Die "Als attackierend gemeldete Webseite!" Saga

Erstellt am: 09.10.2014

Heute erschien plötzlich auf unserem Webmail folgende Meldung:

Als attackierend gemeldete Webiste

Die Meldung erschien nicht nur auf unserem Webmail, sondern auch auf unserer Website und überall wo unsere peaknetworks.net Domain in der URL enthalten war.Es war jedoch weder auf unseren Webmail Servern noch auf unserem Server für www.peaknetworks.net Malware oder ein anderes Sicherheitsproblem zu entdecken.

Da kam eine Mail von Google in unsere Supportbox, mit dem Subject "Malware notification regarding peaknetworks.net“.In dieser Mail war dann der Hinweis auf eine URL lautend auf einen unserer Kundenwebserver s3.peaknetworks.net. Aufgrund der Angabe identifizierten wir das entsprechende Kundenhosting. Die ganze Sache hatte nichts zu tun mit unseren Mailservern mit Webmail oder unserem Server für www.peaknetworks.net .

Die Analyse der Logfiles des betreffenden Hostings ergab, dass unser Kunde via FTP eingeloggt hatte und wenige Sekunden später kam der gleiche Account wieder via FTP aus einem anderem Land und die Malware wurde hochgeladen.

Folgendes war passiert:
  • Nach der Bestellung des Hosting erhielt der Kunde die Zugangsdaten.
  • Diese Zugangsdaten wurden in einem FTP Client auf dem Rechner eingetragen.
  • Der Rechner enthielt Malware welche Username, Passwort und den Servernamen an einen fremden Server sendete, wir wissen dies, da nur in diesen Zugangsdaten dieser s3.peaknetworks.net Name verwendet wurde, das Webhosting selbst erscheint unter einer anderen Domain.
  • Die Malware auf dem Rechner des Kunden sendete die Zugangsdaten an ein Botnetz. Diese Botnetz loggte anschliessend ein und spielte die Malware auf unseren Webserver. Wir fanden Logins für diesen einen Account aus Paris, Schweden, Moskau und Deutschland.
  • Anschliessend wurde von dem Botnetz auf externen Server auf unseren Server verlinkt mit der URL aus den Zugangsdaten, also s3(kunde).peaknetworks.net
  • Die Malware wurde von den Googlespidern gefunden und bei einem Aufruf einer URL mit *.peaknetworks.net wurde von Google Chrome oder Firefox die obige Warnung ausgegeben.
  • Für das betroffene Kundenhosting wurde keine Warnung ausgegeben, da der Aufruf der normalen Website unter einem anderem Domainnamen stattfindet.

Das Aufräumen:
Wir informierten den Kunden über den Vorfall und die Notwendigkeit, dass seine Rechner von der Malwaregesäubert werden müssen. Anschliessend löschten wir die aktuellen Daten, änderten das Passwort und spielten die Daten für dieses Hosting von einem früheren Datum zurück, ohne die Modifikationen des Botnetzes. Anschliessend forderten wir einen neuen Check des betreffenden Hostings bei Google via die Google Webmaster Tools an.

Zusammenfassung:

Google hatte wegen einem Problem mit einem spezifischen Hosting auf einem spezifischen Server, das wir nach Bekanntgabe in Minuten isoliert und bereinigt hatten, alle unsere Server lautend auf peaknetworks.net gelistet, unser Domainname in einem einzigen Hosting reichte aus.

Lessons learned:
Für unsere Webhosting Server verwenden wir in Zukunft die Domain peakserver.net, es ist nicht auszuschliessen, dass ein mit Malware infiszierter Rechner einen FTP Account kapert und via diesen Account Malware auf einen Server geladen wird. Durch die andere Domain ist peaknetworks.net nicht mehr betroffen.


Alle Artikel im Blog:


05.01.2015

Tirol Logo ...