Spam-Mail des Tages: ®SMTP/POP Block
Wer eine solche Mail zugestellt bekommt, nicht den enthaltenen Link klicken und direkt löschen:
Wer eine solche Mail zugestellt bekommt, nicht den enthaltenen Link klicken und direkt löschen:
Aktuell gibt es eine Welle von Erpressungsversuchen per Mail, eine dieser Beispielmails oben im Screenshot. Offensichtlich greifen die Erpresser auf Datenbestände zurück, die schon länger im Internet kursieren, die genannten Passwörter stimmen zum Großteil, wer also da noch nicht schon längst seine Passwörter aktualisiert hat, sollte das schleunigst nachholen. Auf https://haveibeenpwned.com/ kann man überprüfen, ob die fraglichen Mailadressen davon betroffen sind. Ansonsten ganz wichtig, nicht auf diese Mail reagieren und auch weitere Kontaktaufnahmen ignorieren.
Aufgrund einer sehr hohen Anzahl von Brute-Force-Attacken auf unsere SMTP-Server wurde durch die technische Abteilung eine Bruteforce-Detection implementiert, welche fehlerhafte Logins erkennt und die IP-Adresse dann dementsprechend sperrt. Somit erfolgt nach 10 fehlerhaften SMTP-Logins innerhalb von 10 Minuten eine Sperrung der IP-Adresse für 20 Minuten. Als Fehlermeldung wird hierbei ausgegeben:
Too many authentication failures from your IP: xxx.xxx.xxx.xxx – Blacklisted for 20min
Diese sicherheitsrelevante Änderung war hierbei zwingend notwendig, um die Systemstabilität der SMTP-Server nicht zu beeinträchtigen. Sollten Sie diesbezüglich ein Problem feststellen, steht Ihnen unser Support gerne zur Verfügung.
Des Weiteren schließen wir für die Zukunft nicht aus, die Sperrdauer der IP-Adresse entsprechend zu erhöhen.
Aufgrund einer sehr hohen Anzahl von Brute-Force-Attacken auf WordPress-Instanzen, wie auch bereits durch heise Security berichtet, wurde soeben durch die technische Abteilung eine sicherheitsrelevante Änderung für unsere SharedHosting und ManagedServer durchgeführt. Somit erfolgt nach 10 fehlerhaften Logins innerhalb von 3 Minuten eine Sperrung der IP-Adresse für 5 Minuten. Der Apache sendet hierbei den Fehlercode 429, was für Sie im Errorlog (CGI-Debugger) ersichtlich ist.
Diese sicherheitsrelevante Änderung war hierbei zwingend notwendig, um die Systemstabilität der Server nicht zu beeinträchtigen.
Heute wurde Joomla 3.8.2 veröffentlicht, mit dem Release wurden einige Sicherheitslücken behoben, Update sollte also releativ rasch durchgeführt werden. Alle Infos und Download auf https://www.joomla.org/announcements/release-news/5716-joomla-3-8-2-release.html
Alle, die nicht die automatischen Updates aktiviert haben, sollten dringend manuell updaten, alle Infos zum Release auf https://wordpress.org/news/2017/10/wordpress-4-8-3-security-release/
Wir haben zwei schwere Sicherheitslücken in wget am Freitag durch ein Update kurz nach dem Bekanntwerden geschlossen.
CVE-2017-13089 wget: Stack-based buffer overflow in HTTP protocol handling
CVE-2017-13090 wget: Heap-based buffer overflow in HTTP protocol handling
Am Mittwoch, dem 17.5.2017 14 Uhr (UTC) gibt es ein Sicherheitsrelease von Joomla auf Version 3.7.1, was eine kritische Sicherheitslücke behebt, Betroffene Kunden sollten dieses Update bei Veröffentlichung umgehend einspielen.
Offizielle Ankündigung auf joomla.org: https://www.joomla.org/announcements/release-news/5704-important-security-announcement-pre-release-371.html
Das Thema an sich ist ja nicht neu, leider gibt es immer noch eine große Anzahl veralteter Joomla- und auch WordPressinstallationen, diese werden in den letzten Tagen wieder verstärkt und erfolgreich angegriffen. Dabei wird größtenteils Schadcode in die verschiedenen index.php des CMS geladen, der auf Webseiten weiterleitet, wo versucht wird, auf den Rechnern der Besucher einen Trojaner zu installieren.
Der Code ist meist nach folgendem Muster aufgebaut (Joomla):
<script language=JavaScript id=onDate > < / script > <script language=JavaScript src=/media/system/js/statc68.php > < / script >
bei WordPress
<script language=Javascript src=/wp-includes/js/stat778.php></script>
Google reagiert relativ schnell und warnt vor diesen infizierten Seiten. Alle betroffenen Seitenbetreiber müssen umgehend zum einen die Seiten komplett bereinigen, alle möglichen Updates einspielen, anschließend die Austragung bei Google über die Webmastertools aus der Liste der attackierend gemeldeten Webseiten beantragen. Dafür gibt es auch eine Anleitung direkt bei Google.
Der einzige wirkliche und dauerhafte Schutz ist aber das Upgrade auf die aktuellste Version und zukünftig die zeitnahe Einspielung aller Updates.
Aktuell sind wieder einmal Mails im Umlauf, wo mit gefälschten Rechnungen von O2 versucht wird, Rechner mit einem Trojaner zu infizieren. Keinesfalls auf den Link zur Kontrolle der Rechnung klicken, sondern solche Mails direkt löschen. Weiterführende Infos auf https://hilfe.o2online.de/community/lesenswert/blog/2017/02/01/achtung-gef%C3%A4lschte-o2-emails-im-umlauf.