Server gehackt, was tun mit den "gestohlenen Daten"

W

Weble

Guest
Guten Abend!

Ich erhielt heute Mails von Google, dass über eine Seite auf meinem Server eine Phishing Seite betrieben wird, gleich im Anschluss darauf wurde der Server auch vom Hoster gesperrt, ich hatte keine Chance irgendwas zu prüfen was da genau war.

Nach längeren Telefonaten mit dem hoster hat dieser den Server für eine Stunde freigeschalten und da hab ich dann festgestellt, dass ein Installiertes Joomla gehackt wurde und nun beim Aufruf der Domain eine phpshell zu finden war. das ganze passierte offenbar nur wenige stunden bevor der server gesperrt wurde. über die URL's die ich von google gemeldet bekam (Der Hoster konnte mir absolut nicht sagen was der genaue Grund für die Sperrung war) hab ich dann gesehen, dass eine Paypal Phishing Seite auf dem Server untergebracht wurde.

Ich hab daraufhin das ganze erstmal gesichert und dann das komplette Joomla gelöscht.

Derzeit werden alle Daten gesichert und der Server anschließend komplett plattgemacht. Nach Rücksprache mit dem Hoster hat dieser mir dafür bis 23 Uhr zeit gegeben.

Jedoch hab ich in dem Backup des Joomlas jetzt von 9 Personen folgende Daten:
Name, Adresse, Telefonnummer, Kreditkarteninformationen, Sozialversicherungsnummer und IP Adresse. (Alles aus den USA)

Ich habe auch sämtliche Log Files gesichert.

Was mach ich jetzt damit?
Daten auf USB-Stick ziehen und zur Polizei gehen dabei Anzeige auf unbekannt?
Oder einfach löschen (mir persönlich am liebsten, jedoch will ich auch rechtlich auf der sicheren Seite sein.)?

Die Ursache des ganzen war ein veraltete Joomla Version. Der "Kunde" der das ganze betreibt hat von meiner Seite jetzt erstmal ein absolutes Verbot das Joomla wieder zu installieren, es sei den es ist ne aktuelle Version.

Gruß
Markus
 
Einen ähnlichen Fall hatte ich mit einem Nutzer meines Freehosting Dienstes, was soll eine Anzeige bringen falls der Angreifer z.B. aus Russland oder dem Iran kommt?

Hast du die Logs bereits ausgewertet, wenn ja, aus welchem Land kommt der Angreifer?

Logfiles sichern kann nie schaden ;)
 
Last edited by a moderator:
Ich lad mir die Logfiles gerade auf meinen PC herunter leb auf dem Land und dementsprechend ist das Internet nicht sehr schnell...

Anzeige gegen unbekannt deswegen, der "Hacker" hat sich die Daten auch per Mail zuschicken lassen, jetzt besteht doch auch die Gefahr, dass die betroffenen anzeige erstatten, gegen mich, (sollte der Hacker die Daten missbrauchen) weil ich ja in dem fall der "Betreiber" war. Oder währe das in den USA nicht irgendwie möglich, da ja die geschädigten ausschließlich aus den USA kommen.
 
Weble said:
jetzt besteht doch auch die Gefahr, dass die betroffenen anzeige erstatten, gegen mich, (sollte der Hacker die Daten missbrauchen) weil ich ja in dem fall der "Betreiber" war.
Click to expand...
Ich bin zwar nicht dein Anwalt, aber hier brauchst du dir meiner Erfahrung nach keine Sorgen zu machen. Ganz einfach, weil du* schnell reagiert hast.

Was mir nicht ganz klar ist: Welches dieser Szenarien trifft auf dich zu?
  1. Dein Kunde wurde gehackt. Der Angreifer hatte keine Möglichkeit, auf den Server selbst zu kommen. Das Neuaufsetzen des Systems war somit unnötig.
  2. Dem Angreifer war es möglich, "richtigen" Systemzugriff zu erlangen. Du hast also ein grundsätzliches, viel größeres Problem.


* Dein Provider hat eigentlich schnell reagiert, aber das soll mal egal sein.
 
Der Kunde war auch der Betreiber jedoch ist Kunde auch etwas "Übertrieben". Das ganze ist ein Privater Server, auf denen mehrere Webseiten von Freunden gehostet werden unter anderen eine beliebte Fußball Seite und die war eben das Joomla.

Ich hab jetzt die Log-Files überflogen.
Der Angreifer kommt aus Marokko, wobei das vermutlich auch nur n Proxy ist...

@s24!: Szenario 1 trifft zu.

Jedoch musste/wollte ich eben einfach nur so schnell wie möglich an meine Daten kommen, ich persönlich hab da ein Subversion drauf laufen und die Daten sind mir extrem wichtig. Erstelle nur wöchentliche Backups davon. Wobei ab jetzt wohl täglich...
Die meistbesuchte Webseite war eben diese Fußball Seite (an Spieltagen bis zu 10.000 Besucher, da Live-Ticker) der Rest ist/war nicht wichtig. Von dem her kann ich das ganze erstmal vernachlässigen. Und dem "Kunden" des Joomla ist das ganze auch klar. Ich hoste das ganze gerne für Sie, jedoch ohne Garantie oder sonst irgendwas.

*edit*
Ich hatte nichtmal die Chance selber zu reagieren, direkt nach der Mail von Google, die vor der Phishing Seite gewarnt hat, hat schon der Provider reagiert dauerte nichtmal 5 min. Der Provider hat nur darauf hingewiesen, dass etwas nicht in Ordnung ist der server gesperrt wurde ich eine mail an abuse@provide schreiben sollte wenn ich die Ungereimtheit beseitigt habe und der server wird wieder entsperrt, problem hierbei war, wenn die netzwerkschnittstelle deaktiviert ist, hab ich keine chance irgendwas zu tun. (Hatte auch keine Remote Konsole Daten hier und das webinterface des Providers war auch gesperrt)
 
Last edited by a moderator:
Ich denke, wenn nur die Seite deines Kunden und nicht dein Serve rgehackt wurde bist du fein raus aus der Sache, da der Kunde für seine Seite selbst verantwortlich ist (Updates, Sicherheit etc.).

Diese Angaben sind trotzdem ohne gewähr und bitte verbessert mich, falls Ich falsch liege.
 
So der Angreifer kommt aus Irland
Eingedrungen in das System ist er über eine /images/zetha.php
Diese werd ich mir jetzt erstmal genauer anschauen, da wie ich feststellen muss die Datei nicht direkt zu Joomla gehört...

Jup der Kunde ist in der Regel selbst für das ganze verantwortlich. Jedoch ist die Domain unter meinen Namen registriert.

Ich kenn den "Kunden" persönlich, da es ein Freund von mir ist.
 
Okay,
wir werden morgen nochmal mit dem Provider telefonieren und dort auch mal um Rat fragen, die sollten sich damit auch auskennen.
 
Die Phishing-Daten und Logfiles würde ich dem FBI zukommen lassen, damit die die Opfer entsprechend informieren können und ihre (bereits laufenden) Ermittlungen unterstützt werden.

Unabhängig davon:
Bevor Du die Daten löscht, musst Du mit den örtlichen Ermittlungsbehörden und dem zuständigen Datenschutzbeauftragten Rücksprache halten, andernfalls kann man nämlich Dir gewaltig an den Karren pissen.
 
Die Phishing-Daten und Logfiles würde ich dem FBI zukommen lassen,
Click to expand...
Ideal waere es wenn du auch PayPal ueber die Accounts informierst damit diese gesperrt/revalidiert werden koennen.
Danach wuerde ich dringend die Daten loeschen da es sich um illegale Kopien von kritischen Daten die du ueberhaupt nicht besitzen duerftest handelt.

Ein Webhoster hat solche Probleme bis zu mehrfach taeglich je nach Groessen, Kundenstamm und Exploit-Schutz (mod_security mit GotRoot zB).
Dafuer den ganzen Root jeweils platt zu machen ist uebertrieben, dein Anbieter scheint nicht wirklich Erfahrung mit Pishing Abuse-Meldungen zu haben wenn es ein solches Hin-und-Her ist =)
Hetzner geht da imho sehr gut vor; Email mit Abuse-Forward und 24 Stunden Zeit zum Entfernen, bei Sperrung ist's ueber das Interface noch immer moeglich die eigene IP zu whitelisten um das System zu putzen.
 
Last edited by a moderator:
d4f said:
Ideal waere es wenn du auch PayPal ueber die Accounts informierst damit diese gesperrt/revalidiert werden koennen.
Click to expand...
Stimmt, die hatte ich leider vergessen.

d4f said:
Danach wuerde ich dringend die Daten loeschen da es sich um illegale Kopien von kritischen Daten die du ueberhaupt nicht besitzen duerftest handelt.
Click to expand...
Da er sie nun besitzt und hier ein Straftatbestand vorliegt, darf er sie nicht einfach löschen, denn das Vernichten von Beweismitteln ist in Deutschland verboten. Desweiteren würde er durch das Löschen eine Straftat verschleiern, ebenfalls verboten.

Erst wenn die deutschen Ermittlungsbehörden ihr OK geben, darf er löschen. Und wie er bis dahin mit den Daten umzugehen hat, erfährt er vom zuständigen (Landes-)Datenschutzbeauftragten.
 
Da er sie nun besitzt und hier ein Straftatbestand vorliegt, darf er sie nicht einfach löschen
Click to expand...
Da er sie ja dann bereits dem FBI uebermittelt hat ist der Beweis nicht vernichtet sondern nur verschoben worden, es existiert mindestens eine Kopie auf den FBI-eigenen Servern.
 
Die Kopie beim FBI hilft ihm hierbei herzlich wenig, denn darauf haben deutsche Strafverfolger keinen Zugriff.
 
Weble said:
Das ganze ist ein Privater Server, auf denen mehrere Webseiten von Freunden gehostet werden
Click to expand...

Und damit bist du kein Provider und eben nicht raus aus der Haftung/Störerhaftung. Es ist also durchaus möglich, dich wegen deines Servers in Regress zu nehmen.

Komplettes Image machen (nicht nur die Logs), damit zur Pozilei und Anzeige gegen Unbekannt erstatten. Auf keinen Fall löschen, wie Joe User schon festgestellt hat. Die Nummer mit FBI und PayPal wäre nett, ist rechtlich für dich aber kaum relevant.
 
Weil hier die Erstattung einer Anzeige empfohlen wurde: Vorsicht! Bevor Du evtl. zur Polizei gehst bzw. die Daten / den Vorgang an sonst wen übermittelst, solltest Du Dich rechtlich von einem Fachanwalt über die genaue Vorgehensweise beraten lassen. Wenn Deine Aussage nämlich etwas "unglücklich" ist, kann es gut passieren, dass Du damit einen schlafenden Tiger weckst und damit plötzlich selbst Objekt von Ermittlungen wirst. Deswegen fachkundigen Rat holen!

Tip Nr. 2: Niemals etwas unter eigenem Namen betreiben, was nicht Dir gehört und wenn es auch der beste und absolut vertrauenswürdige Kumpel ist. Jeder steht nur für sein Zeug gerade.

Tip Nr. 3: gerade beim Einsatz von Joomla und Co. - Konfiguration des Servers (Webserver, PHP) in puncto Sicherheit optimieren (z.B. mod_security, Einstellungen in der php.ini kritisch bewerten).

Info Nr. 4: Für die Störerhaftung ist die Betreibereigenschaft (privat/gewerblich) unerheblich. Allerdings in diesem Fall wohl wenig kritisch, da Du zeitnah reagiert hast.

Disclaimer: Vorgenanntes ist meine ganz persönliche Laien-Meinung und keine Rechtsberatung.
 
TerraX said:
und damit plötzlich selbst Objekt von Ermittlungen wirst.
Click to expand...
Das ist er bereits, denn das FBI ist in diesem Fall schon länger am Ermitteln.
Wenn Google solche Warnungen verschickt, ist das FBI längst tätig und deshalb muss der OP jetzt selbst aktiv tätig werden, bevor er unerwartete Post oder gar Besuch erhält. Rechtshilfegesuche der Amis dürften bereits gestellt sein und für die Amis ist der OP erstmal Täter. Die Amis ticken da etwas anders als die Deutschen...
 
Joe User said:
Das ist er bereits, denn das FBI ist in diesem Fall schon länger am Ermitteln.
Wenn Google solche Warnungen verschickt, ist das FBI längst tätig und deshalb muss der OP jetzt selbst aktiv tätig werden, bevor er unerwartete Post oder gar Besuch erhält...
Click to expand...
Kannst Du den ersten Teil hinreichend unterlegen?

Dass er tätig werden sollte, darin stimme ich überein ABER ich bin der Meinung, dass er das nicht auf eigene Faust tun sondern sich fachkundigen Rat einholen sollte. Es ist nämlich nicht unwichtig, sich vorher darüber im klaren zu sein, was man wie sagen darf und was besser nicht.
 
You must log in or register to reply here.
Back
Top