Webseite/Institution/.. zum melden v. gehackten/kompromittierten deutschen Webseiten?

[Fawk]

Hallo Zusammen, ich hätte mal eine eher spezielle Frage zum Thema "gehackte deutsche Webseiten"...

ich habe vor einiger Zeit im Kommentar-/Spambereich meiner Webseite ein paar Spamkommentare entdeckt, die wie üblich in Englisch verfasst waren, aber auf Unterverzeichnisse von deutschen (normalen/offiziellen) Webseiten verwiesen...sogar eine Institution ist mit dabei. In diesen Unterverzeichnissen (habe das natürlich über eine sichere VM getestet) wurde ich u.a. auf italienische Shops für Schuhe weitergeleitet.

Auch wenn es nicht mein Job war, die Admins dieser Seiten auf diese Hacks hin zu informieren, habe ich es getan (über die offiziellen im Impressum vermerkten Kontakt-/Emailadressen) und war mehr oder weniger davon überrascht, dass keinerlei Reaktion erfolgte, keine Antwort, keine Entfernung der kompromittierten Seiten ect...das ist nun einen Monat her und nichts hat sich getan.

Darum hätte ich die Frage, ob es Einrichtungen o.ä. für solche Fälle gibt, die man über diese Dinge informieren kann und die dann hoffentlich mit Nachdruck an die Betreiber der Seiten heran treten und dafür sorgen, dass dieser Mist endlich aus dem Web verschwindet.

Grüße,
Fawk

 

[Krik]

Nein, da gibt es nichts. Du hast die Betreiber informiert und mehr kann man nicht tun. Wenn sie nicht selber von sich aus das abstellen, dann wollen sie das wohl so.

 

[r0ck3r]

Wenn sie nicht selber von sich aus das abstellen, dann wollen sie das wohl so.

Bitte was?!?

Der Ursprung liegt wohl hier eher in sog. Bots, die nicht geschützte Bereiche, wie offene Foren, Blogs oder generell Kommentarbereiche zuspammen.... abhilfe schafft da lediglich ein Captcha vor jedem Absenden eines Kommentars und wenn der Seitenanbieter zu faul ist, das zu implementieren, dann siehst du ja was dabei rauskommt.

 

[Fawk]

Das Problem scheint etwas tiefer zu liegen, bei meiner Recherche habe ich festgestellt, dass die Hacks mit IFrames direkt in das CMS der Seiten eingebettet waren, meist war der Pfad des Unterordners in etwa so... wewewe.gehackteseite.de/cms/neu/_tmp/gehacktedatei.html..., weswegen ich schon fast von direktem FTP-Zugriff oder CMS-Zugriff der Hacker ausgehen würde. Wenn sie Bots benutzen, dann um unmittelbar Schwachstellen in veralteten CMS-Sytemen ausfindig zu machen und diese dann zu kompromittieren.

Edit: Gott ich wünschte man könnte hier verhindern, dass Beispielwebadressen automatisch in anclickbare Links umgewandelt werden.

Edit2: Echt schade dass es für sowas keine offiziellen Ansprechpartner gibt. Man könnte meinen dass es, bei all der Internetüberwachung und -zensur irgend eine Einrichtung gibt, die etwas für das "sichere Internet" tut...aber so ist das wohl in den heutigen Zeiten, solang es nichts mit "Terror" oder "Porn" zu tun hat, ists völlig egal dass es gefährlich für ahnungslose User ist.

 

[Mojo1987]

Willkommen im 21. Jahrhundert! Hacken, Daten klauen, Webseiten kompromitieren, Massen-DDOS ist alles Gang und Gebe geworden. Das ist traurig, viel dagegen machen kann man als normaler Bürger allerdings nicht.

@r0ck3r
Captchas sind wenn überhaupt nur ein temporärer Schutz und deswegen bei solchen Sachen schlichtweg den Aufwand nicht wert.

 

[r0ck3r]

Willkommen im 21. Jahrhundert! Hacken, Daten klauen, Webseiten kompromitieren, Massen-DDOS ist alles Gang und Gebe geworden. Das ist traurig, viel dagegen machen kann man als normaler Bürger allerdings nicht.

Naja, gegen diese iFrames schützt dich bspw. NoScript, wenn man diese nach der Installation auch in den Einstellungen blockiert

 

[arvan]

Bitte was?!?

Der Ursprung liegt wohl hier eher in sog. Bots, die nicht geschützte Bereiche, wie offene Foren, Blogs oder generell Kommentarbereiche zuspammen.... abhilfe schafft da lediglich ein Captcha vor jedem Absenden eines Kommentars und wenn der Seitenanbieter zu faul ist, das zu implementieren, dann siehst du ja was dabei rauskommt.

Ähm, wenn man den Betreiber darauf hinweist und dieser trotzdem nicht eine solche kritische Sicherheitslücke behebt, dann hat er anscheinend kein Interesse daran.

 

[r0ck3r]

Ähm, wenn man den Betreiber darauf hinweist und dieser trotzdem nicht eine solche kritische Sicherheitslücke behebt, dann hat er anscheinend kein Interesse daran.

Ja, das ist mir schon klar, aber was will der Betreiber denn abstellen? Die Bots, die sich im Internet rumtreiben?!

Gut, dass das Frame natürlich nach einem Monat immer noch auf der Seite ist, ist schon echt merkwürdig und scheinbar kratzt es den Betreiber gar nicht

 

[Dystop1an]

Schau doch mal auf die denic Einträge der Betroffenen Webseiten, ob die Seiten vllt. bei Hosteurope/Strato/hetzner whatever liegen.

Dann wende dich nämlich an den Hoster, der hat nämlich im Normalfall kein allzu großes Interesse daran das deren IP's in irgendwelchen Spam Listen Landen und dementsprechend von Mailservern etc. geblockt werden. Die können daraufhin dann druck auf den Kunden ausüben.

Wenn die die Seite selber Betreiben, schau doch einfach mal wo man überall Spamseiten melden kann, sodass Spamfilter darauf Angewendet werden, und diverse Browser(/Plugins) den Besucher der Seite über Gefahren dieser Webseite hinweisen.

Da wird sich dann auch irgendwann mal was tun, im falle einer nicht Gewerblichen Seite werden dann halt keine Besucher mehr kommen, im Falle einer Gewerblichen Seite bleiben halt aufeinmal die Kunden aus, welche auch keine Mails mehr bekommen, da die zum Glück im Spam Ordner Landen

Glaub mir, dann wird sich da auch gaaanz schnell was tun

 

[azereus]

Hallo Zusammen, ich hätte mal eine eher spezielle Frage zum Thema "gehackte deutsche Webseiten"...

ich habe vor einiger Zeit im Kommentar-/Spambereich meiner Webseite ein paar Spamkommentare entdeckt, die wie üblich in Englisch verfasst waren, aber auf Unterverzeichnisse von deutschen (normalen/offiziellen) Webseiten verwiesen...sogar eine Institution ist mit dabei. In diesen Unterverzeichnissen (habe das natürlich über eine sichere VM getestet) wurde ich u.a. auf italienische Shops für Schuhe weitergeleitet.

Auch wenn es nicht mein Job war, die Admins dieser Seiten auf diese Hacks hin zu informieren, habe ich es getan (über die offiziellen im Impressum vermerkten Kontakt-/Emailadressen) und war mehr oder weniger davon überrascht, dass keinerlei Reaktion erfolgte, keine Antwort, keine Entfernung der kompromittierten Seiten ect...das ist nun einen Monat her und nichts hat sich getan.

Darum hätte ich die Frage, ob es Einrichtungen o.ä. für solche Fälle gibt, die man über diese Dinge informieren kann und die dann hoffentlich mit Nachdruck an die Betreiber der Seiten heran treten und dafür sorgen, dass dieser Mist endlich aus dem Web verschwindet.

Grüße,
Fawk

lass denen mal ein wenig zeit
sollte normal nicht so lange dauern
aber trozdem. wenn die den webmaster nicht mehr haben und selbst keinen plan von homepages?
müssen die erst jemanden suchen

jaja
CMS sollte man immer aktuell halten
vermute mal joomla 1.5 oder sowas




am beispiel computerbase.de

whois computerbase.de
Domain: computerbase.de
Nserver: c1.rsns.hosteurope.de
Nserver: ns1.computerbase.de 87.230.75.2
Status: connect
Changed: 2014-04-28T13:35:18+02:00

[Tech-C]
Type: PERSON
Name: Steffen Weber


host computerbase.de
computerbase.de has address 87.230.75.2
computerbase.de has IPv6 address 2a01:488:2000:201::a
computerbase.de mail is handled by 10 mail.computerbase.de.


whois 87.230.75.2
inetnum: 87.230.75.0 - 87.230.75.255
remarks: INFRA-AW
netname: HE-SYSTEMS-NET
descr: Hosteurope GmbH
descr: noc@hosteurope.de
country: DE
...
phone: +49 2203 1045 0
abuse-mailbox: abuse@hosteurope.de
admin-c: BURN
admin-c: HONK
....
member-of: AS20773:RS-HOSTEUROPE
mnt-by: HOSTEUROPE-MNT
source: RIPE # Filtered



https://www.computerbase.de/kontakt/

https://www.hosteurope.de/de/Host-Europe/Support-Service/#Kontakt-Beratung


schreib nen brief
kontaktier den webmaster
versuch den normalen kontakt
kontaktier den betreiber
melde missbrauch beim provider
also mir würde viel einfallen

/edit:
blöd nur wenn die daten nicht mehr aktuell sind
kommt auch immer wieder mal vor

/edit2:
dann mal ein bisschen weniger daten von diese satz

 

[r0ck3r]

@azereus:
Klar sind die Daten frei zugänglich, aber gab es da nichtmal irgendwas, dass man so einen Datensatz nicht öffentlich posten soll?

 

[Fawk]

@anonymous_user: Ohne jetzt super scharf schießen zu wollen, aber Hetzner ist (meine persönliche Meinung) einer der Schlimmsten Hoster im deutschen Raum...dort laufen unmengen an Bots und Spidern, die keinerlei Kennung mitsenden und hunderte bis tausende male am Tag deutsche Webseiten nach "was weiß ich" absuchen, dass ich mit dem melden von kuriosen IPs und IPZugriffen nie wieder aufhören könnte. Ich administriere neben meiner Eigenen eine Hand voll kleinere Webseiten, deren IP-Blacklists vor IPs aus dem IP-Raum von Hetzner überquillen...teilweise kann man die Zugriffe der dort gehosteten Spider schon als DDOS-Attacken werten! Sorry für den Ausbruch und dass es etwas Offtopic ist, aber Hetzner ist für mich die Pest der deutschen Hoster^^

 

[azereus]

ch und dass es etwas Offtopic ist, aber Hetzner ist für mich die Pest der deutschen Hoster^^

also mein root ist bei denen
die einzigen angriffsversuche stammen aus china (vorerst)

 

[Fawk]

Hm das ist interessant, ich habe jetzt mal eine der Seiten mit Denic gecheckt und dort steht, dass die letzte Überprüfung/Aktualisierung tatsächlich 6 Jahre zurück liegt. Einen direkten Hoster konnte ich dort nicht ausmachen, allein eine kleine Firma (mit minimalistischster Internetseite, ohne jede Info) ist dort, neben den Standartdaten originalen Besitzers der Seite als "Technischer Ansprechpartner" gelistet.

@azereus: Das ist nunmal der Fluch eines Hosters mit gigantischen Kapazitäten und geringen Hostingpreisen, jedes Skriptkiddy kann sich dort einen nicht ganz koscheren Spider/Bot zusammenfrickeln bzw. hosten, so dass es unter den zich tausenden Usern nicht auffällt, was da so getrieben wird. Keine Ahnung ob Hetzner aktiv gegen sowas vor geht, aber bei den Erfahrungen die ich schon mit deren Usern/Spidern gemacht habe, würde ich sagen nein bis nicht wirklich.

Ergänzung (23. Mai 2014)

Nachtrag: Wow das nimmt ja immermehr Kriminalausmaße an...

Ich habe jetzt mal aus reiner Kuriosität etwas weiter Recherchiert, die kompromittierten Deutschen Webseiten aus meinem Spambericht genauer unter die Lupe genommen und festgestellt, dass min. drei der befallen Seiten vom selben Macher sind...sogar seine eigene Seite (die minimalistische Webseite des Technischen Ansprechpartners, die ich im letzten Beitrag angesprochen hatte) ist auf die gleiche Weise kompromittiert. Also würde ich mal glatt behaupten, dass der Herr seinen Beruf aufgegeben hat und sich nichtmehr um die Seiten kümmert, oder dass er sich nebenbei etwas Geld als Spammer verdient und die von Ihm erstellten Seiten heimlich verseucht/missbraucht.

 

[Daaron]

Captchas sind wenn überhaupt nur ein temporärer Schutz und deswegen bei solchen Sachen schlichtweg den Aufwand nicht wert.

Kommt immer drauf an, was für eines. Contao nutzt z.B. ein recht interessantes barrierefreies. Da Bots recht große Probleme mit Leseverstehen haben können die "Wie groß ist die Summe aus 5 und 9?" kaum beantworten.

Ja, das ist mir schon klar, aber was will der Betreiber denn abstellen? Die Bots, die sich im Internet rumtreiben?!

Nein, aber er kann die Lücken in seinem System schließen.

@anonymous_user: Ohne jetzt super scharf schießen zu wollen, aber Hetzner ist (meine persönliche Meinung) einer der Schlimmsten Hoster im deutschen Raum...

Als ich das letzte Mal obskure Zugriffe durch Hetzner-IPs auf unseren Maschinen hatte, hab ich die IP an die Abuse-Adresse geschickt zusammen mit n paar Log-Ausschnitten. Ein paar Stunden später waren die IPs nicht mehr pingbar.

Hm das ist interessant, ich habe jetzt mal eine der Seiten mit Denic gecheckt und dort steht, dass die letzte Überprüfung/Aktualisierung tatsächlich 6 Jahre zurück liegt. Einen direkten Hoster konnte ich dort nicht ausmachen, allein eine kleine Firma (mit minimalistischster Internetseite, ohne jede Info) ist dort, neben den Standartdaten originalen Besitzers der Seite als "Technischer Ansprechpartner" gelistet.

Du kannst es mal mit einer Rückwärtsauflösung auf die IP probieren. Unter Linux wäre das dann z.B. "dig -x IP". Aus der rDNS-Antwort kann man ableiten, wer das Rechenzentrum betreibt.

Also würde ich mal glatt behaupten, dass der Herr seinen Beruf aufgegeben hat und sich nichtmehr um die Seiten kümmert, oder dass er sich nebenbei etwas Geld als Spammer verdient und die von Ihm erstellten Seiten heimlich verseucht/missbraucht.

Kann durchaus sein, dass ihm die Seiten inzwischen am Arsch vorbei gehen.

Ich hab vor ein paar Monaten einen meiner ehemaligen Kunden angeschrieben, weil im bei ihm eingesetzten CMS eine Lücke aufgedeckt wurde. Dachte, ich bring mich mal in Erinnerung, n paar Kröten um die Lücke zu stopfen wären doch sicher drin, wär schließlich in unter ner Stunde erledigt gewesen... Ich hab bis heute noch keine Antwort bekommen.
Manchen Menschen ist es einfach egal, was für Seuchenschleudern sie betreiben. Denen kannst du sonstwas erzählen, solange es ihnen nicht an die Brieftasche geht ist es ihnen egal.