News Darkleech-Toolkit kompromittiert Apache-Server

Na alle Achtung das ist ja ein dicker Hund.
Im Grunde könnte jeder Apache ab 2.2.2 damit infiziert werden, und man merkt es nicht mal ?
Noch trivialer finde ich, dass man die Lücke dafür nicht wirklich kennt

...
 
schade das man nie weiss wer hinter sowas steht...

die leute würde ich für immer wegsperren bei wasser und brot....aber dann sitzen warscheinlich ne million gleichzeitig im knast :cool_alt:


wenn ich eins hasse sind es spamm,trojaner und das ganze vierengelumpe:cool_alt:
 
Hmm wäre interessant wie man das Teil bekommt... Da ich mich mit 3 Server per SSH verbinde wäre das schon von interesse :D
 
danny38448 schrieb:
die leute würde ich für immer wegsperren bei wasser und brot....aber dann sitzen warscheinlich ne million gleichzeitig im knast :cool_alt:

Ich würde sie eher für mich arbeiten lassen, so wie es das FBI gemacht hat, als einer deren Firewall durchbrochen hat. Androhung von Knast oder als Alternative eben bezahlte Arbeit. Was besseres kann der Firma kaum passieren.
 
Und wie kann ich feststellen, ob meine Server davon betroffen sind?
 
Die IPs des Seiteninhabers werden ebenso wenig infiziert wie die von Sicherheitsunternehmen oder Webhostern, deren IPs von der Schadsoftware in einer Blacklist gespeichert werden

Kann mir das jemand erklären? Für mich klingt das, als wären das Kriterien für das Einschleusen der iFrames - wenn Darkleech keine Server infiltriert, die eine IP des Seiteninhaber haben - bleiben dann noch Seiten übrig?!
Und warum werden webhoster ausgeschlossen?!
 
Die anhaltenden Attacken haben allein in den letzten Wochen bis zu 20.000 Apache-Server befallen. Das brachte eine Untersuchung von Cisco jetzt ans Licht....
Die Untersuchung von Darkleech durch den Netzwerkausrüster Cisco, die über sechs Wochen im Februar und März 2013 stattfand, belegte die Infektion von mindestens 2.000 Apache-HTTP-Servern in diesem Zeitraum. Da ein Apache-Server im Durchschnitt rund zehn Webseiten hostet, kommt die Zahl von rund 20.000 neu infizierten Webseiten zustande.

Irgendwas stimmt da nicht ganz. ;)
 
Ich würde die Hackerei auf ein ganz neues Niveau heben.

Der Staat erstellt Viren die alles infizieren was nicht ein Minimum der nötigen Sicherheit bietet.
Danach erstellt der Virus eine E-Mail mit Bußgeld :D

Wer sich die Mühe macht und mit einem Tool nach Sicherheitslücken scannt, der fällt tot um wie viele das sind.
Da fragt es sich nicht ob man hackt, sondern wo zuerst.
 
Zuletzt bearbeitet:
testuser58 schrieb:
Kann mir das jemand erklären? Für mich klingt das, als wären das Kriterien für das Einschleusen der iFrames - wenn Darkleech keine Server infiltriert, die eine IP des Seiteninhaber haben - bleiben dann noch Seiten übrig?!
Und warum werden webhoster ausgeschlossen?!

Seiteninhaber / Webhoster und Sicherheitsfirma werden ausgeschlossen. Warum? Na damits nicht auffällt, dass der Server infiziert ist....
 
Rob83 schrieb:
Der Staat erstellt Viren die alles infizieren was nicht ein Minimum der nötigen Sicherheit bietet.
Danach erstellt der Virus eine E-Mail mit Bußgeld :D
Gibts schon, nennt sich Bundestrojaner. :lol:

Ontopic:
Langsam kann man echt nurnoch mit Sandbox surfen...oder Linux installieren.
 
Oder ein ordentliches Anti-Viren Programm in Kombination mit stets aktuell gehaltenen Anwendungen (Browser, Mail-Client etc.) und System-Updates. ;)
 
Dawzon schrieb:
Oder ein ordentliches Anti-Viren Programm in Kombination mit stets aktuell gehaltenen Anwendungen (Browser, Mail-Client etc.) und System-Updates. ;)

...half vielleicht vor 5 Jahren noch. Heute brauchst du nur Pech zu haben und zum falschen Zeitpunkt eine Seite zu besuchen, schon hast du dir über eine Lücke im Flash Plugin einen neuen Trojaner eingefangen. Und deine Virensoftware kriegt ihr Update zwar schneller als die Lücke im Flash behoben wird, das heißt aber nicht dass sie es schnell genug bekommt um die Infektion zu verhindern.
Also ich surfe nur noch mit Linuxkisten, mit Windows kaum noch, und wenn ich _müßte_ und auf dem Rechner irgendwas wichtigeres als die letzte Telefonrechnung liegt würde ich da auch nur mit Sandbox arbeiten...
 
@Mambokurt: Jetzt weiß ich endlich, warum die Alu-Preise in letzter Zeit so gestiegen sind....
 
Cool Master schrieb:
​Hast du die News überhaupt gelesen?

Es ist ein Unterschied ob ich eine bestimmte Serversoftware angreife oder einen Rechner an sich. Im Normalfall laufen Browser & Co mit den Rechten des Nutzers, das heißt viel weiter als zum Homeverzeichnis wird man kaum kommen. Zum Einnisten auf dem Rechner bräuchte man schon eine zweite Anwendung, die mit root-Rechten läuft und übernommen werden kann, wird im Normalfall nur schlecht automatisiert anzugreifen sein.

@rosenholz

Ich benutze schon seit Jahren nur Linux, weil ich damit besser klarkomme. Ich bin also nicht aus Paranoia gewechselt ;) Und was ich da beschrieben habe passiert so tagtäglich, wenn du mir nicht glaubst: https://www.computerbase.de/forum/threads/pc-games-server-gehackt.1050499/. Da wurde unter anderem von großen Sites wie Pc Games aktiv ein Java Exploit ausgenutzt, besuchen der Site bei aktiviertem Javaplugin reichte.

Entgegen landläufiger Meinung hilft so ein Alufolienhütchen übrigens gegen allerlei Viren und Trojaner: einfach mal auf die W-Lan-Antenne setzen und schon ist Ruhe ;)
 
Zuletzt bearbeitet von einem Moderator:
mambokurt schrieb:
Es ist ein Unterschied ob ich eine bestimmte Serversoftware angreife oder einen Rechner an sich. Im Normalfall laufen Browser & Co mit den Rechten des Nutzers, das heißt viel weiter als zum Homeverzeichnis wird man kaum kommen. Zum Einnisten auf dem Rechner bräuchte man schon eine zweite Anwendung, die mit root-Rechten läuft und übernommen werden kann, wird im Normalfall nur schlecht automatisiert anzugreifen sein.

Was hindert das Programm daran, sich dann für diesen Nutzer im System zu verankern?! Natürlich nicht so schlimm, wie für alle Nutzer verankert zu sein - aber besser als nichts ist es dennoch....

Lavaground schrieb:
Seiteninhaber / Webhoster und Sicherheitsfirma werden ausgeschlossen. Warum? Na damits nicht auffällt, dass der Server infiziert ist....

Ich glaube das Problem ist hier die Formulierung

Darkleech geht bei der Auswahl der Seiten, die befallen werden, äußerst intelligent vor. Die IPs des Seiteninhabers werden ebenso wenig infiziert wie die von Sicherheitsunternehmen oder Webhostern, deren IPs von der Schadsoftware in einer Blacklist gespeichert werden

Hab inzwischen bei heise gelesen, dass diese Auswahl nicht die Server betrifft (wie es "Auswahl der Seiten" hier suggeriert") sondern um die aufrufenden Nutzer. Hier sollen die Betreiber, Betreuer und Sicherheitsexperten nicht angegriffen werden. Ist hier nur schlecht formuliert worden.
 
@mambokurt

Der Apache ist keine Software sondern ein Dienst. Browser & Co laufen auf einem Server gar nicht, da man keien GUI hat zumindest gute Server Admins brauchen das nicht. Ich selber habe 3 Linux Server und da gehts nur per SSH rein und das wars. Und ich spielte eher darauf an das er meint man sollte doch Linux installieren wenn genau dieses OS in der NEws als Schwachstelle genannt wird...
 
Klar, und ein Dienst ist keine Software oder wie :D

Mir ging es eher darum: der Apache ist auf allen angegriffenen Rechnern installiert und von außen zu erreichen, einen normalen Linuxclient über den Browser oder Plugins anzugreifen wird schwieriger werden weil man für einen halbwegs erfolgreichen Angriff nach dem Einfall über ein Programm, welches mit Userrechten ausgeführt wird seine Rechte irgendwie erweitern muß um einen Fuß ins System zubekommen. Pardon wenn ich das missverständlich kommuniziert habe ;)

Und Linux ist eben _nicht_ die Schwachstelle, die Schwachstelle wird irgendein Daemon sein, vielleicht Apache selbst, vielleicht auch Programme wie PHPmyAdmin die gerne mal unzureichend gesichert auf dem Server liegen.

EDIT:
http://blog.unmaskparasites.com/2012/09/10/malicious-apache-module-injects-iframes/

"One of the servers had only one user (dedicated server), used strong passwords, didn’t allow remote root logins, used custom ports and fail2ban to prevent brute-force attack. Nonetheless it was hacked within one month and its administrator couldn’t find sings of the intrusion in logs files, only legitimate logins (of course, with root access, it is possible to remove most traces)."

Liest sich fies... O.o
 
Zuletzt bearbeitet von einem Moderator:
Windows ist genauso wenig die Schwachstelle sondern die Software dadrauf wie z.B. ein Flash-Plugin. :D
Apache2 ist ein guter Webserver. Da wird schnell ein Update kommen und gut ist.



Außerdem muss ein Apache nicht zwangsläufig von außen erreichbar sein. Kann ja auch in einer DMZ o.ä. stehen.

Lücken kommen und gehen.
 
Zurück
Oben