.com (Frank Schwalfenberg) — Fri, 14 Dec 2007 23:26:50 +0100

Stellen Sie sich vor, Sie sind auf einer Kinderseite im Web und plötzlich spreizt eine nackte Frau vor Ihnen die Beide. Unmöglich denken Sie? Alles ist möglich.

Gulli zeigte heute wie die staatlich finanzierte "Kinder-Suchmaschine" Fragfinn.de mehr wie ein Trojaner funktioniert als wie eine sinnvolle kindergerechte Webrseite. Da die gefundenen Seiten oftmals Cross-Site-Scripting-Attacken hilflos ausgeliefert sind, kann auf harmlosen Seiten stehen, was will.

Ob die gefundenen Seiten dem Jugendschutz dauerhaft standhalten bleibt fraglich. Die Geschichte der Domain ftpsearch.com war auch eine der Irrungen und Wirrungen: Anfang der 90er war es ein direkter Nachfolger der legendären Archies, also jenen Suchmaschinen mit denen man Downloads im Web finden konnte. Als ich damals diese Seite in einem VHS-Kurs demonstrieren wollte, sahen die Teilnehmer plötzlich nur nackte Frauen auf dem Beamer. Mitlerweile ist die Domäne auf einen Domänenzwischenlager gewandert...

Für den Inhalt einer Webseite und den Querverweisen ist und bleibt der Domäneninhaber verantwortlich. Auch die www.bundesregierung.de sollte das wissen, wenn nicht dann hat sie die falschen Berater.

Neuer Angriffsversuch dokumentiert

nospam@example.com (Frank Schwalfenberg) — Fri, 14 Dec 2007 08:21:06 +0100

Dass regelmäßig Hacker versuchen den Rechner anderer zu knacken ist nicht unbedingt etwas Neues. Auch nicht dass sie Skripte dafür schreiben, die ihnen die Arbeit abnehmen sollen. Das wirklich Neue besteht mitlerweile darin, dass hierzu immer mehr fremde Rechner benutzt werden, die untereinander die Daten hin und her schieben, so das ganze Bot-Netze entstehen und der normale Computerbenutzer nichts davon merkt.

Als kleines Beispiel, haben wir heute mal einen typischen Hackversuch auf einen unserer Webserver dokumentiert. Alle Angriffe liefen nach dem Muster ab: "Schau mal vorsichtig nach, ob da eine angreifbare Datei liegt. Wenn ja, dann nutze sie!". Zum Glück hatten wir den besagten Server zuvor so gesichert, dass nichts passieren konnte.

So sieht ein einzelner dieser Versuche in unserer Logdatei aus:

x.x.x.x - - [14/Dec/2007:07:22:32 +0100] "GET //xmlrpc/xmlrpc.php HTTP/1.1" 404 305 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98)"

In dieses Fall kam der Angriff aus einem Rechenzentrum in Plätz (Sachsen-Anhalt). Aus Gründen des Datenschutzes haben wir die IP im Beispiel herausgenommen. Sollten wir eine Nachfrage aus Plätz erhalten, können wir natürlich überprüfen, ob es sich um besagte IP-Nummer handelt.

Im Folgenden zeigen wir die weiteren Zugriffe (aus Platzgründen in leicht gekürzter Form):

"Neuer Angriffsversuch dokumentiert" vollständig lesen