Phishing Webseite auf Server

[benwed]

Hallo Community,

folgendes Szenario ereignete sich am Dienstag (27.01.2015):

unser Kunde bekam eine E-Mail über das Kontakt Formular seines Webshops von einer gewissen "ICT security department of Enel", mit dem Hinweis das eine Phishing Seite unter dem Pfad "/secure/bank/bancamediolanum/infopro/bmed/homebm.html?WT.mc_id=BancaMediolanum" installiert/kopiert wurde. Also eingeloggt per Ftp und siehe da diesen Ordner gab es wirklich also gelöscht aber vorher lokal auf die Festplatte kopiert zur Sicherung. Es handelt sich dabei um eine Kopie einer Bank Seite aus Italien (siehe screen im Anhang), welche beim Login die Logindaten (Username, Passwort) an eine bestimmte E-Mail Adresse (roatetari@gmail.com) schickt.

Der Server ist ein virtueller Server gehostet bei 1blu.de, Betriebssystem CentOS 6.4, als Administration wird Parallels Plesk Panel 11.0.9 verwendet, ssh Dienst ist deaktiviert, System auf den neuesten Stand laut Plesk

Meine bisherigen Maßnahmen:
- alle relevanten Passwörter geändert
- rkhunter durchlaufen lassen, dabei keine kirtischen Fehler gemeldet
- ftpstat von plesk-stat angesehen und kein Traffic zwischen Freitag (23.01.2015) und Dienstag (27.01.2015) vorhanden
- Support von 1blu angeschrieben, aber nur eine oberflächige Antwort bekommen

Hinweis:
laut des Scriptes "whoisonline" des Webshops wurde 2 mal versucht auf den Ordner zuzugreifen 217.11.153.223 (Polen) und 60.242.43.138 (Australien), wobei man hier davon ausgehen kann das es keine Shopkunden waren.

Meine Frage an euch, wie würdet Ihr weiter vorgehen, da es mir bisher etwas schleierhaft ist wie derjenige die Dateien auf den Server hochladen konnte, da auch im Webshop des Kunden kein Formular existiert wo Nutzer Dateien hochladen könnten? Bisher sind keine weiteren auffälligen Ereignisse aufgetreten.

Vielen Dank im voraus für eure Hilfe

[Joe User]

Solche Eingriffe erfolgen im Regelfall nicht per FTP oder Ähnlichem, sondern über Sicherheitslücken in Webapps beziehungsweise deren Plugins. Damit werden dann sogenannte Remote-Shells eingeschleust und über diese letztendlich die Phishingsites hochgeladen.

Dein Kunde verwendet also höchstwahrscheinlich eine veraltete Shopsoftware oder Plugin, welche eine derartige Sicherheitslücke enthält. Diese Sicherheitslücke gilt es nun zu finden und zu fixen. Darüberhinaus muss der Server neu aufgesetzt werden, da nicht auszuschliessen ist, dass mittels der Remote-Shell auch das System selbst manipuliert wurde.

Zukünftig muss der Kunde sein System und die Webapps permanent mit ausnahmslos allen verfügbaren Updates versorgen und dies zeitnah, also sofort wenn neue Updates verfügbar sind. Macht er das nicht, so handelt er grob fahrlässig und ist gegenüber Dritten schadenersatzpflichtig und macht sich unter Umständen so gar strafbar.

Wenn der Kunde dies nicht selbst leisten kann, dann muss er Jemanden dafür einstellen, oder seinen Shop schliessen. Alternativ kann er auch über Dienstleister wie zum Beispiel Amazons Marketplace verkaufen, dann muss er sich um diesen Kram nicht mehr kümmern und spart unterm Strich vermutlich noch Geld.