Servus,

einem Bekannten wurde jetzt das zweite mal innerhalb 4 Wochen auf das Controlpanel seines Hosters zugegriffen.
Lt. Seitenbetreiber kann der nicht nachvollziehen, wie der ins Ssystem kam - außer halt mit einem PWD. Da mehr oder weniger Zeitgleich seine Rechner zu Hause mit einem Verschlüsselungstrojaner überrollt wurden, gehe ich aktuell davon aus, dass die immer noch Zugriff auf sein System haben und daher das neue Passwort übernommen haben.

Ich habe jetzt ihm geraten, dass ich die PWD von meiner Kiste aus ändere, was ich auch gemacht habe. Was mir aufgefallen ist, "meinen" ftp-Zugang zur Seite hat der Angreifer gelöscht und einen "Default" Zugang angelegt. das Passwort habe ich schon geändert. Ich habe alle Dateien mal durchgeschaut, keine Änderung lt. Datumsangabe seit dem letzten Einbruch.

Ich werde jetzt noch die pwd der Emailaccounts ändern - Datenbanken sind keine angelegt - hat jemand ne Idee, was ich ggf. übersehen habe / noch überprüfen könnte?

Grüße

Zunächst mal würde ich das infizierte System "wegschmeißen", d.h. der (oder die?) Rechner auf dem der Trojaner gewütet hat, sollten platt gemacht werden erst dann wieder ins Netz.

Mir ist etwas vergleichbares einmal vor ein paar Jahren passiert. Vermutlich wurden die FTP-Zugangsdaten abgefischt (Filezilla, Klartext). Dann wurde per FTP ein JavaScript in die index.html bzw. index.php eingefügt, das versucht hat, Schweinkram zu verbreiten. Glücklicherweise ist das recht schnell aufgefallen, weil dadurch die Seite nicht mehr korrekt funktioniert hat.

Ich habe dann das FTP-Passwort geändert, die index.html des CMS durch "Wartungsarbeiten" ersetzt (also die Seite defacto abgeschaltet), "Format c:\", Windows neu installiert, mir dann die Dateien des CMS auf dem Server näher angeschaut (da gibt's ein Check-Tool für), und dann die Seite wieder online gesetzt. Und den Vorgang auf der Seite transparent veröffentlicht.

Diese Maßnahmen haben geholfen - danach hatte ich keine Probleme mehr damit. Wichtig ist halt, dass das kompromittierte System ersetzt wird - und zwar nicht nur mit "Antivirus", sondern komplett neu.

das ist zum Glück erst mal sein Problem. am liebsten wäre mir, er würde seine Kisten alle wegschmeißen, da steht lt ihm noch ein Windows XP Rechner irgendwo in der Ecke

Insbesondere vergessen viele die Dateien auf dem System. Manche machen nur das Betriebssystem platt, starten aber vorhandene Exen, Setups oder Office-Dateien mit Makros munter nach dem Neuaufsetzen wieder, so dass ein darin eingeschleuster Virus gleich wieder aktiv ist.

Da fängt man sich natürlich sehr einfach etwas ein, wenn der noch am Netz hängt. Einen XP-Rechner könnte selbst ich recht einfach kompromittieren (bzw. habe es schon aus Interesse gemacht ), obwohl ich mich damit ansonsten kaum auskenne.

Die Dateien auf dem FTP? Das Änderungsdatum kann man nachträglich ändern. Interesanter sind Transfer- und Zugriffs-logs.
Allerdings bringen die nur was wenn sie unter einem anderen Zugang liegen oder nicht gekapert werden können. Zumindest bei mir sind die Dateien für mich read only.

Danke, das hatte ich schon befürchtet, die Nacht hat der Provider aber nochmal eine Prüfung durchgeführt und 3 Dateien wurden als problematisch angesehen, die habe ich inzwischen gelöscht. Dann werde ich mir das Zeugs nochmal speziell auf PHP/JS durchschauen ob da noch was rumliegt was suspekt ist...

Vielleicht ist mit dem Verschlüsselungstrojaner auch weitere unerwünschte Schnüffelsoftware bei ihm gelandet.

Ähnliches ist letztens beim Linus Tech Tips Youtube-Kanal passiert:

Jemand war als Admin auf einem infizierten System eingeloggt. Die Schnüffelsoftware hat aber nicht das Passwort geklaut, sondern den Session-Cookie aus dem Browser.

Egal wie oft das Passwort geändert wurde, und auch egal ob ggf. sogar ein Zweitfaktor beim Login abgefragt wurde: am Ende landet ein Cookie im Browser als Beweis das er authentifiziert wurde. Wird dieses Cookie Abgefangen, kann ein Angreifer damit mit seinem Browser den Login umgehen und ist sofort "drin".

Das ist mal was interessantes!

Also müsste, um das sicherer, zu machen solch ein Key nicht als Cookie abgelegt werden.
Oder zumindest eben nicht auf die Platte geschrieben werden. Es ist ja eh nur für die aktuelle Session gültig.

Damit ist faktisch jede Art von Passwort elegant zu umgehen solange der Angreifer schon im System ist.

Das sollte auf die Todoliste von Browserherstellern. Cookies nicht mehr auf die Platte zu schreiben wenn da ein Sessionkey drinne ist

Wenn fremde Software auf Deinem System mit Admin-Rechten läuft, kann die auch Browser-Plugins installieren.
Oder, noch einfacher, einen lokalen Proxy registrieren der HTTPS aufbricht (mit einem lokalen Zertifikat, das ja auch installiert werden kann). Dann kann er die cookies (und alles andere auch) schon unterwegs unverschlüsselt abfangen.
Kurzum: Das ist nicht mehr "Dein" Computer. Da hilft es auch nichts wenn die Tools wie Browser keine Files sondern was auch immer nutzen um Daten abzuspeichern.

Danke. Krass, dass so was möglich ist. Ich frage mal beim Provider nach, ob die schauen können, welche Session-Cookies auf dem Zugang aktiv sind, damit die die einmal wegschmeißen...

Grüße