News Darkleech-Toolkit kompromittiert Apache-Server

Betagnom

Ensign
Dabei seit
Jan. 2006
Beiträge
188
Na alle Achtung das ist ja ein dicker Hund.
Im Grunde könnte jeder Apache ab 2.2.2 damit infiziert werden, und man merkt es nicht mal ?
Noch trivialer finde ich, dass man die Lücke dafür nicht wirklich kennt

...
 

danny38448

Banned
Dabei seit
Apr. 2011
Beiträge
1.330
schade das man nie weiss wer hinter sowas steht...

die leute würde ich für immer wegsperren bei wasser und brot....aber dann sitzen warscheinlich ne million gleichzeitig im knast :cool_alt:


wenn ich eins hasse sind es spamm,trojaner und das ganze vierengelumpe:cool_alt:
 

Cool Master

Fleet Admiral
Dabei seit
Dez. 2005
Beiträge
28.181
Hmm wäre interessant wie man das Teil bekommt... Da ich mich mit 3 Server per SSH verbinde wäre das schon von interesse :D
 

wahli

Vice Admiral
Dabei seit
Feb. 2010
Beiträge
6.278
Und wie kann ich feststellen, ob meine Server davon betroffen sind?
 

testuser58

Lt. Junior Grade
Dabei seit
Feb. 2007
Beiträge
352
Die IPs des Seiteninhabers werden ebenso wenig infiziert wie die von Sicherheitsunternehmen oder Webhostern, deren IPs von der Schadsoftware in einer Blacklist gespeichert werden
Kann mir das jemand erklären? Für mich klingt das, als wären das Kriterien für das Einschleusen der iFrames - wenn Darkleech keine Server infiltriert, die eine IP des Seiteninhaber haben - bleiben dann noch Seiten übrig?!
Und warum werden webhoster ausgeschlossen?!
 

henny95

Lieutenant
Dabei seit
Jan. 2012
Beiträge
854
Die anhaltenden Attacken haben allein in den letzten Wochen bis zu 20.000 Apache-Server befallen. Das brachte eine Untersuchung von Cisco jetzt ans Licht....
Die Untersuchung von Darkleech durch den Netzwerkausrüster Cisco, die über sechs Wochen im Februar und März 2013 stattfand, belegte die Infektion von mindestens 2.000 Apache-HTTP-Servern in diesem Zeitraum. Da ein Apache-Server im Durchschnitt rund zehn Webseiten hostet, kommt die Zahl von rund 20.000 neu infizierten Webseiten zustande.
Irgendwas stimmt da nicht ganz. ;)
 
R

Rob83

Gast
Ich würde die Hackerei auf ein ganz neues Niveau heben.

Der Staat erstellt Viren die alles infizieren was nicht ein Minimum der nötigen Sicherheit bietet.
Danach erstellt der Virus eine E-Mail mit Bußgeld :D

Wer sich die Mühe macht und mit einem Tool nach Sicherheitslücken scannt, der fällt tot um wie viele das sind.
Da fragt es sich nicht ob man hackt, sondern wo zuerst.
 
Zuletzt bearbeitet:

Lavaground

Lt. Commander
Dabei seit
Dez. 2006
Beiträge
1.146
Kann mir das jemand erklären? Für mich klingt das, als wären das Kriterien für das Einschleusen der iFrames - wenn Darkleech keine Server infiltriert, die eine IP des Seiteninhaber haben - bleiben dann noch Seiten übrig?!
Und warum werden webhoster ausgeschlossen?!
Seiteninhaber / Webhoster und Sicherheitsfirma werden ausgeschlossen. Warum? Na damits nicht auffällt, dass der Server infiziert ist....
 

spamarama

Captain
Dabei seit
Apr. 2010
Beiträge
3.786
D

Dawzon

Gast
Oder ein ordentliches Anti-Viren Programm in Kombination mit stets aktuell gehaltenen Anwendungen (Browser, Mail-Client etc.) und System-Updates. ;)
 

Cool Master

Fleet Admiral
Dabei seit
Dez. 2005
Beiträge
28.181

mambokurt

Commander
Dabei seit
Aug. 2011
Beiträge
2.097
Oder ein ordentliches Anti-Viren Programm in Kombination mit stets aktuell gehaltenen Anwendungen (Browser, Mail-Client etc.) und System-Updates. ;)
...half vielleicht vor 5 Jahren noch. Heute brauchst du nur Pech zu haben und zum falschen Zeitpunkt eine Seite zu besuchen, schon hast du dir über eine Lücke im Flash Plugin einen neuen Trojaner eingefangen. Und deine Virensoftware kriegt ihr Update zwar schneller als die Lücke im Flash behoben wird, das heißt aber nicht dass sie es schnell genug bekommt um die Infektion zu verhindern.
Also ich surfe nur noch mit Linuxkisten, mit Windows kaum noch, und wenn ich _müßte_ und auf dem Rechner irgendwas wichtigeres als die letzte Telefonrechnung liegt würde ich da auch nur mit Sandbox arbeiten...
 

rosenholz

Lt. Junior Grade
Dabei seit
Dez. 2011
Beiträge
332
@Mambokurt: Jetzt weiß ich endlich, warum die Alu-Preise in letzter Zeit so gestiegen sind....
 

mambokurt

Commander
Dabei seit
Aug. 2011
Beiträge
2.097
Es ist ein Unterschied ob ich eine bestimmte Serversoftware angreife oder einen Rechner an sich. Im Normalfall laufen Browser & Co mit den Rechten des Nutzers, das heißt viel weiter als zum Homeverzeichnis wird man kaum kommen. Zum Einnisten auf dem Rechner bräuchte man schon eine zweite Anwendung, die mit root-Rechten läuft und übernommen werden kann, wird im Normalfall nur schlecht automatisiert anzugreifen sein.

@rosenholz

Ich benutze schon seit Jahren nur Linux, weil ich damit besser klarkomme. Ich bin also nicht aus Paranoia gewechselt ;) Und was ich da beschrieben habe passiert so tagtäglich, wenn du mir nicht glaubst: https://www.computerbase.de/forum/threads/pc-games-server-gehackt.1050499/. Da wurde unter anderem von großen Sites wie Pc Games aktiv ein Java Exploit ausgenutzt, besuchen der Site bei aktiviertem Javaplugin reichte.

Entgegen landläufiger Meinung hilft so ein Alufolienhütchen übrigens gegen allerlei Viren und Trojaner: einfach mal auf die W-Lan-Antenne setzen und schon ist Ruhe ;)
 
Zuletzt bearbeitet:

testuser58

Lt. Junior Grade
Dabei seit
Feb. 2007
Beiträge
352
Es ist ein Unterschied ob ich eine bestimmte Serversoftware angreife oder einen Rechner an sich. Im Normalfall laufen Browser & Co mit den Rechten des Nutzers, das heißt viel weiter als zum Homeverzeichnis wird man kaum kommen. Zum Einnisten auf dem Rechner bräuchte man schon eine zweite Anwendung, die mit root-Rechten läuft und übernommen werden kann, wird im Normalfall nur schlecht automatisiert anzugreifen sein.
Was hindert das Programm daran, sich dann für diesen Nutzer im System zu verankern?! Natürlich nicht so schlimm, wie für alle Nutzer verankert zu sein - aber besser als nichts ist es dennoch....

Seiteninhaber / Webhoster und Sicherheitsfirma werden ausgeschlossen. Warum? Na damits nicht auffällt, dass der Server infiziert ist....
Ich glaube das Problem ist hier die Formulierung

Darkleech geht bei der Auswahl der Seiten, die befallen werden, äußerst intelligent vor. Die IPs des Seiteninhabers werden ebenso wenig infiziert wie die von Sicherheitsunternehmen oder Webhostern, deren IPs von der Schadsoftware in einer Blacklist gespeichert werden
Hab inzwischen bei heise gelesen, dass diese Auswahl nicht die Server betrifft (wie es "Auswahl der Seiten" hier suggeriert") sondern um die aufrufenden Nutzer. Hier sollen die Betreiber, Betreuer und Sicherheitsexperten nicht angegriffen werden. Ist hier nur schlecht formuliert worden.
 

Cool Master

Fleet Admiral
Dabei seit
Dez. 2005
Beiträge
28.181
@mambokurt

Der Apache ist keine Software sondern ein Dienst. Browser & Co laufen auf einem Server gar nicht, da man keien GUI hat zumindest gute Server Admins brauchen das nicht. Ich selber habe 3 Linux Server und da gehts nur per SSH rein und das wars. Und ich spielte eher darauf an das er meint man sollte doch Linux installieren wenn genau dieses OS in der NEws als Schwachstelle genannt wird...
 

mambokurt

Commander
Dabei seit
Aug. 2011
Beiträge
2.097
Klar, und ein Dienst ist keine Software oder wie :D

Mir ging es eher darum: der Apache ist auf allen angegriffenen Rechnern installiert und von außen zu erreichen, einen normalen Linuxclient über den Browser oder Plugins anzugreifen wird schwieriger werden weil man für einen halbwegs erfolgreichen Angriff nach dem Einfall über ein Programm, welches mit Userrechten ausgeführt wird seine Rechte irgendwie erweitern muß um einen Fuß ins System zubekommen. Pardon wenn ich das missverständlich kommuniziert habe ;)

Und Linux ist eben _nicht_ die Schwachstelle, die Schwachstelle wird irgendein Daemon sein, vielleicht Apache selbst, vielleicht auch Programme wie PHPmyAdmin die gerne mal unzureichend gesichert auf dem Server liegen.

EDIT:
http://blog.unmaskparasites.com/2012/09/10/malicious-apache-module-injects-iframes/

"One of the servers had only one user (dedicated server), used strong passwords, didn’t allow remote root logins, used custom ports and fail2ban to prevent brute-force attack. Nonetheless it was hacked within one month and its administrator couldn’t find sings of the intrusion in logs files, only legitimate logins (of course, with root access, it is possible to remove most traces)."

Liest sich fies... O.o
 
Zuletzt bearbeitet:

kwai

Lieutenant
Dabei seit
Nov. 2006
Beiträge
739
Windows ist genauso wenig die Schwachstelle sondern die Software dadrauf wie z.B. ein Flash-Plugin. :D
Apache2 ist ein guter Webserver. Da wird schnell ein Update kommen und gut ist.



Außerdem muss ein Apache nicht zwangsläufig von außen erreichbar sein. Kann ja auch in einer DMZ o.ä. stehen.

Lücken kommen und gehen.
 
Top