BotNetzProvider.de Ein Security Blog über Honig-Töpfe (honeypots) und Bots

20Apr/140

RFID Kredit Karten mit Android NFC kopieren

visa

Vor kurzem , wurde ich an einen Vortrag von mir über Keyless-Go erinnert und die damit verbundenen Relay-Attacken.

Es werden zwei Personen dafür benötigt, einer steht beim Opfer und dessen Zugangskarte (Autoschlüssel), sendet das Signal zu seinem Komplizen am Auto und das Auto öffnet.

Ein ähnliches Vorgehen funktioniert auch bei den neuen Kredit-Karten mit RFID. Diese Funktion sollte eigentlich das kontaktlose Zahlen ermöglichen und kann aber auf die selbe Art und Weise missbraucht werden:

NFC HACKING: THE EASY WAY (EDDIE LEE)

Als Gegenmaßnahmen:

RFID Schutzhüllen
(Amazon)

Geldbeutel mit RFID/NFC Blocker
(Amazon)

10Apr/140

Plesk Update SSL Zertifikate

heartbleed

Normalerweise werden für den Login im Plesk eigene generierte SSL-Zertifikate erstellt, die beim Login auf https://meine-domain.tld:8443 aufgerufen werden.

Weiterhin werden SSL-Zertifikate für einzelne Domains, z.B. Online-Shops,etc zur sicheren Übertragung von Kundendaten genutzt.

Durch den "Heartbleed-Bug" können diese sensiblen Daten (Benutzernamen, Passwörter) mitgelesen werden !

Welche Versionen von OpenSSL sind betroffen?
(laut http://heartbleed.com/)

  • OpenSSL 1.0.1 bis 1.0.1f (einschließlich) sind angreifbar
  • OpenSSL 1.0.1g nicht betroffen
  • OpenSSL 1.0.0 branch nicht betroffen
  • OpenSSL 0.9.8 branch nicht betroffen

Wie update ich mein System?
(Upgrades können von System zu System unterschiedlich aussehen, dies hier ist nur ein Beispiel)

Für Debian Systeme:
sudo apt-get update
sudo apt-get upgrade

Für CentOS Systeme:
yum update OpenSSL

Webserver und Plesk selber nach dem Upgrade einmal neustarten.

Gibt es einen online-Test für den Heartbleed-Bug?
Ja, unter : http://filippo.io/Heartbleed/

Empfehlung:
Es wird empfohlen, sofern echte Zertifikate im Einsatz waren, diese neu von seiner Zertifizierungsstelle zu beantragen. Die Zertifikate könnten kompromittiert sein.

Wo finde ich mehr Informationen?
http://heartbleed.com/

Sollten Sie Hilfe benötigen, können Sie sich hier über das Kontakt-Formular melden.

8Apr/140

OpenSSL BUG! aka. “The Heartbleed Bug” – CVE-2014-0160

OpenSSL BUG! aka. "The Heartbleed Bug"

Mehr Informationen hier : http://heartbleed.com/

Hier kann man Hosts überprüfen, ob diese für CVE-2014-0160 angreifbar ist: http://filippo.io/Heartbleed/
(bitte mit Vorsicht benutzen)

Full Disclosure: http://seclists.org/fulldisclosure/2014/Apr/90

Bash-Test:
(Zeigt aber nur, ob die heartbeat-extention verfügbar ist)

openssl s_client -connect $url:443 -tlsextdebug | grep heartbeat

veröffentlicht unter: news, Sicherheit, Vulnerabilities keine Kommentare
8Apr/141

Millionen von geklauten E-Mail Konten und Passwörter – Ist dein Postfach auch dabei?

logo_bsi_left

Mal wieder sind massenweise E-Mail Daten und Passwörter geklaut worden. Hier der Test, ob auch deine Adresse betroffen ist:

https://www.sicherheitstest.bsi.de/

veröffentlicht unter: news, Sicherheit 1 Kommentar
19Jun/130

Plesk 0day Exploit – KingCope -

Alle älteren Plesk Versionen 7.x bis 10.3.1 sind von dem Exploit betroffen und sind angreifbar.

Lösung:
Updaten Sie Ihr Plesk mindestens auf die sichere Version: 10.4.x oder 11.x
Diese Version ist von dieser speziellen Sicherheitslücke nicht betroffen!

Parallels Plesk hat auch einen Best Practices Guide zum Absichern von Plesk veröffentlicht: http://kb.parallels.com/en/114396/?show_at=de

Ist mein System gehackt?

Sofern Sie von Ihrem Provider eine Abuse E-Mail bekommen haben, ist es meist schon zu spät und man wurde Opfer des Hackerangriffs.

Des weiteren werden, nach einem erfolgreichen Angriff, Perl Skripte unter:

/tmp/
/var/tmp/

abgelegt.
Sofern sich dort ungewöhnliche Dateien befinden, sollte man einmal genauer seine Prozesse und offenen Verbindungen überprüfen.

Sollten Sie professionelle Hilfe benötigen:

ITS Netzwerk Services

Unser Service umfasst:

  • Schnelle Hilfe bei akuten Sicherheitsproblemen und Hackerangriffen
  • Sicherheitslücken in CMS (z.B. Joomla,Wordpress,etc) schließen
  • Langfristige Wartung und Administration Ihrer Systeme
  • Angriffsanalysen und Auswertungen der Angriffe
  • Bedrohungsanalysen
  • Sicherheitsüberprüfung Ihrer Systeme

Wenn Sie ein individuelles Angebot einholen möchten, schicken Sie uns eine E-Mail an: service@its-netzwerk.com oder besuchen Sie uns www.its-netzwerk.com

25Jul/121

Plesk startet nicht mehr – Plesk wurde gelöscht

Mein Plesk wurde gelöscht?!

Nach einem automatischen Update ist Plesk 10.4.4 nicht mehr zu erreichen.
Es lässt sich sowohl über die Weboberfläche unter

https:://meine-domain.de:8443

als auch über SSH nicht mehr aufrufen bzw. starten.

Was ist passiert?

Bei näherer Betrachtung der Plesk autoupdate Logfiles unter /tmp/plesk_10.4.4_installation.log

**** problem report *****

ERROR while trying to chown root:psaadm /opt/psa/admin/sbin/wrapper Check the error reason(see log file: /tmp/plesk_10.4.4_installation.log), fix and try again STOP Bootstrapper 10.13.4 post-install for BASE AT Tue Jul 17 07:07:07 BST 2012 To complete product installation one should run bootstrapper script: /opt/psa/bootstrapper/pp10.13.4-bootstrapper/bootstrapper.sh repair

sieht man, dass etwas definitiv schief gegangen ist!

Zu diesem Zeitpunkt funktionieren zwar die meisten Webseiten noch auf dem Server, doch man erkennt, weitere Probleme:

  • /usr/local/psa Verzeichnis fehlt
  • /opt/psa/admin/sbin/ hier fehlen Dateien z.B. der oben genannte wrapper
  • Über 80% der Plesk Dateien sind gelöscht worden auf dem Server.

Ist der Fehler bekannt?

Laut Plesk ist der Fehler am 20.Juli.2012 behoben worden. Link
Hier wird bestätigt, dass es bei einem Mikroupdate zum Verlust von Plesk Dateien kommt.

Wir kann ich das Problem lösen?

Vorbereitung:
  • Erstellen eines Backups der Datenbank (mySQL)
  • Webseiten Daten Backups erstellen
  • Mailboxen backupen.

 

Es wird empfohlen auf die aktuelle Version 11 zu updaten (siehe http://blog.botnetzprovider.de/2012/07/25/sicherheitlucke-plesk-und-deren-folgen/

Der Plesk Installer:

Downloaden des Plesk Installers unter: http://www.parallels.com/de/download/plesk/

Dieser wird benötigt, um Plesk 11 auf Ihrem System zu installieren oder ggf. ein Upgrade auf Version 11 durchzuführen . Bitte beachten Sie, dass Sie den Plesk-Installer für Ihre Distribution downloaden.

Nun startet man den Plesk-Installer mit

./parallels_installer_v3.12.0_....

sollte dies nicht funktionieren, müsssen Sie die Datei noch ausführbar machen.

Dies geschieht mit

chmod +x parallels_installer_v3.12.0_....

Bitte folgen Sie nun den Anweisungen des Plesk-Installers.
Nach einem erfolgreichen Upgrade sollte Ihr Plesk wie gewohnt unter

https://meine-domain.de:8443

zu erreichen sein. Alle Ihre bisherigen Einstellungen sollten nun auch in Plesk 11 vorhanden sein. Passwörter und andere Einstellungen sind nicht verändert worden.
Sollten Sie Hilfe benötigen bei der Installation oder beim erstellen von Backups:

 

ITS Netzwerk Services

Unser Service umfasst:

  • Schnelle Hilfe bei akuten Sicherheitsproblemen und Hackerangriffen
  • Sicherheitslücken in CMS (z.B. Joomla,Wordpress,etc) schließen
  • Langfristige Wartung und Administration Ihrer Systeme
  • Angriffsanalysen und Auswertungen der Angriffe
  • Bedrohungsanalysen
  • Sicherheitsüberprüfung Ihrer Systeme

Wenn Sie ein individuelles Angebot einholen möchten, schicken Sie uns eine E-Mail an: service@its-netzwerk.com oder besuchen Sie uns www.its-netzwerk.com

 

 

25Jul/120

Sicherheitlücke Plesk und deren Folgen

In den letzten Wochen ist viel rund um Plesk passiert.

Angefangen hat es mit einem Angebot von einer Hacker Gruppe, die für ein paar Tausend Dollar ein 0-Day Exploit für Plesk zum Verkauf angeboten hat. Zunächst wurde es als Hoax abgehandelt, bis schließlich die ersten gehackten Server aufgetaucht sind.

Laut Plesk handelt es sich wohl nicht um eine neue Sicherheitslücke, sondern um eine alt bekannte:

No, there is no new security problems in Plesk 10.4.4. The
vulnerability is the old one. Please refer to this article in our
knowledge base: http://kb.parallels.com/en/114330

The attack could occur on patched server if:

1) passwords were stolen previously when servers had a vulnerable
version of Plesk installed. If passwords were not changed using
http://kb.parallels.com/en/113391, then attackers could use them in
order to hack servers.

2) passwords were changed using http://kb.parallels.com/en/113391, but
some end-users changed their passwords back to old ones.

Man kann sich diesbezüglich nicht 100% sicher sein, aber die Analysen laufen noch.

Im Plesk Forum wird von Administratoren berichtet, die trotz des Einspielens der Sicherheitsupdates von Plesk und das Ändern sämtlicher Passwörter in kürzer wieder gehackt worden sind. Hier stellt sich die Frage, ob die Administratoren von Anfang an nach Backdoors und neu angelegten Usern gesucht haben?

Plesk Upgrade:
Seit dem 15.Juli 2012 hat Paralles Plesk ein wichtiges Sicherheitsupdates veröffentlicht für alle Plesk Versionen (v8-10) und Plesk 11 (nur für Windows). Leider wird nicht viel zu dem Update geschrieben, nur das es als „critical“ eingestuft wird und jeder installieren muss. Link

 

Wie kann ich feststellen, ob mein Server gehackt worden ist?

  • Produziert Ihr Server ungewöhnlich viel Traffic?
  • Reagiert er langsamer als normal
  • Hat Ihr Virenscanner verdächtige Dateien gefunden?

Oftmals werden von den Angreifern Cronjobs angelegt und können unter

$ ls /var/spool/cron/tabs/

eingesehen werden.
Gerne werden die Cronjobs als User www-data angelegt und rufen schadhafte Skripte auf.

Auch sollte man die Prozessausgabe „ps“ sich mal genauer ansehen, um ungewöhnliche Prozesse zu identifizieren.

Ein weiteres hilfreiches Tool zur Analyse ist „netstat“ mit dem man offene Verbindungen überprüfen kann.

Falls man mit der Analyse überfordert ist, oder nicht genau sicher ist sollte man sich professionielle Hilfe holen. Ein gehackter Server kann schnell zu vielen Problemen führen.

 

ITS Netzwerk Services

Unser Service umfasst:

  • Schnelle Hilfe bei akuten Sicherheitsproblemen und Hackerangriffen
  • Sicherheitslücken in CMS (z.B. Joomla,Wordpress,etc) schließen
  • Langfristige Wartung und Administration Ihrer Systeme
  • Angriffsanalysen und Auswertungen der Angriffe
  • Bedrohungsanalysen
  • Sicherheitsüberprüfung Ihrer Systeme

Wenn Sie ein individuelles Angebot einholen möchten, schicken Sie uns eine E-Mail an: service@its-netzwerk.com oder besuchen Sie uns www.its-netzwerk.com

13Nov/111

Online Selbstschutz – Was kann ich tun?

Wir als Kunden müssen uns vor Hackern schützen, mehr als je zuvor!

Man fühlt sich als Kunde eines ISP / Hoster / Online-Gaming Portal immer mehr alleine gelassen, was den Datenschutz angeht.

Leider musste ich vor kurzem wieder lesen, dass es einen möglichen erneuten Einbruch bei dem Hoster 1blu gab. Ist nun nach Hetzner auch 1blu Opfer eines Hackerangriffes geworden?

Kurz darauf kam eine weiter Hiobsbotschaft, dass bei Valve "Steam-Plattform" eingebrochen worden ist.
Nach Sony ist Valve einer der größten Gaming-Portale, mit der Möglichkeit online Spiele zu erwerben.

Kurz zusammen gefasst, gab es in den letzten Wochen mehr als einen großen Einbruch, bei dem möglicherweise Kundendaten und Kontodaten bzw. Kredit Karten Daten entwendet worden sind.

Das verunsichert uns als Kunde. Wenn man schon seinem Provider / Gaming-Portal Anbieter nicht mehr vertrauen kann, wem dann?

Daher bin ich der Auffassung, dass man sich als Kunde, mehr um seine eigenen Datensicherheit kümmern sollte. Ich versuche hier ein Beispiel zu geben, wie man zumindest die Zahlungsmethoden, etwas verbessern kann.

Da man bei der Bestellungen einer Dienstleistung keine falschen Personenangaben machen darf, muss man sich auf die Zahlungsmethoden konzentrieren. Damit man dabei auch im legalen Ramen bleibt, empfiehlt sich der Einsatz von "Einmal Kreditkarten" oder "Pre-Paid Kreditkarten"

Diese "Pre-Paid" Karten kann man anstatt seiner eigenen Kredit Karte zum bezahlen verwenden.

Dies hat einen großen Vorteil:

Sofern bekannt wird, dass es einen Hackereinbruch gegeben hat, kann man diese Karte einfach vernichten und sich eine neue Pre-Paid Kreditkarte zulegen. Ohne befürchten zu müssen, dass die Kreditkarten Nummer irgend wo im Internet zum Verkauf angeboten wird. Des weiteren spart man sich den Ärger mit seiner Bank. Dort muss man anrufen und jeden unrechtmäßige Buchung zurück fordern oder ggf. die Karte sperren lassen. Diese Vorgänge sind meistens auch immer mit weiteren Kosten verbunden.

Auch dient eine Pre-Paid Kreditkarte zur Kostenkontrolle. Dort kann nur so viel ausgegeben werden, wie man zuvor auf die Karte transferiert hat.

Sofern der Einsatz einer Pre-Paid Kreditkarte nicht möglich ist und man ein normales Konto anbeben muss, empfiehlt sich folgendes:

Heutzutage kann man ohne Probleme ein weiteres Online-Bankkonto eröffnen. Dies sollte man dazu benutzen, sich bei den o.g. Diensten anzumelden. Durch das separate Konto hat man die volle Kostenkontrolle und kann ggf. ungewollte Abbuchungen stornieren lassen. Da dieses "Zweit-Konto" nicht als Gehalts- oder Sparkonto genutzt werden sollte, hat der Hacker auch nicht die Möglichkeit, "viel" Geld abbuchen zu lassen. Auf diesem Konto sollte immer nur so viel Geld liegen, wie man monatlich für die Dienstleistungen in Anspruch nimmt.

Fazit:
Schade, dass man solche Vorkehrungen treffen muss, aber die Vergangenheit hat gezeigt, dass wir als Kunden uns mehr schützen müssen. Auf den Verkauf der einzelnen Datensätze, speziell Name/Adresse/Alter/E-Mail, werde ich hier nicht weiter eingehen. Dafür müsste man sich, in einem weiteren Artikel, mal Gedanken machen. Ich hoffe mit diesem Artikel, nicht nur die einzelnen Benutzer ein wenig zu sensibilisieren, sondern auch die Anbieter der Dienstleistungen unsere Daten separat zu speichern.

3Nov/118

Ist deine E-Mail Adresse gehackt, überprüfe es bei pwnedlist.com

pwnedlist.com Bild

https://pwnedlist.com ist ein Service von Alen Puzic und Jasiel Spelman. Beide arbeiten bei DVLabs.

Sie haben es sich zur Aufgabe gemacht, alle veröffentlichten Pastbin / Torrent Dateien die sensible E-Mail Adressen und Passwörter enthalten zu sammeln. Auf diesem Wege werden, von Zeit zu Zeit, immer wieder "Full disclosure" Artikel veröffentlicht von Hackergruppen.

Puzic schreibt: "Ich habe versucht innerhalb von 2 Stunden so viele Daten wie möglich zu sammeln und bin auf 30.000 Benutzernamen und Passwörter gestoßen." Weiterhin schreibt er, dass wöchentlich ca 40.000 neue E-Mail Adressen und Benutzernamen dazu kommen.

Die pwnedlist.com Datenbank enthält ca 5 Millionen gehackte E-Mail Adressen und Benutzernamen. Durch die Eingabe seiner E-Mail Adresse oder Server Benutzernamen, kann man feststellen, ob diese irgendwo im Netz bekannt sind.

Auf der Webseite pwnedlist.com selber, werden keine sensiblen Benutzerdaten und Passwörter gespeichert. In der Datenbank ist lediglich der Hash zu der E-Mail Adresse / Benutzernamen gespeichert und ob diese im Netz bekannt ist. Die Datenbank gibt lediglich ein "JA" oder "NEIN" zurück, so Puzic.

Was sollte ich machen, wenn meine E-Mail Adresse dort gelistet ist?
Keine Panik! Das die Adresse in der Liste erscheint, heißt noch nicht, dass diese auch von Hackern missbraucht worden ist. Man sollte sofort das Passwort des besagten Accounts / E-Mail Adresse ändern. Natürlich sollte man auch alle seine anderen Passwörter einmal ändern, da es nicht ausgeschlossen ist, dass diese auch missbraucht worden sind. Gerne wird auch nur ein Passwort für alles verwendet, dann muss man all seine Dienste die man mit diesem Passwort geschützt hat ändern.

Die beiden Sicherheitsexperten wollen in Zukunft Updates auf Twitter veröffentlichen. Ihr Twitter Account: @pwnedlist

Die Webseite ist wieder ein gutes Beispiel, dass man verschiedene Passwörter für verschiedene Online-Dienste nutzen sollte. So sollte man für sein E-Mail Postfach ein anderes Passwort verwenden, wie z.B. für sein Ebay Account.

Wie sieht ein sicheres Passwort aus?
Ein sicheres Passwort sollte aus mindestens 9 Zahlen & Buchstaben (Groß+Kleinschreibung) bestehen. Der einfachste Weg sich ein sicheres Passwort zu merken ist, sich einen Satz zu merken und dann ein paar Sonderzeichen bzw. Zahlen hinzufügen.

Beispiel:

Satz: "Mein Hund hat die Katze des Nachbarn gebissen"

Wir nehmen nun die Anfangsbuchstaben des o.g. Satzes: MHhdKdNg und fügen am Ende noch ein "!" hinzu. Dann erhalten wir:

Passwort: MHhdKdNg!

Gerne kann man hier noch eine Zahl mit einbringen, z.B. "MHhdKdNg2011!"

Update:
http://blog.botnetzprovider.de/2014/04/08/millionen-von-geklauten-e-mail-konten-und-passwoerter-ist-dein-postfach-auch-dabei/

26Okt/110

Google Halbjahres Bilanz

Report zur Herausgabe der Benutzerdaten

Google hat im ersten Halbjahr 2011 über 6000 Anfragen bekommen, Benutzerdaten zur strafrechtlichen Verfolgung heraus zu geben. Dies geht aus dem offiziellen Bericht von Google hervor. Dies ist eine Steigerung von 29% im Vergleich der letzten 6 Monate.

5950 Anfragen waren von US Strafverfolgungsbehörden. Es wurde um die Herausgabe von über 11000 Benutzerkonten, bei Google und Youtube gebeten.

Google ist diesen Anfragen in 93% der Fällen so schnell es ging nachgekommen.

Die zweithöchste Anfrage an Google kam aus Indien mit über 1700 Anfragen bezüglich der Herausgabe von über 2400 Benutzerkonten. England hat nach Indien über 1200 Anfragen an Google gestellt.

Google ist die einzige große Internet Firma, welche einen transparenten Bericht, über die herausgegebenen Daten veröffentlicht. Was machen andere Firmen? Alles still und heimlich?

Weitere Links:
Transparency Report (raw data)

veröffentlicht unter: news keine Kommentare
/* google like button API */