meine Webseite wurde gestern gehackt. Wie ich so im Internet nachgeforscht habe, hat es viele betroffen. Alle beschreiben, dass zusaetzliche Dateien eingefuegt wurden. Ich kann diese Dateien bei mir jedoch nicht finden. Leider bin ich auch nicht so der grosse Experte.
Alle haengen damit zusammen dass womoeglich spam mails und Serveranfragen an Google gesendet werden. Kann mir jemand helfen, wie man kontrollieren kann ob etwas der gleichen von meinem Webspace ausgeht?
also erstmal - ruhig bleiben
wieso gehst du denn genau davon aus, dass deine seite gehackt wurde, wenn du diese “zusätzlichen dateien” bei dir nicht gefunden hast?
wenn du dir sicher bist, schreibst du ein support-ticket, das geht, in dem du dich bei bplaced.de einloggst, und auf der linken seite auf Support-System klickst.
Benutzt du Joomla oder sonstiges oder hast du alles selbstgeschrieben?
Im schlimmsten Fall, wenn du wirklich ne Lücke hattest und sie nicht schließen kannst, nimmst du einfach deine Dateien solange vom Netz bis du es geschafft hast.
Wenn ich auf meine Webseite gehe, kommt eine weisse Seite und dort steht:
Gehackt von Zahrika Zamira
in der Webseitenstatistik habe ich gesehen, dass ich Besuch aus Tunesien hatte mit einer Google Suchanfrage nach bestimmten enthaltenen Dateien und Verzeichnissen in denen die Dateien liegen.
Deshalb bin ich mal schwer davon ausgegangen, dass ich gehackt wurde.
Ich bin ganz ruhig, da dort nichts wirklich wichtiges liegt. Ich probiere nur viel aus und teste es dort. Mein Hauptproblem ist eher, dass mir Miro nicht wieder den Account sperrt. Ist schon mal passiert. Damals sollten angeblich Spammails von meinem Account ausgegangen sein. Davon habe ich aber nichts mitbekommen und auch nicht, dass ich gehackt worden bin.
Ein Supportticket habe ich schon aufgemacht, mit der Bitte mal zu schauen, ob wieder Spam gesendet wird.
Warum ich mich eigentlich ans Forum wende, zum Ausprobieren gehoert auch dazu, die Seiten sicher zu machen. Ich habe keine Lust, wenn ich mal richtig online gehe, dass alle sensiblen Daten irgendwo auf anderen Webseiten landen.
Ich verwende eine populaere GNU lizenzierte Software und ja es gab schon diverse Angriffe, auch Massenangriffe gegen die Software.
Eine Neuaufsetzung der Software wird das Problem nicht loesen. Die Sicherheitsluecken werden damit nicht geschlossen.
Kann ich auf bplaced sehen was von meinem Webspace ausgeht oder geht das nur mit den Serverlogs von Miro?
Kann nirgendswo was finden, was dadrauf hindeutet. Vielleicht hat auch jemand dein FTP Passwort wegen zu schlechtem bzw leichten setzen herausbekommen … Die Datei hast du ja anscheinend schon überarbeitet und wenn keine Dateien auf deinem Space liegen einfach mal das FTP Passwort ändern.
Verstehe ich nicht was das bringt ne bplaced Seite zu hacken bzw deine … Ist ja kaum was drauf
Sollte es an der Software liegen und man kann die Lücken nicht schließen, würde ich mal schnell wechseln.
Zu deiner Frage:
Ich glaube, das kannst du (vor. gesetzt Miro speichert die logs) nur bei Miro einsehen.
[quote=„Jay-one“][…]
Verstehe ich nicht was das bringt ne bplaced Seite zu hacken bzw deine … Ist ja kaum was drauf
[…][/quote]Es handelt sich meist bzw. oft um Script Kiddies die es einfach Just for Fun machen^^
Suchen via Google nach angreifbaren Seiten/System und nutzen dann ma eben ne bekannte Lücke aus^^ Also haben eigl. Null Ahnung, aber eben nen Script/Tutorial was ihnen Kinder gerecht sagt was zutun ist um ne Seite zu Cracken
Ich könnte mir sogar vorstellen das diese sogar leere Seiten Cracken Eben was Google so ausspuckt
Stimmt mal zu 90% nicht, wir beobachten das schon, meistens sind es Seiten die durch bekannte Sicherheitslücken in veralteter Software gehackt werden, und das sind dann keine Script Kiddies sondern normale Bots die danach suchen, die Sicherheitslücke ausnützen und dann Spam oder Backdor Sachen in die Seiten einbauen. Dann gibt es noch all jene welche Backdor Scripte oder Keylogger auf ihren PC’s haben und dadurch die Leute an Passwörter kommen, sind aber eher nie Script Kiddys sondern solche, die danach den Account Missbrauchen.
Du meinst also das sich jeder von denen nen eigenen Bot schreibt?
Ich denke viel eher man kann den irgendwo runterladen^^ Aber das es für sowas schon Bots gibt hätte ich nicht erwartet. Allerdings… klar… wieso sich die Arbeit machen xD Wird dadurch allerdings noch erbärmlicher
Nein, meine Seite ist eine andere. Ich habe sie aber schon wieder hergestellt. Wie gesagt, was ich jetzt aus meiner Statistik ersehen kann, war dies schon ein gezielter Hackversuch. Ueber Google wurde mit inurl:xxxxx und intext:xxxxxx gezielt nach meiner Software gesucht. Es war eine Attacke auf alles was Google ausspuckt. Wenn man jetzt die Hackmeldung in Google eingibt, kommen Seitenweise gehackte Seiten.
In anderen Foren habe ich gelesen, dass unter anderem eine Datei eingeschleusst wurde, die die Datenbank ausgelesen hat und die Daten nach Russland verschickt hat. Bei mir ist nur Unsinn in der Datenbank. Aber auf bplaced gibt es tausende Accounts, die Adressen und Emails oder sogar Kreditkarteninformationen in der Datenbank haben.
Vor 2 Jahren hat Miro meine Seite mal geschlossen, weil angeblich Spam Mails von meinem Webspace ausgegangen sind. Ich habe keine Ahnung wie dass passiert ist, wer und wie man mich gehackt hat. Auch dafuer lohnt es sich bplaced zu hacken.
Erlaubt bplaced eigentlich die Verwendung von .htaccess? Wenn ich einen Passwortschutz einrichte, kommt immer “interner Serverfehler. Bitte wende Sie sich an den Administrator”
Im root verzeichnis meines Webspaces habe ich eine Datei gefunden, die die Ausgabe des Hacker Namens erzeugte. Alle anderen Dateien im root verzeichnis wurden geloescht (war eigentlich nur datenmuell). Meine andere Seite wurde wohl darauf umgeleitet. Denn ich hatte bei einer oberflaechlichen Analyse, den die Ausgabe nicht im Code gefunden.
White tiger hat mir eine PM geschickt. Entschuldige, dass ich nicht darauf direkt antworte aber ich habe extreme Probleme mich im Forum anzumelden. Jedes mal, wenn ich in den anmeldepflichtigen Bereich komme und mich anmelde, werde ich zurueck zur Forenuebersicht geleitet. Oben rechts erscheint auch angemeldet als. Wenn ich mich dann in diesen Beitrag einklicke, ist die Anmeldung wieder weg und ich werde aufgefordert mich anzumelden, danach geht es wieder zurueck zur Forenuebersicht. Das habe ich jetzt 30min lang gemacht und endlich mal Glueck gehabt, bis hierher zu kommen. (Ich habe uebrigens verschiedene Browser und Betriebssysteme ausprobiert alle haben das selbe Problem)
Zu Deiner PM. Ich will Dir leider nicht die unzensierte Suchanfrage geben (Der Hackername ist uebrigens auch veraendert. Ich will hier keine Werbung fuer in machen). Gerade bei Entwicklern habe ich starke bedenken. Ich kann Dir nur sagen, dass nach der Datei gesucht wurde, die die Cookies setzt, nach dem Unterverzeichnis in dem sie sich befindet und nach dem Copyright der Software.
Die Datei und das Verzeichnis habe ich umbenannt und das Copyright ebenfalls variiert (entfernen darf ich es leider nicht).
[quote=“lucie”]Und schon passiert! Account gesperrt - diesmal vorsorglich aus Sicherheitsgruenden!
[/quote]
Hallo,
das ist auf meinem Mist gewachsen, aber ich sehe es hier für angebracht, den Account zu deaktivieren - das ist übrigens nur zu deiner eigenen und auch unseren Sicherheitheit. Auf der Startseite waren diesmal ja schon Links zu Porno Seiten (Amateur Cams ect), dass kann ja nicht tagelang da stehen. Auf jeden Fall, wird ja im Ticket gesprochen, es muss hier zuerst mal die Ursache gefunden werden; unsicheres Passwort o.ä. Es gibt wie gesagt die zwei Möglichkeiten, der Angreifer kennt deine Passwörter (etwaig Keylogger/Trojaner auf deinem PC) oder das CMS ist total unsicher, dann muss abgeklärt werden ob es da ein Update gibt oder sonst musst du wohl oder übel was anderes nützen.
Die Hauptseite ist eigentlich gar nicht gehackt worden. Es war wie im Ticket beschrieben ein Unterverzeichnis.
Die Hauptseite und alle links sind von mir und uralt. Hat mir mal vor einigen Jahren etwas Geld gebracht. Heute benutzt sie keiner mehr.
Die Dateien sind alle geloescht und ich habe eine Sicherungskopie eingespielt. Ich wollte nur sicher gehen. Bitte aktiviere meinen Account wieder. Die Hauptseite wird dann noch aktualisiert. Ich werde dann noch sicherheitshalber alle Passwoerter aendern.
Der Account ist erst seit gestern gesperrt. In den Tagen davor war ich schon fleissig gewesen. Mit der Hilfe von anderen Foren habe ich schon die zusaetzlichen Sicherheitsempfehlungen fuer die Software umgesetzt. Ich war gerade dabei noch einige zusaetzliche Monitor- und Kontrollmechanismen einzubauen. Die Hauptseite hatte ich noch nicht geaendert, da sie nicht mit der Software zusammenhaengt und veraltet ist.
bzw deine … Ist ja kaum was drauf 
bzw deine … Ist ja kaum was drauf 
Eben was Google so ausspuckt 
