Phishing Webseite auf Server
Posted: 2015-01-30 08:35
Hallo Community,
folgendes Szenario ereignete sich am Dienstag (27.01.2015):
unser Kunde bekam eine E-Mail über das Kontakt Formular seines Webshops von einer gewissen "ICT security department of Enel", mit dem Hinweis das eine Phishing Seite unter dem Pfad "/secure/bank/bancamediolanum/infopro/bmed/homebm.html?WT.mc_id=BancaMediolanum" installiert/kopiert wurde. Also eingeloggt per Ftp und siehe da diesen Ordner gab es wirklich also gelöscht aber vorher lokal auf die Festplatte kopiert zur Sicherung. Es handelt sich dabei um eine Kopie einer Bank Seite aus Italien (siehe screen im Anhang), welche beim Login die Logindaten (Username, Passwort) an eine bestimmte E-Mail Adresse (roatetari@gmail.com) schickt.
Der Server ist ein virtueller Server gehostet bei 1blu.de, Betriebssystem CentOS 6.4, als Administration wird Parallels Plesk Panel 11.0.9 verwendet, ssh Dienst ist deaktiviert, System auf den neuesten Stand laut Plesk
Meine bisherigen Maßnahmen:
- alle relevanten Passwörter geändert
- rkhunter durchlaufen lassen, dabei keine kirtischen Fehler gemeldet
- ftpstat von plesk-stat angesehen und kein Traffic zwischen Freitag (23.01.2015) und Dienstag (27.01.2015) vorhanden
- Support von 1blu angeschrieben, aber nur eine oberflächige Antwort bekommen
Hinweis:
laut des Scriptes "whoisonline" des Webshops wurde 2 mal versucht auf den Ordner zuzugreifen 217.11.153.223 (Polen) und 60.242.43.138 (Australien), wobei man hier davon ausgehen kann das es keine Shopkunden waren.
Meine Frage an euch, wie würdet Ihr weiter vorgehen, da es mir bisher etwas schleierhaft ist wie derjenige die Dateien auf den Server hochladen konnte, da auch im Webshop des Kunden kein Formular existiert wo Nutzer Dateien hochladen könnten? Bisher sind keine weiteren auffälligen Ereignisse aufgetreten.
Vielen Dank im voraus für eure Hilfe
folgendes Szenario ereignete sich am Dienstag (27.01.2015):
unser Kunde bekam eine E-Mail über das Kontakt Formular seines Webshops von einer gewissen "ICT security department of Enel", mit dem Hinweis das eine Phishing Seite unter dem Pfad "/secure/bank/bancamediolanum/infopro/bmed/homebm.html?WT.mc_id=BancaMediolanum" installiert/kopiert wurde. Also eingeloggt per Ftp und siehe da diesen Ordner gab es wirklich also gelöscht aber vorher lokal auf die Festplatte kopiert zur Sicherung. Es handelt sich dabei um eine Kopie einer Bank Seite aus Italien (siehe screen im Anhang), welche beim Login die Logindaten (Username, Passwort) an eine bestimmte E-Mail Adresse (roatetari@gmail.com) schickt.
Der Server ist ein virtueller Server gehostet bei 1blu.de, Betriebssystem CentOS 6.4, als Administration wird Parallels Plesk Panel 11.0.9 verwendet, ssh Dienst ist deaktiviert, System auf den neuesten Stand laut Plesk
Meine bisherigen Maßnahmen:
- alle relevanten Passwörter geändert
- rkhunter durchlaufen lassen, dabei keine kirtischen Fehler gemeldet
- ftpstat von plesk-stat angesehen und kein Traffic zwischen Freitag (23.01.2015) und Dienstag (27.01.2015) vorhanden
- Support von 1blu angeschrieben, aber nur eine oberflächige Antwort bekommen
Hinweis:
laut des Scriptes "whoisonline" des Webshops wurde 2 mal versucht auf den Ordner zuzugreifen 217.11.153.223 (Polen) und 60.242.43.138 (Australien), wobei man hier davon ausgehen kann das es keine Shopkunden waren.
Meine Frage an euch, wie würdet Ihr weiter vorgehen, da es mir bisher etwas schleierhaft ist wie derjenige die Dateien auf den Server hochladen konnte, da auch im Webshop des Kunden kein Formular existiert wo Nutzer Dateien hochladen könnten? Bisher sind keine weiteren auffälligen Ereignisse aufgetreten.
Vielen Dank im voraus für eure Hilfe