Frage:
Eine Regierungsbehörde hat unserem Website-Administrator eine E-Mail gesendet, dass unsere Website unkenntlich gemacht wurde
Grantly
2017-01-21 01:36:41 UTC
view on stackexchange narkive permalink

Wir haben eine offizielle E-Mail erhalten, die besagt, dass unsere Website gehackt wurde. Sie zitierten die URL, die verwendet werden sollte, um die neue verdächtige Datei anzuzeigen, die in unserem Webstammordner abgelegt wurde ( s.htm ). Nur ein Text über einen "Morrocan Made Hacker - I'm Back" in der HTML-Datei. Nichts anderes schien beschädigt zu sein, obwohl wir Nachforschungen anstellen.

Der in der E-Mail enthaltene Link war genau hXXp: //example.com [.] Au / s.htm im Klartext. Das ist auch etwas seltsam, obwohl es uns geholfen hat, die Datei zu finden.

Der Datumsstempel in der Datei unterscheidet sich nur 7 Stunden und 3 Minuten vom Versanddatum in der E-Mail. 7 Stunden können leicht eine Zeitzonenabweichung sein.

Meine Frage lautet: Woher wusste die Regierungsbehörde ( CERT), dass unsere Website gehackt wurde? Es ist eine in Australien gehostete Website für ein legitimes Unternehmen - und die Regierungsbehörde ist legitim.

Sind Sie sich ziemlich sicher, dass dies wirklich von der Regierung war?Es riecht ein bisschen nach Phishy für mich.
Die E-Mail kam nicht zu mir, daher konnte ich die Überschriften nicht untersuchen ... Aber sie schien auf jeden Fall echt zu sein.Mit der entsprechenden Absender-E-Mail und dem entsprechenden Wortlaut usw. Ich meine, dies ist die Generalstaatsanwaltschaft. Wenn es sich also um einen Betrug handelt, würden sie die Regierung verdammt schnell schicken :)
Aber ich stimme JimmyJames zu ... Das Ganze scheint faul zu sein.Abgesehen davon, dass die E-Mail korrekt war ... Warum sollten wir uns an eine Regierungsstelle wenden, die sich mit Online-Sicherheit befasst?Sehr eigenartig....
Ich habe beschlossen, eine Antwort zu posten, anstatt eine ausführliche Antwort in Kommentaren zu geben.
Wenn jemand der Meinung ist, ich sollte den Text der E-Mail in die Frage aufnehmen, lassen Sie es mich bitte wissen
Klingt so, als wäre es einen Anruf wert, die Generalstaatsanwaltschaft anzurufen (ihre Nummer von einer anderen Quelle als der E-Mail zu erhalten) und sie zu bestätigen.
Das * so sehr * klingt nach einem Phishing-Angriff.
Der Text der E-Mail ist bei weitem nicht so wichtig wie die _headers_.
Wurde die E-Mail vom Absender digital signiert (der behauptet, CERT AU zu sein?) [Die CERT AU-Seite] (https://www.cert.gov.au/faq) erwähnt, dass sie an Websitebesitzer schreiben, aber der Wortlaut ist aetwas enttäuschend.Kein Wort über digitale Signaturen und, schlimmer noch, eine Aussage, dass die Mail Kontaktinformationen enthält, um die Legitimität des Absenders zu bestätigen ....... Ich werde ihnen eine Nachricht von Brad Pitt mit seiner Handynummer in der Fußzeile hinterlassen, damit siekann sicherstellen, dass dies der richtige Brad ist.
@Grantly Wenn überhaupt, posten Sie stattdessen den Header.
Bitte lesen Sie meine Antwort.Die Datei auf Ihrem Server sollte ein klarer Hinweis darauf sein, dass ein Angriff erfolgreich war.Der Brief mag verdächtig sein, aber der Server wurde unabhängig von der E-Mail verletzt.
Sieben antworten:
JimmyJames
2017-01-21 03:18:18 UTC
view on stackexchange narkive permalink

Es ist extrem einfach, E-Mails zu fälschen. Wenn jemand dies vortäuschte, sehe ich nicht, wie die Agentur davon erfahren würde. Die Sorge ist, dass der Link, den sie Ihnen gesendet haben, der Angriff selbst war. Dies könnte beispielsweise ein CSRF -Angriff sein:

Mit ein wenig Hilfe von Social Engineering ( wie das Senden eines Links per E-Mail oder Chat) kann ein Angreifer die Benutzer einer Webanwendung dazu verleiten, Aktionen nach Wahl des Angreifers auszuführen.

Ein Vorschlag besteht darin, sich an das Büro zu wenden und herauszufinden, ob sie dies tun. Nur weil die Sprache richtig erscheint und sagt, dass sie vom richtigen Absender stammt, bedeutet das nichts. Dies ist ein gängiger Ansatz für Phishing-E-Mails.

Vielen Dank - ein guter Vorschlag, wir werden CERT antworten, um zu fragen.Es ist unwahrscheinlich, dass es sich um eine böswillige E-Mail handelt, da sie vom "Eigentümer" geöffnet wurde, der keine Anmeldeinformationen zum Bearbeiten der Website hat (dies ist aus Sicherheitsgründen absichtlich). Ich selbst und ein anderer tun dies.Er hat die E-Mail an mich weitergeleitet.(Und ist im Urlaub, also will ich seine Eier noch nicht kaputt machen lol)
@Grantly Es ist möglich.Wenn sie die Zeichenfolge gegoogelt haben und Ihre Website aufgerufen wurde, kann dies passieren.Seltsam, dass sie Sie darüber informieren würden, dass Sie gehackt wurden ... es sei denn, Ihre Website ist Teil einer Regierungswebsite?
Danke Mark Buffalo, nein - völlig unverbunden mit der Regierung.Obwohl wir Daten verkaufen - und darauf achten, die Datenschutzgesetze der Regierung einzuhalten ... Bedeutet das vielleicht, dass wir genauer überwacht werden ...?Zuerst habe ich davon gehört.Und wir speichern keine Daten auf dem Webserver ...
Also hat er es an Sie weitergeleitet und dann haben Sie auf den Link geklickt?Es ist eher unwahrscheinlich, dass ein Angreifer in einer solchen Situation genau weiß, wer Zugriff hat und wer nicht.Es ist wie beim Angeln, wir wissen nicht, ob wir bei einem bestimmten Wurf einen Bissen bekommen.Wir versuchen es weiter und hoffen, dass wir Glück haben.Wenn der Empfänger keine Rechte hat, ist es etwas vorhersehbar, dass er an jemanden weitergeleitet wird, der dies tut.
Hallo JimmyJames, Nein, ich habe nicht auf den Link geklickt, da der E-Mail-Text nur aus Text bestand, obwohl der Header ein Bild enthieltEr ist im Busch und benutzt Webmail. Ich kann nicht sicher sein, bis ich das Original sehe.Aber nein - ich habe nicht geklickt lol :) Aber es hätte der Besitzer sein können - wie Sie vorschlagen
Ich verstehe nicht wirklich, warum Leute annehmen, dass dies eine Phishing-E-Mail ist.CERTs versenden diese Art von E-Mails.Phisher würden keinen Klartext für den Link verwenden, noch wäre es echt, nicht hätten Sie tatsächlich einen gehackten Eintrag in Ihrer Datei gefunden, der angegeben wäre, wenn es sich nur um einen zufälligen Phish handelte. Ich weiß, dass es wichtig ist, Phishing zu vermeiden, aber ... logischerweise kann ein Phisher bei dem, was wir wissen, nichts von dieser E-Mail profitieren.Sorgen Sie sich um die Tatsache, dass Ihr Webserver eindeutig gefährdet ist, und wenden Sie sich direkt über deren Kanäle an CERT.
@Rushyo Es wird nicht davon ausgegangen, dass es sich um eine Phishing-E-Mail handelt.Das Problem ist die Annahme, dass es nicht nur in Ordnung ist."noch wäre es echt": Woher weißt du, dass die E-Mail echt ist?"Ich habe einen gehackten Eintrag in Ihrer Datei gefunden, der angibt, ob es sich nur um einen zufälligen Phish handelt." Wer hat etwas über 'zufällig' gesagt?Die Person, die die Datei dort abgelegt hat, könnte der Absender der E-Mail sein.Durch Klicken auf den Link in der E-Mail wird die Datei möglicherweise dort abgelegt.Siehe [Spear-Phishing] (https://usa.kaspersky.com/internet-security-center/definitions/spear-phishing#.WIYYSlUrKUk)
@Rushyo Der Punkt hier ist, dass dies durchaus echt sein mag, aber es ist gefährlich, von der Annahme auszugehen, dass dies der Fall ist.Der Sinn von Phishing und anderen Arten von Social Engineering ist es, Sie auszutricksen.Es ist wichtig, zuerst zu überprüfen und dann zu handeln.
Nur ein Hinweis NICHT ANTWORTEN, erhalten Sie die richtige E-Mail aus dem Internet
Diese Aussagen zu E-Mails gelten für ALLE E-Mails.Sie sind in diesem Fall nicht eindeutig.Gutes Anti-Phishing-Verhalten gilt für alle Anfragen;Dies bedeutet nicht, dass für jede Frage zu einer E-Mail ein Vortrag über Phishing 101 erforderlich ist. Dies ist eine Nur-Text-E-Mail, in der jemand gebeten wird, etwas unabhängig zu überprüfen. Es handelt sich nicht um einen offensichtlichen Phishing-Kandidaten.nicht mehr als jede andere E-Mail, die angeblich von einer vertrauenswürdigen Entität stammt.Dies ist eine Frage zu CERT und nicht zu "Wie entscheide ich, ob ich E-Mails vertraue?".Kein Nagel;braucht keinen Hammer.
@Rushyo Ein Teil der Frage war "Woher wussten sie das?" Und eine mögliche Antwort ist, dass der Absender der E-Mail sie dort abgelegt hat.
@Ryusho Vielleicht hat der Absender der E-Mail die Datei dort abgelegt und versucht nun, einen einfachen Website-Exploit für einen tieferen Angriff auf das Unternehmen zu nutzen.Vielleicht ist es ein häufiger Drive-by-Angriff, diese Datei zu platzieren, und der Phisher sucht danach?Viele Phishing-E-Mails versuchen, ein Gefühl der Angst und Dringlichkeit hervorzurufen, um ein besseres Urteilsvermögen zu umgehen ... und die Nutzung des Wissens über einen echten Angriff würde diesen Effekt sicherlich haben.
Ángel
2017-01-21 06:38:36 UTC
view on stackexchange narkive permalink

Eine CERT-Aufgabe ( Computer Emergency Response Team) besteht genau darin, die Sicherheitsprobleme der in ihrem Wahlkreis tätigen Aktivisten zu überwachen.

Bei nationalen CERTs wie CERT- AU, sie kümmern sich oft um alles, was in ihrem Land gehostet wird, und wenn sie auf ein Problem aufmerksam gemacht werden, besteht ihre Aufgabe darin, sich mit dem betroffenen Eigentümer in Verbindung zu setzen, damit er das Problem beheben kann (wie in diesem Fall). Sie hätten Ihnen auch Ratschläge geben können, falls Sie diese benötigt hätten, um das Problem zu finden.

Diese Dienste sind für die Menschen kostenlos (sie sind eine Regierungsbehörde) und werden Sie nicht um Rat fragen Zahlungsart für die Benachrichtigung.

Eine vollständige Liste der CERT-AU-Dienste finden Sie unter https://cert.gov.au/services

Die Art und Weise, wie Sie die URL als hXXp: //domain.com [.] Au / s.htm bereitstellen, ist eine weit verbreitete Methode, um schädliche URLs zu teilen. Das Ziel ist, dass Sie die URL erhalten (die Sie benötigen, um herauszufinden, wo sich der schädliche Inhalt befindet), aber gleichzeitig das Risiko minimieren, dass Sie sie versehentlich in der falschen Umgebung oder vor dem vollständigen Lesen der E-Mail öffnen könnten ( Darüber hinaus hilft es auch, E-Mail-Filter zu vermeiden, die E-Mails mit schädlichen URLs löschen¹).

Es gibt viele Quellen, aus denen sie möglicherweise von diesem Vorfall erfahren haben:

  • Eine Person hat sie benachrichtigt
  • Eine andere CERT- oder Sicherheitsfirma hat sie benachrichtigt
  • Es wurde auf einer Liste kompromittierter Websites angezeigt, die sie abonniert haben.
  • Es wurde auf angezeigt Einige Verunstaltungsforen, die sie beobachteten (wie Zone-h)
  • Sie fanden es, als sie eine andere Untersuchung durchführten.

Unter den Vorteilen des Sendens Die Benachrichtigungen über das CERT lauten wie folgt:

  • Wenn mehrere gefährdete Websites vorhanden sind, ist es viel einfacher, eine einzelne Entität pro Land zu benachrichtigen, als jedem Website-Betreiber¹
  • Das CERT verfügt häufig über ein Verfahren zum erneuten Versuch, falls er vom Administrator ignoriert wurde. Ein Dritter würde es wahrscheinlich nur einmal versuchen.
  • Das CERT verfügt möglicherweise über bessere Kontakte, an die die Benachrichtigung gesendet werden kann.
  • Als neutrale Partei wird dem CERT mit größerer Wahrscheinlichkeit Aufmerksamkeit geschenkt to²
  • Keine Sprachbarriere: Das CERT sollte in der Lage sein, den Websitebesitzer in seiner Muttersprache zu kontaktieren.
  • Das CERT verfügt über technische Mitarbeiter, die das Problem leicht verstehen können und können Erklären Sie dies bei Bedarf dem Website-Eigentümer (der möglicherweise selbst kein Wissen besitzt).

Eine Liste der weltweiten CERTs (sowohl öffentlich als auch privat) ist verfügbar Zunächst: https://first.org/members/teams

Eine Datenbank europäischer CERTs und Sicherheitsteams ist auch unter Trusted Introducer verfügbar.

¹ Beispielsweise findet Google jeden Tag eine Menge bösartiger URLs, die es beim Crawlen findet, anstatt zu versuchen, sie direkt dem Eigentümer zu melden, und teilt sie den relevanten Personen mit nationales CERT, damit er sich um die Benachrichtigung kümmern kann.

² Stellen Sie sich vor, diese Frage wäre «ein zufälliger Typ von einer Hotmail-Adresse, die unser Administrator gesendet hat…»

Tatsächlich benachrichtigt insbesondere Google die Websitebesitzer direkt über die Google-Webmaster-Tools und durch Kontaktaufnahme mit einigen allgemeinen Adressen für die Domain.Im Allgemeinen gilt Ihre Aussage jedoch.
@JackW, Mir sind die Google Webmaster-Tools bekannt, aber das ist Opt-In.Der Webmaster muss sich angemeldet haben.Ich wusste jedoch nicht, dass sie auch proaktiv generische Domain-Adressen verwendeten.
John Deters
2017-01-21 01:53:45 UTC
view on stackexchange narkive permalink

Wenn sie es Ihnen nicht in dem Brief gesagt haben, gibt es keine Möglichkeit zu wissen, wie sie über den Hack informiert wurden. Es besteht die Möglichkeit, dass jemand CERT ein Problem, einen Angriff oder eine Untersuchung gemeldet hat und dann den Ursprung des Backs auf die IP-Adresse Ihres Servers zurückführen konnte.

Ich empfehle Ihnen, zumindest fortzufahren Ihre Untersuchung; Aber ziehen Sie in Betracht, eine Sicherheitsfirma zu beauftragen. In dieser Phase eines Angriffs gibt es viel zu tun, außer zu verstehen, was passiert ist. Möglicherweise müssen Sie Beweise aufbewahren, Sie müssen Ihre Systeme wiederherstellen, Sie müssen möglicherweise Benachrichtigungen über Verstöße bereitstellen, und Ihre Kunden müssen möglicherweise ihre Kennwörter ändern. Alle Arten von Aktivitäten können von einem Verstoß herrühren, und ein Fachmann hilft Ihnen dabei.

Danke John.Es ist ein langer Weg, nicht wahr? Sichern einer Website :(
Du hast mein Mitgefühl.Aufräumen nach einem Hack ist nie angenehm.
JesseM
2017-01-21 04:02:42 UTC
view on stackexchange narkive permalink

Ohne die E-Mail-Header zu sehen, können wir nicht sicher sein, aber es klingt wahrscheinlicher , dass der E-Mail-Hinweis der Phish war, wie Jimmy James oben sagt. Viel einfacher für den Angreifer, der die Datei dort abgelegt hat, darüber Bescheid zu wissen und sie "offiziell" zu "melden", damit Sie darauf klicken können. CSRF klingt nach dem wahrscheinlichsten Versuch. Der Angreifer hat keine Möglichkeit zu wissen, an welche Person er sie gesendet hat, die keine Anmeldeinformationen auf der Website hat. Wie Sie bereits betont haben, hat er die E-Mail hilfreich an Sie weitergeleitet. Nicht zu sagen, dass es erfolgreich war, aber die Antwort auf "Woher wussten sie das?" Scheint höchstwahrscheinlich "Sie haben es nicht getan und die Benachrichtigung wurde gefälscht" zu sein.

Ja Danke.Ich habe den Eigentümer gebeten, zu antworten und CERT anzurufen, um dies herauszufinden.Ich kann wahrscheinlich bald die E-Mail-Header bekommen, nur nicht heute ... (Er ist jetzt im Dschungel von Neuseeland lol)
Bill K
2017-01-21 04:57:34 UTC
view on stackexchange narkive permalink

Dies wäre ein guter Weg, um jemanden zu phischen, wenn Sie sich "ein wenig" in seine Site hacken könnten.

Schreiben Sie einfach eine harmlose Datei auf den Server und setzen Sie sich mit ihm in Verbindung, um ein Gespräch mit der Regierung zu beginnen "Technik". Wenn Sie zu diesem Zeitpunkt nicht misstrauisch waren, könnten sie Sie wahrscheinlich bitten, irgendetwas zu tun, und Sie würden es einfach tun.

Mir ist klar, dass Sie nicht gesagt haben, dass sie Sie gebeten haben, sich mit ihnen in Verbindung zu setzen, oder so, also vielleicht nicht, aber ich irre mich immer gerne auf der Seite der Paranoia.

STW
2017-01-21 14:12:07 UTC
view on stackexchange narkive permalink

Was macht diese Website? Hostet es Konten oder akzeptiert es Kreditkarten?

Die Datei sollte als klares Zeichen dafür verstanden werden, dass Sie tatsächlich kompromittiert wurden. Sie kennen weder das Ausmaß noch den Angriffsvektor, aber die Datei kann durchaus ein "Flag" sein, nach dem ein Bot sucht, um festzustellen, dass der Server immer noch gefährdet ist.

Bewahren Sie daher unbedingt Backups auf Bewahren Sie Datums- / Zeitstempel, Webserver-Protokolle und die Sicherungen selbst auf. Kehren Sie zu Ihrer frühesten Sicherung zurück und prüfen Sie, ob die Datei vorhanden ist. Vergleichen Sie auch den Inhalt der Site mit dem erwarteten Inhalt.

Durchsuchen Sie Ihre Protokolle auch nach Anforderungen an die Datei s.htm . Möglicherweise checkt gelegentlich ein Bot-Netzwerk ein, um festzustellen, ob die Lichter an sind. Es besteht die seltsame Möglichkeit, dass Sie die dort gefundenen IP-Informationen verwenden können, um nach anderem Datenverkehr zu suchen - was die Schritte des Angriffs aufdecken kann.

Wenden Sie sich in der Zwischenzeit an den Absender der E-Mail - be Achten Sie darauf, ihre Kontaktinformationen von einer offiziellen Quelle und nicht von der E-Mail selbst nachzuschlagen. Ich habe ähnliche Benachrichtigungen von Hosting-Anbietern erhalten, die möglicherweise auch nach der Datei suchen, wenn bekannt ist, dass es sich um einen kompromittierten Computer handelt.

Nein, wir hosten eine Handvoll Konten, überhaupt keinen hohen Datenverkehr.Keine Kreditkarten usw. Großartiger Rat STW ... Jetzt nachverfolgen.Vielen Dank
Jefrey Sobreira Santos
2017-01-21 09:54:04 UTC
view on stackexchange narkive permalink

Ich denke wirklich, dass es sich um einen Phishing-Angriff handelt.

Es ist CERT-Agenturen jedoch auch möglich, eine Liste gehackter Websites über Deface-Spiegel wie Zone-H abzurufen. Aber ich verstehe nicht, warum sie es tun würden.



Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...