[TYPO3-german] Was kann ich tun nachdem eine Webeite gehackt wurde / Beweissicherung / rechtliche Schritte / Ansprechpartner

[Andreas Becker]

Hallo
Nach dem Hack an Schaeuble und auch an einigen weiteren Seiten kam bei uns
die Frage auf, was kann man eigentlich tun und wie sollte man vorgehen /
handeln, nachdem ein Hack entdeckt wurde, was macht ihr in einem solchen
Fall, welche Schritte leitet ihr ein, welche Beweise sind wichtig usw.

z.B.
-- Ein Hacker (bzw. eine Hackergruppe) verschickt eine Mail in der sie auf
ihre "Sicherheits und Update" Dienste hinweist. Hierzu benutzt er/sie eine
Mailvorlage, die die Mail wie eine einer namhaften Agentur erscheinen
laesst. Das schafft vertrauen beim Kunden, der oeffnet die Mail und faengt
sich dabei was ein.

-- Nun haben ja sicher viele Agenturen ihre Kunden informiert, doch wie kann
nun der Kunde sichergehen, dass es hier keine Fake Mail ist, ueber die z.B.
etwas auf den Rechner des Kunden eingeschleust wird - z.B. Keylogger als
FirmenProtrait.pdf oder jpg getarnt?

-- Gesetzt den Fall die Viren Programme schlagen nicht Alarm und der Hacker
bekommt die benoetigten Informationen. Bzw. er verschafft sich diese auf
andere Weise. Er verschafft sich also Zutritt z.B. zur localconf.php - hier
erhaelt er Datenbank und Passwort und kann womoeglich noch weitere Daten
ergattern, die er bei seinem spaeteren Hack nuetzlich einsetzt.

?? Wie sollte man nun am besten vorgehen, bzw. wie und woran kann man am
besten erkennen wer sich hier nun access verschafft hat?

?? Welche Logfiles empfehlen sich zum Auswerten?

-- In TYPO3 haben wir ja einige Logfiles, wenn das Logging activiert ist

?? Wie sieht es mit dem Logging der Zugriffe z.B. auf die localconf.php oder
auch phpmyadmin usw aus?

-- An den Logfiles kann man ja oft sehr gut erkennen wann und wo genau von
welcher IP ein Zugriff stattgefunden hat.

?? Wie interpretiere und sichere ich nun diese Daten und welchen Stellen
mache ich diese Daten zugaenglich?

-- Findet der Zugriff der Hacker auf einen Server im Ausland statt kann man
sich ja ggf. gluecklich schaetzen an Daten aus deren
"Vorratsdatenspeicherung" ranzukommen. Doch wie sieht das in Deutschland
aus?

?? Wie laesst sich nun der Weg der IP zurueckverfolgen und wer ist der
entsprechende Ansprech Partner?

z.B.
123.456.789.012 haben wir als IP und Nachforschungen im Internet ergeben,
dass es sich um einen Provider z.B. in Erfurt handelt eine weitere ergibt
einen Provider in Brisbane oder auch einen in Nordrhein Westfalen.

?? Welche Erfahrungen habt ihr gemacht, wenn ihr nun diese Provider
kontaktiert um an die entsprechenden Nutzerdaten heranzukommen. Das geht in
einigen Staaten sicher recht einfach per Telefon und in anderen womoeglich
nur ueber die Staatsanwaltschaft oder aehnliche Institutionen?

-- gesetzt den Fall ihr bekamt die gewuenschten Daten und koennt den
Endkunden ermitteln. Dieser ist eine Universitaet oder eine groessere
Association oder auch nur ein Internet Cafee.

?? Wer wacht nun hier ueber das was auf seine Computern geschieht? Wer
hafftet fuer den Unfug der von hieraus betrieben wird?

-- Neben den IPs gibt es jedoch auch sicher noch viele weitere
Moeglichkeiten den "Fingerprint" der Hacker zu sichern. z.B. wenn man sich
den getauschten Content betrachtet.

?? Worauf sollte man hier achten?

z.B. Es wid eine hochgeehrte Persoenlichkeit mit einem Fussballspieler
vertauscht und entsprechende Kommentare hinzugefuegt - also ein Hack der
eher "harmlosen" jedoch sehr verletzenden Art! Natuerlich sind weder der im
Rampenlicht stehende Politiker noch der Fussballspieler sind hierueber
erfreut.

...
ich kuerze es hier einmal ab. >> was sind eure Vorgehensweisen, was empfehlt
ihr, gibt es bei TYPO3 eine Zentrale Stelle, wo z.B. solche Daten von Hacks
gesammelt und verglichen werden um ggf. parallelen festzustellen und auch
der STAs die Arbeit zu erleichtern. Nebeneffekt koennte sein, dass auch die
von der Mailingliste oder gar Developer die im Nebenjob Hacken rechtzeitig
erkannt werden.

?? Wie geht ihr vor?

-----------------

Eine andere bei uns aufkommende Frage war dann jedoch auch, nachdem der Hack
an der Schaeuble und anderen Seiten bekannt wurde, wie es mit der Sicherheit
der localconf.php und anderen php dateien generell aussieht wo Daten in
Klartext gespeichert werden.

Gruss
Andi