Schlagwort: Hacker

Veröffentlicht am

Phishing – Confirm your PayPal Anti-Fraud Protection

phising.gifAlle Tage wieder ein Versuch an Daten von User zu kommen, diesmal über PayPal. Viele User haben ihr Konto bei PayPal und einige sind schon auf diese Mails reingefallen. Die Absenderadresse ist service@intl.paypal.x.com und hat mit PayPal nichts zu tun! Also Augen auf!

Hinter dem Link: www.paypal.com verbirgt sich:
https://secure.paypal.com.session-89691(…)6525.ssl67.ru/ – da sind wieder die Russen am Werk (!Bitte nicht draufklicken!).

Ähnliche Mails werden von den Betrügern als Bankdatenüberprüfung oder Sicherheitsüberprüfung gesendet. Die einzige Gemeinsamkeit besteht darin, dass es um das ausspionieren von Daten geht – wer seinen Menschenverstand benutzt kommt schnell dahinter, Banken oder ähnliche Institutionen machen es niemals über den normalen Mailverkehr. Aber darüber ist im Internet und in den Medien schon soviel besprochen und aufgeklärt geworden. Sehr verwunderlich – es fallen immer wieder einige darauf rein.

PayPal – The safer, easier way to pay
Use your credit card without exposing your card number to merchants.
Speed through checkout without stopping to enter your card number or address.
Send money to family and friends for free.

Fight fake emails
Make sure you’re using the latest internet browser.
Visit the PayPal Security Center.

Protect Yourself from Fraud!

Dear user,

We have noticed an increasing fraudulent activity recently In order to provide your security and protect you from fraudsters we have introduced a new system of identification that will help us to avoid any kind of fraud or unauthorised access.
To complete your Anti-Fraud Protection, you must click the link below and enter as more information as possible to provide your complete identification and to activate all the features of the new system.

https://www.paypal.com

Please do not reply to this email. This mailbox is not monitored and you will not receive a response.

Copyright © 1999-2008 PayPal. All rights reserved.

Consumer advisory- PayPal Pte. Ltd., the holder of PayPal’s stored value
facility, does not require the approval of the Monetary Authority of Singapore.
Users are advised to read the terms and conditions carefully.
PayPal Email ID PP876

Veröffentlicht am

Hacked By GHoST61 – JackaL

Da hat mich wohl jemand besucht. Als ich gestern im Adminbereich war, prangt dort (Menü Tellerrand) „Hacked By GHoST61 – JackaL“. Da war ich doch sehr überrascht, das jemand soweit gekommen ist. Respekt vor solchen Menschen die so etwas hinbekommen und dann auch keinen Schaden anrichten. Ich habe zu wenig Programmierkenntnisse um so etwas selbst machen zu können.
Ich suchte nach dem Begriff „Hacked By GHoST61 – JackaL“ mit einer bekannte Suchmaschine, die mittlerweile eine Monopolstellung hat und dort fand ich ziemlich viele Seiten die gehackt geworden sind. Seltener deutschsprachige Seiten – dafür aber ziemlich viele Joomlaseiten. WordPress-Blogs waren eher seltener darunter.

Manchmal sind solche Ereignisse ganz gut, um eine nachlässige Sicherheitspolitik aufzuweisen. Ab er dann fängt die Suche im trüben Wasser der Datenbank, Dateistruktur und des Content an.

hacking.jpg

Nun beginnt die Suche im trüben Wasser nach dem Backdoor

Immerhin hat der Hacker die Seiten bzw. den Blog nicht zerstört. Vielen Dank! Normalerweise prangt ja direkt auf der Startseite „Hacked By GHoST61 – JackaL“ mit einem netten Bildchen, damit auch jedem Besucher klar ist – hier wurde die Seite gehackt. So sah ich es eher als sportliche Herausforderung an, mich auf die Suche nach der Lücke zu machen.

Fündig wurde ich schon mal in der Datenbank. Dort waren 18 Einträge in der wp_table_statistics_raw und einiges deutete darauf hin, es muss ein Plugin sein.

In die engere Wahl kam das Plugin „Lightbox 2“, dort besteht meines Erachtens die Möglichkeit über JavaScript den Code einzuschleusen. Ich habe einfach die Tabellen wo der Begriff „GHoST61“ stand gelöscht. Danach alle Plugins upgedatet und die .htaccess Sicherheitstechnisch angepasst, die Passwörter geändert (Datenbank) und stärker verschlüsselt. Vermutlich habe ich nicht alle Backdoors geschlossen, aber den Leuten bei Cern ging es mit den Hackern auch nicht viel besser. Sehr beruhigend.

Leider stand der Text immer noch im Adminbereich, also das Verzeichnis durchforstet und siehe da – alle index.php (Templates, wp-admin-Bereich …) waren verändert (über das Veränderungsdatum habe ich es rausgefunden). Die habe ich durch den letzten Backup ersetzt und nun schaut es wieder ziemlich gut aus.

Mal sehen ob mir GHoST61 die nächste Lücke zeigt – solange er nicht meinen ganzen Blog platt macht. ;-)

Er muss ziemlich gut in Übung sein, denn er hat am 11.09.08 ziemlich viele Schweizer Seiten gehackt: WWW Defacements News Flash

Davon mal abgesehen finde ich im Gegensatz zum Hacker gewisse Schnüffeleien von grossen Firmen viel gefährlicher. Dazu gehört mittlerweile auch Google und was fast noch schlimmer anmutet ist, das der Firefox Daten an Google weitergibt. Siehe: Firefox sendet wie Chrome Daten an Google (Heise)

Ich persönlich würde vom Google-Browsers Chrome abgeraten – ausser man will ausgeschnüffelt werden. Dazu schreibt das Bundesamt für Sicherheit in der Informationstechnik: BSI-Position zu Google-Chrome