Aktuelle Erpressungsversuche per Mail

Aktuell gibt es eine Welle von Erpressungsversuchen per Mail, eine dieser Beispielmails oben im Screenshot. Offensichtlich greifen die Erpresser auf Datenbestände zurück, die schon länger im Internet kursieren, die genannten Passwörter stimmen zum Großteil, wer also da noch nicht schon längst seine Passwörter aktualisiert hat, sollte das schleunigst nachholen. Auf https://haveibeenpwned.com/ kann man überprüfen, ob die fraglichen Mailadressen davon betroffen sind. Ansonsten ganz wichtig, nicht auf diese Mail reagieren und auch weitere Kontaktaufnahmen ignorieren.

Bruteforce Erkennung auf unseren SMTP Servern

Aufgrund einer sehr hohen Anzahl von Brute-Force-Attacken auf unsere SMTP-Server wurde durch die technische Abteilung eine Bruteforce-Detection implementiert, welche fehlerhafte Logins erkennt und die IP-Adresse dann dementsprechend sperrt. Somit erfolgt nach 10 fehlerhaften SMTP-Logins innerhalb von 10 Minuten eine Sperrung der IP-Adresse für 20 Minuten. Als Fehlermeldung wird hierbei ausgegeben:

Too many authentication failures from your IP: xxx.xxx.xxx.xxx – Blacklisted for 20min

Diese sicherheitsrelevante Änderung war hierbei zwingend notwendig, um die Systemstabilität der SMTP-Server nicht zu beeinträchtigen. Sollten Sie diesbezüglich ein Problem feststellen, steht Ihnen unser Support gerne zur Verfügung.

Des Weiteren schließen wir für die Zukunft nicht aus, die Sperrdauer der IP-Adresse entsprechend zu erhöhen.

Brute-Force-Attacken auf WordPress-Instanzen

Aufgrund einer sehr hohen Anzahl von Brute-Force-Attacken auf WordPress-Instanzen, wie auch bereits durch heise Security berichtet, wurde soeben durch die technische Abteilung eine sicherheitsrelevante Änderung für unsere SharedHosting und ManagedServer durchgeführt. Somit erfolgt nach 10 fehlerhaften Logins innerhalb von 3 Minuten eine Sperrung der IP-Adresse für 5 Minuten. Der Apache sendet hierbei den Fehlercode 429, was für Sie im Errorlog (CGI-Debugger) ersichtlich ist.

Diese sicherheitsrelevante Änderung war hierbei zwingend notwendig, um die Systemstabilität der Server nicht zu beeinträchtigen.

Wichtiges Sicherheitsupdate für Joomla 3.7 am 17.5.2017

Am Mittwoch, dem 17.5.2017 14 Uhr (UTC) gibt es ein Sicherheitsrelease von Joomla auf Version 3.7.1, was eine kritische Sicherheitslücke behebt, Betroffene Kunden sollten dieses Update bei Veröffentlichung  umgehend einspielen.

Offizielle Ankündigung auf joomla.org: https://www.joomla.org/announcements/release-news/5704-important-security-announcement-pre-release-371.html

Wieder verstärkte Angriffe auf veraltete Joomla- und WordPressinstallationen (freshmodel.pw)

Das Thema an sich ist ja nicht neu, leider gibt es immer noch eine große Anzahl veralteter Joomla- und auch WordPressinstallationen, diese werden in den letzten Tagen wieder verstärkt und erfolgreich angegriffen. Dabei wird größtenteils Schadcode in die verschiedenen index.php des CMS geladen, der auf Webseiten weiterleitet, wo versucht wird, auf den Rechnern der Besucher einen Trojaner zu installieren.

Der Code ist meist nach folgendem Muster aufgebaut (Joomla):

<sc​​ript language=JavaScript id=onDate > < / sc​ript > 
<sc​​ript language=JavaScript s​rc=/media/system/js/statc68.php > < / sc​ript >

bei WordPress

<sc​​​ript language=Javasc​ript s​​rc=/wp-includes/js/stat778.php></sc​ript>

Google reagiert relativ schnell und warnt vor diesen infizierten Seiten. Alle betroffenen Seitenbetreiber müssen umgehend zum einen die Seiten komplett bereinigen, alle möglichen Updates einspielen, anschließend die Austragung bei Google über die Webmastertools aus der Liste der attackierend gemeldeten Webseiten beantragen. Dafür gibt es auch eine Anleitung direkt bei Google.

Der einzige wirkliche und dauerhafte Schutz ist aber das Upgrade auf die aktuellste Version und zukünftig die zeitnahe Einspielung aller Updates.