4 Wege, wie Angreifer gehostete Dienste ausnutzen

Angreifer haben es entweder mit Phishing-Kampagnen auf Admins für gehostete Dienste abgesehen oder nutzen Fehler aus, die bei der Einrichtung gemacht wurden. Hier erfahren Sie, worauf Sie achten sollten. [...]

Es ist nicht schwer, sich vor verschiedenen Phishing-Angriffen zu schützen (c) pixabay.com

Erfahrene IT-Profis glauben, gut vor Online-Betrügern geschützt zu sein, die meist von leichtgläubigen Privatanwendern profitieren. Eine große Anzahl von Cyber-Angreifern hat es jedoch auf Administratoren virtueller Server und die von ihnen verwalteten Dienste abgesehen. Hier sind einige der Betrügereien und Exploits, die Administratoren kennen sollten.

Gezielte Phishing-E-Mails

Während Sie Ihren morgendlichen Kaffee trinken, öffnen Sie den Laptop und starten Ihren E-Mail-Client. Unter den Routine-Nachrichten entdecken Sie ein Schreiben des Hosting-Providers, das Sie daran erinnert, den Hosting-Plan erneut zu bezahlen. Es ist gerade Weihnachtszeit (oder ein anderer Grund) und die Nachricht bietet einen erheblichen Rabatt, wenn Sie jetzt bezahlen.

Sie folgen dem Link und wenn Sie Glück haben, bemerken Sie, dass etwas nicht stimmt. Ja, die Mail sieht harmlos aus. Sie sieht genauso aus wie frühere offizielle E-Mails von Ihrem Hosting-Provider. Es wird die gleiche Schriftart verwendet, und die Absenderadresse ist korrekt. Sogar die Links zu den Datenschutzrichtlinien, den Regeln für die Verarbeitung personenbezogener Daten und anderem Unsinn, den niemand jemals liest, sind an der richtigen Stelle.

Gleichzeitig weicht die URL des Admin-Panels leicht von der echten ab, und das SSL-Zertifikat erweckt einen gewissen Verdacht. Ist das etwa ein Phishing-Versuch?

Solche Angriffe, die darauf abzielen, Anmeldedaten abzufangen, die gefälschte Admin-Panels beinhalten, sind in letzter Zeit häufig geworden. Sie könnten den Service-Provider für das Durchsickern von Kundendaten verantwortlich machen, aber ziehen Sie keine voreiligen Schlüsse. Die Informationen über Administratoren von Websites, die von einem bestimmten Unternehmen gehostet werden, zu bekommen, ist für motivierte Cyberkriminelle nicht schwer.

Um eine E-Mail-Vorlage zu erhalten, registrieren sich die Hacker einfach auf der Website des Dienstanbieters. Außerdem bieten viele Unternehmen Testphasen an. Später können die Angreifer einen beliebigen HTML-Editor verwenden, um den Inhalt der E-Mail zu ändern.

Es ist auch nicht schwer, den IP-Adressbereich herauszufinden, der von dem jeweiligen Hosting-Anbieter verwendet wird. Zu diesem Zweck wurden einige Dienste eingerichtet. Dann ist es möglich, eine Liste aller Websites für jede IP-Adresse des Shared Hosting zu erhalten. Probleme können nur bei Providern auftreten, die Cloudflare verwenden.

Danach sammeln die Gauner E-Mail-Adressen von Websites und generieren eine Mailingliste, indem sie beliebte Werte wie Administrator, Admin, Kontakt oder Info hinzufügen. Dieser Vorgang lässt sich leicht mit einem Python-Skript oder mit einem der Programme zum automatischen Sammeln von E-Mails automatisieren. Kali-Liebhaber können zu diesem Zweck theHarvester verwenden und ein wenig mit den Einstellungen spielen.

Mit einer Reihe von Hilfsprogrammen können Sie nicht nur die E-Mail-Adresse des Administrators, sondern auch den Namen des Domain-Registrars herausfinden. In diesem Fall werden die Administratoren in der Regel aufgefordert, für die Erneuerung des Domainnamens zu bezahlen, indem sie auf die gefälschte Seite des Zahlungssystems umgeleitet werden. Es ist nicht schwer, den Trick zu bemerken, aber wenn Sie müde oder in Eile sind, besteht die Chance, dass Sie in die Falle tappen.

Es ist nicht schwer, sich vor verschiedenen Phishing-Angriffen zu schützen. Aktivieren Sie die Multi-Faktor-Autorisierung, um sich in das Hosting-Control-Panel einzuloggen, setzen Sie ein Lesezeichen für die Admin-Panel-Seite und versuchen Sie natürlich, aufmerksam zu bleiben.

Ausnutzen von CMS-Installationsskripten und Service-Ordnern

Wer nutzt heutzutage kein Content-Management-System (CMS)? Viele Hosting-Provider bieten einen Service an, um die beliebtesten CMS-Engines wie WordPress, Drupal oder Joomla schnell aus einem Container zu installieren. Ein Klick auf den Button im Hosting-Control-Panel und schon ist man fertig.

Einige Administratoren ziehen es jedoch vor, das CMS manuell zu konfigurieren, indem sie die Distribution von der Website des Entwicklers herunterladen und per FTP auf den Server hochladen. Für manche Leute ist dieser Weg vertrauter, zuverlässiger und mit dem Feng Shui des Admins in Einklang. Allerdings vergessen sie manchmal, die Installationsskripte und Service-Ordner zu löschen.

Jeder weiß, dass sich das WordPress-Installationsskript bei der Installation unter wp-admin/install.php befindet. Mit Hilfe von Google Dorks können Betrüger viele Suchergebnisse für diesen Pfad erhalten. Die Suchergebnisse sind überfüllt mit Links zu Foren, in denen technische Probleme mit WordPress diskutiert werden, aber wenn man in diesem Haufen wühlt, kann man funktionierende Optionen finden, mit denen man die Einstellungen der Website ändern kann.

Die Struktur der Skripte in WordPress kann mit der folgenden Abfrage eingesehen werden:

inurl: repair.php?repair=1

Es gibt auch eine Chance, viele interessante Dinge zu finden, indem man nach vergessenen Skripten mit der Abfrage sucht:

inurl:phpinfo.php

Es ist möglich, funktionierende Skripte für die Installation der beliebten Joomla-Engine zu finden, indem man den charakteristischen Titel einer Webseite wie intitle:Joomla! Web installer verwendet. Wenn man spezielle Suchoperatoren richtig einsetzt, kann man unfertige Installationen oder vergessene Service-Skripte finden und dem unglücklichen Besitzer helfen, die CMS-Installation zu vervollständigen, indem man einen neuen Administrator-Account im CMS anlegt.

Um solche Angriffe zu stoppen, sollten Admins Server-Ordner aufräumen oder Containerisierung verwenden. Letzteres ist in der Regel sicherer.

CMS-Fehlkonfiguration

Hacker können auch nach anderen Sicherheitsproblemen von virtuellen Hosts suchen. Zum Beispiel können sie nach Konfigurationsfehlern oder der Standardkonfiguration suchen. WordPress, Joomla und andere CMS haben in der Regel eine große Anzahl von Plugins mit bekannten Sicherheitslücken.

Zunächst können Angreifer versuchen, die auf dem Host installierte Version des CMS zu finden. Im Fall von WordPress kann dies geschehen, indem der Code der Seite untersucht und nach Meta-Tags wie <meta name = „generator“ content = „WordPress 5.2.5″/> gesucht wird. Die Version des WordPress-Themes lässt sich ermitteln, indem man nach Zeilen wie https://websiteurl/wp-content/themes/theme_name/css/main.css?ver=5.7.2 sucht.

Dann können Gauner nach den Versionen der interessierenden Plugins suchen. Viele von ihnen enthalten Readme-Textdateien, die unter https://websiteurl/wp-content/plugins/plugin_name/readme.txt zu finden sind.

Löschen Sie solche Dateien sofort nach der Installation von Plugins und lassen Sie sie nicht auf dem Hosting-Account für neugierige Besucher verfügbar. Sobald die Versionen des CMS, des Themes und der Plugins bekannt sind, kann ein Hacker versuchen, bekannte Sicherheitslücken auszunutzen.

Auf einigen WordPress-Sites können Angreifer den Namen des Administrators herausfinden, indem sie eine Zeichenfolge wie /?author=1 hinzufügen. Bei den Standardeinstellungen gibt die Engine die URL mit dem gültigen Kontonamen des ersten Benutzers, oft mit Administratorrechten, zurück. Mit dem Kontonamen können Hacker versuchen, einen Brute-Force-Angriff durchzuführen.

Viele Website-Administratoren lassen manchmal einige Verzeichnisse für Fremde zugänglich. In WordPress kann man diese Ordner oft finden:

  • /wp-content/themes
  • /wp-content/plugins
  • /wp-content/uploads

Es besteht absolut keine Notwendigkeit, Außenstehenden den Zugriff auf diese Ordner zu gestatten, da diese Ordner kritische Informationen, einschließlich vertraulicher Informationen, enthalten können. Verweigern Sie den Zugriff auf die Service-Ordner, indem Sie eine leere index.html-Datei in das Stammverzeichnis jedes Verzeichnisses legen (oder fügen Sie die Zeile Options All -Indexes in die .htaccess der Website ein). Bei vielen Hosting-Providern ist diese Option standardmäßig eingestellt.

Verwenden Sie den chmod-Befehl mit Vorsicht, insbesondere wenn Sie Schreib- und Skriptausführungsrechte für eine Reihe von Unterverzeichnissen vergeben. Die Folgen solcher unüberlegten Aktionen können höchst unerwartet sein.

Vergessene Konten

Vor einigen Monaten kam eine Firma zu mir und bat um Hilfe. Ihre Website leitete jeden Tag Besucher ohne ersichtlichen Grund zu Betrügern wie Search Marquis um. Das Wiederherstellen des Inhalts des Serverordners aus einem Backup half nicht. Einige Tage später traten erneut schlimme Dinge auf. Die Suche nach Sicherheitslücken und Hintertüren in Skripten ergab ebenfalls nichts. Der Website-Administrator trank literweise Kaffee und schlug mit dem Kopf auf das Server-Rack.

Erst eine detaillierte Analyse der Server-Logs half, den wahren Grund zu finden. Das Problem war ein „verlassener“ FTP-Zugang, der vor langer Zeit von einem entlassenen Mitarbeiter angelegt worden war, der das Passwort für das Hosting Control Panel kannte. Offenbar war diese Person mit ihrer Entlassung nicht zufrieden und beschloss, sich an seinem ehemaligen Chef zu rächen. Nachdem alle unnötigen FTP-Accounts gelöscht und alle Passwörter geändert worden waren, verschwanden die unangenehmen Probleme.

Seien Sie immer vorsichtig und wachsam

Die Hauptwaffen des Website-Besitzers im Kampf um die Sicherheit sind Vorsicht, Diskretion und Achtsamkeit. Sie können und sollten die Dienste eines Hosting-Anbieters in Anspruch nehmen, aber vertrauen Sie ihnen nicht blind. Ganz gleich, wie zuverlässig vorgefertigte Lösungen auch erscheinen mögen, um sicher zu gehen, müssen Sie die typischsten Schwachstellen in der Konfiguration der Website selbst überprüfen. Dann, nur für den Fall, überprüfen Sie alles noch einmal.

*David Balaban schreibt unter anderem für unsere US-amerikanische Schwesterpublikation CSOonline.com.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*