hallo,

an alle die bei GONEO ihre seite gehostet und die in letzter zeit auch merkwürdige dinge auf ihrer seite festgestellt haben.
Wahrscheinlich konnten durch eine sicherheitslücke die ftp-passwörter von mehreren 100 oder mehr webseiten gestohlen werden.
ich habe diese sache ins rollen gebracht und auch einem antivirenhersteller die dateien zur analyse eingeschickt.

dabei ist folgendes herausgekommen:
*****
"We meanwhile created detection for the 3 binary unique malicious files:
eaybtbmj.js-1 JS_REDIRECTOR.CX
eaybtbmj.js JS_REDIRECTOR.CY
1138.php TROJ_MALWARE.VTG "

We created an article regarding this threat you reported:
blog.trendmicro.com/searches-for-free-pr...lead-to-mal-domains/


and

threatinfo.trendmicro.com/vinfo/web_atta...aliciousDomains.html ***************


wenn ihr auch dateien gefunden habt, schickt diese bitte an info@frarwie.de und fragt bei eurem hoster an, ob er euch ein ftp log des letzten monats zur verfügung stellen kann.

vielleicht können wir ja so etwas über den urheber herausbekommen.


bei den mails an goneo lasst euch bitte nicht erzählen, dass ihr unvorsichtig gewesen seid... das stimmt bestimmt bei der hohen anzahl an infizierten seiten nicht.

außerdem sind es hauptsächlich seiten vom hoster GONEO die betroffen sind.


**** UPDATE ****

eine geeignete und angemessene reaktion seitens GONEO hat bis zum heutigen zeitpunkt NIEMAND bekommen.
warum sollte GONEO auch... das geld von uns bekommen sie ja so oder so...
habe weitere "infizierte" seiten gefunden aber bei einem niederländischen hoster.
von ca. 80 leuten die ich angeschrieben habe, haben mir ca. 20 geantwortet. einige haben mir auch ihre dateien zur analyse zur verfügung gestellt.
dafür erstmal - herzlichen dank.

sobald die ergebnisse da sind, melde ich mich.


habe dateien bekommen wo nur noch das java script und eine TXT datei mit dem titel "virusWarning.txt" und dem inhalt
>>Your System was infected with a Trojan which was exploited to remove itself!
Your System has taken part into a attack against google and yahoo!
A security hole should be left but dunno where
at least trojan was removed. Dr.X<<

drin waren...

sind der rest der dateien vom webhoster gelöscht worden oder von dem, der auch das script dort hinterlegt hat...
... der hoster hätte wahscheinlich ALLE dateien gelöscht...

more to follow


...so, neuigkeiten...
GONEO hat sich bei einer von mir angeschriebenen betroffenen wie folg geäußert:

<< Hallo,

Goneo hat mir zurückgeschrieben und das Verzeichnis gelöscht:

___________________________________
Sehr geehrte Frau *****,

wir haben im Zuge der Sicherheit die Einstellung "register_globals" deaktiviert.

Damit war es möglich eine Variable mit Inhalten zu füllen(wie z.B. q=free+printable+maths+tests) und diese an ein PHP Script zu übergeben, sodass beliebig Schadcode übergeben werden konnte, um weitere Aktionen auszuführen.

Dennoch empfehlen wir Ihnen FTP-Kennwörter zu ändern und Ihren PC ggf. auf trojaner oder andere Schadsoftware zu überprüfen. >>

tja, ist nicht viel, aber immerhin schon mal was. zwar nicht das was wir erwarten, aber vielleicht kommt das ja noch.

ach so, ich habe die info, das man DRUPAL mit der einstellung "register_globals" auf ON nicht einfach so installieren kan... stellt sich die frage: wie macht das die CLICKSTART-ANWENDUNG???

hood1207 schrieb:
hallo,

Wahrscheinlich konnten durch eine sicherheitslücke die ftp-passwörter von mehreren 100 oder mehr webseiten gestohlen werden.

bei den mails an goneo lasst euch bitte nicht erzählen, dass ihr unvorsichtig gewesen seid... das stimmt bestimmt bei der hohen anzahl an infizierten seiten nicht.

außerdem sind es hauptsächlich seiten vom hoster GONEO die betroffen sind.



Ich finde, man kann nicht gleich von einer Sicherheitslücke sprechen, wenn noch keine genauen Ergebnisse vorliegen und alles nur auf Vermutungen beruht.
Es gibt genug Leute, die eine Webseite oder einen Blog betreiben ohne auch nur ein paar Gedanken an Sicherheit und regelmäßige Updates zu verschenken.
Es ist also gut möglich, dass nicht Goneo, sondern die User selbst schuld sind. Ich will nicht wissen, wie viele Leute noch die Standardpasswörter verwenden, die die Hoster bei Vertragsabschluss vergeben...

Kuschi

das mit den standardpasswörtern kann gut sein, aber es sind ja nicht überall die gleichen.

stellt sich mir nur die frage: wenn nicht mal inhalt bei manchen webseiten hinterlegt ist, hat dann jemand mit einem trojaner beim hochladen von KEINEM inhalt sein ftp-passwort "preisgegeben"???

hier ein schreiben von GONEO, dass an frechheit kaum noch zu überbieten ist:

Sehr geehrter Herr XXX,
es besteht und bestand zu keiner Zeit, nachweislich, eine Sicherheitslücke bei unseren
Systemen. Wir haben lediglich zwei Dinge verändert:
1. Die FTP‐Kennwörter der Kunden abgeändert, die sich selber darum nicht gekümmert haben.
2. Die PHP‐Einstellung "register_globals" deaktiviert.
Die FTP‐Kennwörter mussten wir ändern, da nachweislich bei einigen Kunden die Computer,
womit diese Ihre Webseiten gepflegt haben, mit Viren/Trojanern infiziert waren und darüber
die FTP‐Kennwörter ausgelesen wurden. Anschließend fand eine direkte Manipulation der
Webseiten per FTP statt.
Die PHP‐Einstellung "register_globals" war bisher bei goneo, wie bei vielen anderen
Providern auch, noch aus Kompatibilitätsgründen zu älteren Scripten aktiviert. Da aber bei
unsauber programmierten PHP‐Scripten dies dazu führen kann, dass Dritte schadhaften Code
in Scripte und Verzeichnisse einfügen können, haben wir dies standardmäßig deaktiviert um
solchen Angriffen zukünftig vorzubeugen.
Es handelt sich also nicht um eine Sicherheitslücke bei unseren Systemen. Wir bitten Sie
daher freundlich darum, nicht irgendwelche Vermutungen und Unwahrheiten wiederzugeben, die
nicht auf Tatsachen beruhen.
Bei weiteren Anfragen per E‐Mail bitten wir Sie den Betreff nicht zu ändern!
Mit freundlichen Grüßen
XXX


so weit so schlecht... was da wirklich passiert ist wird wohl nie geklärt werden.

Hallo!

Ich hatte das selbe Problem mit GONEO. Eine schlüssige Erklärung über die Vorfälle habe auch ich nicht erhalten...

"Es handelt sich also nicht um eine Sicherheitslücke bei unseren Systemen. Wir bitten Sie daher freundlich darum, nicht irgendwelche Vermutungen und Unwahrheiten wiederzugeben, die
nicht auf Tatsachen beruhen."


Obige Reaktion von GONEO ist schlichtweg eine Beleidigung! Dass ein (Internet-)Unternehmen seine Kunden in Zeiten von Social-Media als Lügner bezeichnet und für dumm hält hätte ich mir beim besten Willen nicht träumen lassen. Absolutes Armutszeugnis!

Hallo LongIsland,

so wie du wurden wir alle mit der komischen Mail abgefertigt.

Eine schlüssige Aussage zu dem Vorfall und dem was getan wird, das das nicht noch einmal passiert gab es nicht.

Auch das ALLES auf den Nutzer geschoben wurde, obwohl es nachweislich eine Lücke bei GONEO gab, ist eine Frechheit!!!

Aber was will man tun??

Bei soviel Ingoranz hilft nur noch Kündigen... oder ...????!!!???


Zu denken gibt mir der Satz den Hood1207 gepostet hat:
"Die FTP‐Kennwörter mussten wir ändern, da nachweislich bei einigen Kunden die Computer,
womit diese Ihre Webseiten gepflegt haben, mit Viren/Trojanern infiziert waren und darüber
die FTP‐Kennwörter ausgelesen wurden. Anschließend fand eine direkte Manipulation der
Webseiten per FTP statt."

Den Nachweis hätte ich gern!!!!

Ich für meinen teil kann DEFINITIV ausschliessen, dass mein Rechner verseucht ist!!!