Unsere Website verwendet Cookies, um Ihnen eine bestmögliche Funktionaliät zu gewährleisten. Auch unserer Werbepartner Google verwendet Cookies. Wenn Sie auf der Seite weitersurfen, stimmen Sie der Cookie-Nutzung zu. Ich stimme zu.
Verfasst am: 04.04.06, 11:13 Titel: Kunde betreibt offensichtlich Phishing ...
Hallo zusammen,
einer meiner Webhsoting Kunden betreibt offensichtlich Phishing (gefakte Onlinebanking Login Seite). Nun meine Frage: welche Möglichkeiten / Pflichten habe ich dagegen vorzugehen ??? Wie stellt man am Besten "Beweismaterial" sicher ??
Anmeldungsdatum: 07.03.2006 Beiträge: 3729 Wohnort: Ober-Ramstadt | Das Tor zum Odenwald
Verfasst am: 05.04.06, 21:32 Titel:
User sofort sperren, seite vom netz nehmen u. ab zur polizei.
dateien löschen ist relativ, diese können wieder hergestellt werden solange sie nicht überschreiben werden, so gesehen löscht man nur den verweis auf die datei u. nicht die datei selbst, zum. bei [Wortsperre: Produktname]. _________________ LAIENMEINUNG! <---> Lese hier nur öfters!
Ab jetzt nurnoch Ringelpitz ohne anfassen!
einer meiner Webhsoting Kunden betreibt offensichtlich Phishing (gefakte Onlinebanking Login Seite). Nun meine Frage: welche Möglichkeiten / Pflichten habe ich dagegen vorzugehen ??? Wie stellt man am Besten "Beweismaterial" sicher ??
Ihre Frage zeigt, dass hier nur eine Anwort möglich ist:
Server unverzüglich vom Netz und Staatsanwaltschaft informieren. Die machen das selbst und freuen sich über Ihr sicher vorhandenes Einverständnis.
Übrigens: es muss gar nicht Ihr Kunde sein, der das Pishing betreibt. Ihre Frage lässt mich vermuten, dass Ihr Server nicht besonders sicher ist, wenn der Kunde dortens auch noch Software (PHP, CGI, JSP, ASP oder sonstigen serverseitigen Programmierungen) einsetzt kann auch diese unsicher sein und so einem Angreifer die Installation von eigener Software und eigenen Inhalten auf dem Server Ihres sonst unschuldigen Kunden ermöglicht haben.
In jedem Fall ist hier für eine forensische Untersuchung die Komplettsicherung aller Daten aller verbundenen Systeme (z.B. separate Datenbankserver), also auch deren Logfiles, erforderlich. Dazu reicht es nicht die Sicherung mit gängigen Programmen, es muss mindestens eine Sicherung mittels eines Image-Schreibers (dd) oder ähnliches gemacht werden, und zusätzlich Prüfsummenlisten sämtlicher Dateien angelegt und protokolliert werden. Die Staatsanwaltschaften und die Polizei (hier wohl BKA) haben dazu Fachpersonal.
Wichtig: Bei einem eigenmächtigen Weiterbetrieb trotz Kenntnis machen Sie sich wegen Begünstigung strafbar. Ferner ist zu vermuten, dass auch andere Bereiche Ihres Servers womöglich angegriffen wurden (->Rootkit e.t.c) Es ist ohnehin notwendig den Server neu aufzusetzen und sämtliche Software neu zu installieren. Vorhandene Skripte (siehe oben) müssen darauf geprüft werden, ob es die sind, die Sie erwarten und auf Sicherheitslöcher angeklopft werden, sonst ist für den nächsten Angriff der Erfolg von vornherein garantiert, der Angreifer macht einfach das gleiche nochmals.
Wenn Sie das nicht hinbekommen, dann sollten Sie keinen Server betreiben.
Wichtig: Ihr Kunde hat, wenn er nicht der Täter ist, wegen eigener unsicherer Software dennoch eine Mitschuld, denn er ist für die Sicherheit oder hier Unsicherheit der von ihm installierten Software selbst verantwortlich, eine Sperre begründet also keinen Schadensersatzanspruch seinerseits.
selbstdenker
Zuletzt bearbeitet von selbstdenker am 09.04.06, 19:29, insgesamt 1-mal bearbeitet
so gesehen löscht man nur den verweis auf die datei u. nicht die datei selbst, zum. bei [Wortsperre: Produktname].
Wiewohl ich eher dazu neige eben diese Alternativen zu bevorzugen: Auch die anderen Betriebssysteme neigen dazu Dateien im Normalfall nicht zu "wipen", sondern die Referenzen auf den Speicherort vom Medium (z.B. durch Löschen eines INODE-Listen-Eintrages) zu entfernen. Es handelt sich hier nicht um eine [Wortsperre: Produktname]-typische Erscheinung.
Server unverzüglich vom Netz und Staatsanwaltschaft informieren. Die machen das selbst und freuen sich über Ihr sicher vorhandenes Einverständnis.
das ist wenn ich jetzt mal genauer nachdenke die schlauste alternative, denn so können wenn er komplett ausgeschaltet ist(strom) zum. keine daten gelöscht/überschrieben werden.
die sache ist nur ob man wenn man "freiwillig" den rechner (server) rausgibt ihn auch wiederbekommt b.z.w wie schnell. _________________ LAIENMEINUNG! <---> Lese hier nur öfters!
Ab jetzt nurnoch Ringelpitz ohne anfassen!
die sache ist nur ob man wenn man "freiwillig" den rechner (server) rausgibt ihn auch wiederbekommt b.z.w wie schnell.
Aus Sicht der Staatsanwaltschaft ist der Betreiber eines solchen Servers kein Straftäter, sondern Zeuge. Zudem wird sich sich die Staatsanwaltschaft schon aus Eigeninteresse nicht der damit verbundenen üblen Nachrede aussetzen wollen, die aufkommen würde, wenn sie den ganzen Rechner einzieht. Aus forensischer oder sagen wir mal kriminaltechnischer Sicht ist die Festplatte oder sogar nur ein Image vollkommen ausreichend (genauer: Das einzig brauchbare und notwendige) und die ist kurzfristig ersetzbar: Platten sind billig.
Bei Straftätern wird das Tatwerkzeug eingezogen, dass ist aber ein anderer Schuh und betrifft regelmäßig keine Mietsachen.
Sie können keine Beiträge in dieses Forum schreiben. Sie können auf Beiträge in diesem Forum nicht antworten. Sie können Ihre Beiträge in diesem Forum nicht bearbeiten. Sie können Ihre Beiträge in diesem Forum nicht löschen. Sie können an Umfragen in diesem Forum nicht mitmachen.
Suchen
