Server wurde angegriffen!!!

[ww_michael]

Laut Googel und Strato (serveranbieter)
Wurde unser Server angegriffen.
Wann genau das begann kann mir keiner Sagen aber seit 3 Tagen gabs von Google ne Meldung:

Social-Engineering-Inhalte auf d-l-r.de erkannt
Das Safe Browsing-System von Google hat auf Ihrer Website einige Seiten entdeckt, die möglicherweise gehackt wurden oder Ressourcen Dritter enthalten könnten, wie z. B. Werbung, mit der Nutzer dazu verleitet werden sollen, bösartige Software zu installieren oder vertrauliche Informationen preiszugeben. Zum Schutz der Besucher Ihrer Website wurden die betroffenen Seiten in den Suchergebnissen von Google abgewertet. Außerdem wird in Browsern wie Google Chrome nun eine Warnung eingeblendet, wenn Nutzer Ihre Website aufrufen. Im Bericht „Sicherheitsprobleme“ sehen Sie, welche Seiten betroffen sein könnten.

Was mir aufgefallen ist das unser Server auf einmal nicht erreichbar war und ich ein Backup aufspilen musste und es danach wieder ging.

Heute die Meldung von Strato:

Sehr geehrter Herr Reichelt,

Prüfen Sie Ihren Server.

Melder haben berichtet, dass von Ihrem Server Netscans/Brutforce/Botnet-Attacken/Malicious Requests durchgeführt werden, und/oder Malware verbreitet wird. Dies können Anzeichen von Bot-Netzwerken oder anderen "Viren" sein

Benennen Sie uns Ihre getroffenen Maßnahmen.

Der Server wurde gesperrt, und kann im Server-Login, unter “Mein Server” -> “Neuinstallation”, für die Bereinigung entsperrt werden.

Ich hatte gestern schon mal alle Passwörter geändert und einige auffällige PHP dateinen gelöscht.

Jetzt gabs die entwarnung von Google schon mal:

Überprüfung für d-l-r.de erfolgreich
An: Webmaster von d-l-r.de
Google hat Ihre Anfrage zur Sicherheitsüberprüfung erhalten und bearbeitet. Unsere Systeme haben keine weiteren Links zu schädlichen Websites oder Downloads auf d-l-r.de erkannt. Die Warnungen für Nutzer werden von Ihrer Website entfernt. Dies kann einige Stunden in Anspruch nehmen.

Von Strato erwqarte ich nun auch nächste Woche einen Positiven bescheid.

Ich muss euch aber alle bitten den Account im Forum zu prüfen und auch das Passwort neu zu vergeben.

Das Passwort ändert Ihr hier:
Persönlicher Bereich
Profil
Registrierungs Details

Dort bitte ein neues sicheres Passwort eintragen!!!
Danke für eure Hilfe !!!

[ww_michael]

Natürlich solltet Ihr wenn ihr eine Mailadresse von D-l-r.de habt auch dort das Passwort ändern dazu bitte unter

webmail.d-l-r.de einlaoggen
unter Weteres
Passwort anklicken und dort auch ein neues sicheres Passwort eintragen.

[ww_michael]

heute erhaltene Mewldung von Strato :

Sehr geehrter Herr Reichelt,

Ihr Server h2837586 wurde wieder entsperrt und ist seitdem nicht mehr auffällig.

Es sind somit keine weiteren Schritte notwendig.

Mit freundlichen Grüßen

Stefan Zuehlke
STRATO Customer Care

Website: www.strato.de

STRATO AG | Otto-Ostrowski-Straße 7 | 10249 Berlin

Die gesetzlichen Pflichtangaben gemäß § 80 AktG finden Sie unter https://www.strato.de/impressum/.

Kontakt: www.strato.de/faq=

[HohenloheFranke]

Na dann ist ja alles gut!

man will bestimmt die Verteidigungsfaehigkeit unserer Seestreitkraefte pruefen... LMAO...

[ww_michael]

Weltweite Ransomware-Angriffe: Viele Systeme in Deutschland betroffen

Die Ransomware-Angriffe, vor denen die italienische Cyber-Sicherheitsbehörde am Wochenende warnte, betreffen dem BSI zufolge hunderte Systeme in Deutschland.



Von den Cyber-Angriffen mit Ransomware, vor denen am Wochenende die italienische Cyber-Sicherheitsbehörde ACN gewarnt hat, sind laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) hunderte Systeme in Deutschland betroffen. Unterdessen hat VMware im eigenen Sicherheits-Blog zu den Vorfällen Stellung bezogen und gibt IT-Verantwortlichen Tipps zur Absicherung der Maschinen.
BSI bestätigt Ransomware-Angriffe

Das BSI hat auf die Vorfälle reagiert und sie einsortiert. Demzufolge wurden bei "einem weltweit breit gestreuten Ransomware-Angriff" tausende ESXi-Server attackiert. Der regionale Schwerpunkt der Angriffe habe dabei auf Frankreich, den USA, Deutschland und Kanada gelegen. "Auch weitere Länder sind betroffen", ergänzt die deutsche IT-Sicherheitsbehörde. Das BSI führt in der Meldung weiter aus: "Nach bisherigen Erkenntnissen scheint es in Deutschland eine mittlere dreistellige Zahl an betroffenen Systemen zu geben. Konkretere Aussagen zur Betroffenheit und zum Ausmaß möglicher Schäden sind derzeit noch nicht möglich."

In der dazu herausgegebenen Cyber-Sicherheitswarnung präzisiert das BSI: "Die Täter machten sich eine länger bekannte Schwachstelle im OpenSLP Service der Anwendung zu Nutze, bei der ein "Heap Overflow" angestoßen und dadurch letztendlich Code aus der Ferne ausgeführt werden kann. Informationen zur Sicherheitslücke selbst – die als CVE-2021-21974 geführt und nach CVSS mit einem Schweregrad von 8.8 als "hoch" bewertet wird – sowie ein Patch wurden vom Hersteller bereits im Februar 2021 veröffentlicht".

In der Warnung erläutert das BSI zudem, was IT-Verantwortliche überprüfen sollten. Der Fragenkatalog umfasst unter anderem die betroffenen VMware-Versionen, ob die bereitstehenden Patches installiert wurden oder ob weitere Maßnahmen ergriffen wurden, damit die Systeme nicht aus dem Netz erreichbar sind.
VMware reagiert ebenfalls

Auch der Hersteller der angegriffenen Software, VMware, hat mit einem eigenen Blog-Eintrag zum Sicherheitsvorfall reagiert. Das Unternehmen führt die Cyber-Angriffe unter dem Titel "‘ESXiArgs’-Ransomware-Attacken". Es betont, dass es keine Hinweise finden konnte, dass es sich um eine unbekannte Sicherheitslücke (Zero-Day) handelt, die zur Verbreitung der Ransomware genutzt werde. "Die meisten Berichte erläutern, dass EOGS-Produkte (End of General Support) und/oder deutlich veraltete Produkte mit bekannten Schwachstellen angegriffen werden, die zuvor in VMware Security Advisories (VMSAs) behandelt und offengelegt wurden", erklärt VMware.

Das Unternehmen rät, die aktuellen Versionen der vSphere-Komponenten zu installieren, um bislang bekannte Schwachstellen abzudichten. Zudem habe VMware empfohlen, den OpenSLP-Dienst in ESXi zu deaktivieren; seit dem Jahr 2021 sei der Dienst in den neuen Fassungen standardmäßig deaktiviert.

(dmk)