Angreifer haben es entweder mit Phishing-Kampagnen auf Admins für gehostete Dienste abgesehen oder nutzen Fehler aus, die bei der Einrichtung gemacht wurden. Hier erfahren Sie, worauf Sie achten sollten. [...]
Erfahrene IT-Profis glauben, gut vor Online-Betrügern geschützt zu sein, die meist von leichtgläubigen Privatanwendern profitieren. Eine große Anzahl von Cyber-Angreifern hat es jedoch auf Administratoren virtueller Server und die von ihnen verwalteten Dienste abgesehen. Hier sind einige der Betrügereien und Exploits, die Administratoren kennen sollten.
Gezielte Phishing-E-Mails
Während Sie Ihren morgendlichen Kaffee trinken, öffnen Sie den Laptop und starten Ihren E-Mail-Client. Unter den Routine-Nachrichten entdecken Sie ein Schreiben des Hosting-Providers, das Sie daran erinnert, den Hosting-Plan erneut zu bezahlen. Es ist gerade Weihnachtszeit (oder ein anderer Grund) und die Nachricht bietet einen erheblichen Rabatt, wenn Sie jetzt bezahlen.
Sie folgen dem Link und wenn Sie Glück haben, bemerken Sie, dass etwas nicht stimmt. Ja, die Mail sieht harmlos aus. Sie sieht genauso aus wie frühere offizielle E-Mails von Ihrem Hosting-Provider. Es wird die gleiche Schriftart verwendet, und die Absenderadresse ist korrekt. Sogar die Links zu den Datenschutzrichtlinien, den Regeln für die Verarbeitung personenbezogener Daten und anderem Unsinn, den niemand jemals liest, sind an der richtigen Stelle.
Gleichzeitig weicht die URL des Admin-Panels leicht von der echten ab, und das SSL-Zertifikat erweckt einen gewissen Verdacht. Ist das etwa ein Phishing-Versuch?
Solche Angriffe, die darauf abzielen, Anmeldedaten abzufangen, die gefälschte Admin-Panels beinhalten, sind in letzter Zeit häufig geworden. Sie könnten den Service-Provider für das Durchsickern von Kundendaten verantwortlich machen, aber ziehen Sie keine voreiligen Schlüsse. Die Informationen über Administratoren von Websites, die von einem bestimmten Unternehmen gehostet werden, zu bekommen, ist für motivierte Cyberkriminelle nicht schwer.
Um eine E-Mail-Vorlage zu erhalten, registrieren sich die Hacker einfach auf der Website des Dienstanbieters. Außerdem bieten viele Unternehmen Testphasen an. Später können die Angreifer einen beliebigen HTML-Editor verwenden, um den Inhalt der E-Mail zu ändern.
Es ist auch nicht schwer, den IP-Adressbereich herauszufinden, der von dem jeweiligen Hosting-Anbieter verwendet wird. Zu diesem Zweck wurden einige Dienste eingerichtet. Dann ist es möglich, eine Liste aller Websites für jede IP-Adresse des Shared Hosting zu erhalten. Probleme können nur bei Providern auftreten, die Cloudflare verwenden.
Danach sammeln die Gauner E-Mail-Adressen von Websites und generieren eine Mailingliste, indem sie beliebte Werte wie Administrator, Admin, Kontakt oder Info hinzufügen. Dieser Vorgang lässt sich leicht mit einem Python-Skript oder mit einem der Programme zum automatischen Sammeln von E-Mails automatisieren. Kali-Liebhaber können zu diesem Zweck theHarvester verwenden und ein wenig mit den Einstellungen spielen.
Mit einer Reihe von Hilfsprogrammen können Sie nicht nur die E-Mail-Adresse des Administrators, sondern auch den Namen des Domain-Registrars herausfinden. In diesem Fall werden die Administratoren in der Regel aufgefordert, für die Erneuerung des Domainnamens zu bezahlen, indem sie auf die gefälschte Seite des Zahlungssystems umgeleitet werden. Es ist nicht schwer, den Trick zu bemerken, aber wenn Sie müde oder in Eile sind, besteht die Chance, dass Sie in die Falle tappen.
Es ist nicht schwer, sich vor verschiedenen Phishing-Angriffen zu schützen. Aktivieren Sie die Multi-Faktor-Autorisierung, um sich in das Hosting-Control-Panel einzuloggen, setzen Sie ein Lesezeichen für die Admin-Panel-Seite und versuchen Sie natürlich, aufmerksam zu bleiben.
Ausnutzen von CMS-Installationsskripten und Service-Ordnern
Wer nutzt heutzutage kein Content-Management-System (CMS)? Viele Hosting-Provider bieten einen Service an, um die beliebtesten CMS-Engines wie WordPress, Drupal oder Joomla schnell aus einem Container zu installieren. Ein Klick auf den Button im Hosting-Control-Panel und schon ist man fertig.
Einige Administratoren ziehen es jedoch vor, das CMS manuell zu konfigurieren, indem sie die Distribution von der Website des Entwicklers herunterladen und per FTP auf den Server hochladen. Für manche Leute ist dieser Weg vertrauter, zuverlässiger und mit dem Feng Shui des Admins in Einklang. Allerdings vergessen sie manchmal, die Installationsskripte und Service-Ordner zu löschen.
Jeder weiß, dass sich das WordPress-Installationsskript bei der Installation unter wp-admin/install.php befindet. Mit Hilfe von Google Dorks können Betrüger viele Suchergebnisse für diesen Pfad erhalten. Die Suchergebnisse sind überfüllt mit Links zu Foren, in denen technische Probleme mit WordPress diskutiert werden, aber wenn man in diesem Haufen wühlt, kann man funktionierende Optionen finden, mit denen man die Einstellungen der Website ändern kann.
Die Struktur der Skripte in WordPress kann mit der folgenden Abfrage eingesehen werden:
inurl: repair.php?repair=1
Es gibt auch eine Chance, viele interessante Dinge zu finden, indem man nach vergessenen Skripten mit der Abfrage sucht:
inurl:phpinfo.php
Es ist möglich, funktionierende Skripte für die Installation der beliebten Joomla-Engine zu finden, indem man den charakteristischen Titel einer Webseite wie intitle:Joomla! Web installer verwendet. Wenn man spezielle Suchoperatoren richtig einsetzt, kann man unfertige Installationen oder vergessene Service-Skripte finden und dem unglücklichen Besitzer helfen, die CMS-Installation zu vervollständigen, indem man einen neuen Administrator-Account im CMS anlegt.
Um solche Angriffe zu stoppen, sollten Admins Server-Ordner aufräumen oder Containerisierung verwenden. Letzteres ist in der Regel sicherer.
CMS-Fehlkonfiguration
Hacker können auch nach anderen Sicherheitsproblemen von virtuellen Hosts suchen. Zum Beispiel können sie nach Konfigurationsfehlern oder der Standardkonfiguration suchen. WordPress, Joomla und andere CMS haben in der Regel eine große Anzahl von Plugins mit bekannten Sicherheitslücken.
Zunächst können Angreifer versuchen, die auf dem Host installierte Version des CMS zu finden. Im Fall von WordPress kann dies geschehen, indem der Code der Seite untersucht und nach Meta-Tags wie <meta name = „generator“ content = „WordPress 5.2.5″/> gesucht wird. Die Version des WordPress-Themes lässt sich ermitteln, indem man nach Zeilen wie https://websiteurl/wp-content/themes/theme_name/css/main.css?ver=5.7.2 sucht.
Dann können Gauner nach den Versionen der interessierenden Plugins suchen. Viele von ihnen enthalten Readme-Textdateien, die unter https://websiteurl/wp-content/plugins/plugin_name/readme.txt zu finden sind.
Löschen Sie solche Dateien sofort nach der Installation von Plugins und lassen Sie sie nicht auf dem Hosting-Account für neugierige Besucher verfügbar. Sobald die Versionen des CMS, des Themes und der Plugins bekannt sind, kann ein Hacker versuchen, bekannte Sicherheitslücken auszunutzen.
Auf einigen WordPress-Sites können Angreifer den Namen des Administrators herausfinden, indem sie eine Zeichenfolge wie /?author=1 hinzufügen. Bei den Standardeinstellungen gibt die Engine die URL mit dem gültigen Kontonamen des ersten Benutzers, oft mit Administratorrechten, zurück. Mit dem Kontonamen können Hacker versuchen, einen Brute-Force-Angriff durchzuführen.
Viele Website-Administratoren lassen manchmal einige Verzeichnisse für Fremde zugänglich. In WordPress kann man diese Ordner oft finden:
- /wp-content/themes
- /wp-content/plugins
- /wp-content/uploads
Es besteht absolut keine Notwendigkeit, Außenstehenden den Zugriff auf diese Ordner zu gestatten, da diese Ordner kritische Informationen, einschließlich vertraulicher Informationen, enthalten können. Verweigern Sie den Zugriff auf die Service-Ordner, indem Sie eine leere index.html-Datei in das Stammverzeichnis jedes Verzeichnisses legen (oder fügen Sie die Zeile Options All -Indexes in die .htaccess der Website ein). Bei vielen Hosting-Providern ist diese Option standardmäßig eingestellt.
Verwenden Sie den chmod-Befehl mit Vorsicht, insbesondere wenn Sie Schreib- und Skriptausführungsrechte für eine Reihe von Unterverzeichnissen vergeben. Die Folgen solcher unüberlegten Aktionen können höchst unerwartet sein.
Vergessene Konten
Vor einigen Monaten kam eine Firma zu mir und bat um Hilfe. Ihre Website leitete jeden Tag Besucher ohne ersichtlichen Grund zu Betrügern wie Search Marquis um. Das Wiederherstellen des Inhalts des Serverordners aus einem Backup half nicht. Einige Tage später traten erneut schlimme Dinge auf. Die Suche nach Sicherheitslücken und Hintertüren in Skripten ergab ebenfalls nichts. Der Website-Administrator trank literweise Kaffee und schlug mit dem Kopf auf das Server-Rack.
Erst eine detaillierte Analyse der Server-Logs half, den wahren Grund zu finden. Das Problem war ein „verlassener“ FTP-Zugang, der vor langer Zeit von einem entlassenen Mitarbeiter angelegt worden war, der das Passwort für das Hosting Control Panel kannte. Offenbar war diese Person mit ihrer Entlassung nicht zufrieden und beschloss, sich an seinem ehemaligen Chef zu rächen. Nachdem alle unnötigen FTP-Accounts gelöscht und alle Passwörter geändert worden waren, verschwanden die unangenehmen Probleme.
Seien Sie immer vorsichtig und wachsam
Die Hauptwaffen des Website-Besitzers im Kampf um die Sicherheit sind Vorsicht, Diskretion und Achtsamkeit. Sie können und sollten die Dienste eines Hosting-Anbieters in Anspruch nehmen, aber vertrauen Sie ihnen nicht blind. Ganz gleich, wie zuverlässig vorgefertigte Lösungen auch erscheinen mögen, um sicher zu gehen, müssen Sie die typischsten Schwachstellen in der Konfiguration der Website selbst überprüfen. Dann, nur für den Fall, überprüfen Sie alles noch einmal.
*David Balaban schreibt unter anderem für unsere US-amerikanische Schwesterpublikation CSOonline.com.
Be the first to comment