meine Webseite wurde gehackt!

[solala123]

Hallo zusammen,
ich habe folgendes Problem:
ich betreibe unsere Vereinshomepage http://www.tsv-roth.de
diese HP wurde vor ca. 4 Wochen total zerstört, weshalb kann ich nicht beantworten.
Es waren noch Dateien vorhanden, die nicht von mir waren. (ich habe die gesamte HP geschrieben)
Darauf hin habe ich alles von der HP gelöscht und eine Sicherung wieder aufgespielt.
Heute habe ich wieder einige Dateien mit der Endung .PHP und 0 KB auf den Server gefunden.
Es war auch eine Datei Dabei, die vom Virenscaner des Servers erkannt wurde --> 84ui.php.

Die Kennwörter zum Zugang der HP wurden geändert gleich nach dem Crash.

Was kann die Ursache für die Lücke sein oder wie kann man eine HP zerstören oder Dateien aufspielen ************?

Bin langsam am Verzweifeln

Meinen Rechner mit Vierenscans und Malewarescans einige male überprüft ohne Fund.

Was kann ich tun ****?

mfg
Rainer

 

[tombe]

Hallo Rainer,

mit zerstört meinst du jetzt aber die Seiten/Dateien die online sind und nicht die Dateien bei dir auf dem Rechner?

Da ich jetzt mal davon ausgehe das du bzw. euer Verein keinen eigenen Server betreibt sondern das ein Provider dahintersteckt, würde ich mich bei diesem melden und um eine Stellungnahme bitten!

 

[solala123]

Hallo Thomas,
die Dateien sind natürlich auf den Server zerstört worden.
Kann es sein, dass ich irgend eine "Lücke" oder ein schädliches Programm auf meien Rechner habe?
Und was hat es mit den 0KB Dateien auf sich?
Kannst du Dir bzw. mir das erklären ?
Gruß
Rainer

 

[tombe]

Also ich glaube nicht das du auf deinem privaten Rechner eine Virus o.ä. hast, sonst hättest du da das selbe Problem und nicht "nur" auf dem Server.

Welche Passwörter hast du geändert, die für den Zugriff auf die Datenbank oder die FTP-Passwörter zum Übertragen auf den Server?

Was du machen kannst ist das Datum, die Dateigröße und natürlich auch den Inhalt der auf dem Server vorhandenen Dateien zu prüfen und mit den lokal gespeicherten Dateien zu vergleichen. Sollte sich jemand Zugang verschafft haben könnte er da etwas versteckt haben was die weiteren Probleme macht. Das gilt natürlich auf alle Dateien und Verzeichnisse die du online hast.

Aber wie schon geschrieben, wende dich an deinen Provider und frag da nach. Es dürfte den ja auch interessieren das er eventuell ein Sicherheitsleck hat.

 

[baigox]

Gibt es auf deiner Website irgendeine Möglichkeit Dateien hoch zu laden, seien es Bilder order ähnliches.

Das ist nämlich eine große Sicherheitslücke, denn dadurch können auch .PHP Dateien auf deinen Server gelangen, die beim Aufruf den Server kontrollieren können und der "Hacker" hat dadurch volle Kontrolle über den Rechner( Server), wenn Apache( oder was auch immer du als Serversoftware verwendest) als root oder Admin läuft.

Deswegen von automatischen Uploads per Website absehen oder das mit starken Prüfroutinen sichern, die z.B. nur Bilder zulassen.

Anonyme Zugriffe bei FTP sollten für Webserver generell deaktiviert sein, und wenn es dir möglich ist, solltest du nach einem erfolgten Hackangriff das gesamte Betriebssystem erneut installieren, da immer Backdoors und Dateien vom Hack zurückbleiben können, die dem Angreifer eine Hintertür offen lassen und die oft nicht gefunden werden.

Du solltest auch mal dein Zugriffsprotokoll durchgehen und versuchen herauszufinden, wann und wer gehackt hat.

(Was ich hier schreibe muss nicht korrekt sein, es ist bloß meine Sichtweise und ich versuche bloß zu helfen. Wenn ich etwas falsches gesagt haben sollte, so teilt es mir bitte mit, ich bin ja auch nur ein Mensch )

 

[sheel]

Gibt es auf deiner Website irgendeine Möglichkeit Dateien hoch zu laden, seien es Bilder order ähnliches.

Das ist nämlich eine große Sicherheitslücke, denn dadurch können auch .PHP Dateien auf deinen Server gelangen, die beim Aufruf den Server kontrollieren können und der "Hacker" hat dadurch volle Kontrolle über den Rechner( Server), wenn Apache( oder was auch immer du als Serversoftware verwendest) als root oder Admin läuft.

Sorry, aber wer hochgeladene Dateien absichtlich als Programme startet
hätte nichts anderes als einen gehackten Server verdient.
Sowas tut aber keiner, daher sind Uploads nicht schlecht.

Deswegen von automatischen Uploads per Website absehen oder das mit starken Prüfroutinen sichern, die z.B. nur Bilder zulassen.

Oder einfach nicht starten und die Serversoftware aktuell halten...
Dazu noch eine vernünftige Konfiguration etc. und ab und zu Logfiles anschauen,
und schon hat man ziemlich alles getan, was man sinnvollerweise tun kann.

Anonyme Zugriffe bei FTP sollten für Webserver generell deaktiviert sein, und wenn es dir möglich ist, solltest du nach einem erfolgten Hackangriff das gesamte Betriebssystem erneut installieren, da immer Backdoors und Dateien vom Hack zurückbleiben können, die dem Angreifer eine Hintertür offen lassen und die oft nicht gefunden werden.

Anonymes FTP ist in den meisten Anwendungsfällen sehr schlecht, ja.
Aber hat solala sowas?

Und Betriebsssysteminstallationen (bzw. wiedereinspielen von VM-Image
und Userdatenbackup) ist etwas für den Hoster, das kann man bei üblichen Angeboten
für Privat/Kleinbetriebe etc. einfach nicht selbst tun.

@solala: Auch von mir: Hoster kontaktieren.
a) kann der dir helfen und
b) bist du ziemlich sicher (je nach Land/Vertrag...) dazu verpflichtet, sowas zu melden.
Es könnte nämlich auch für den Hoster selbst
und/oder andere Kunden von ihm zum Problem werden.

 

[solala123]

Hallo ,
Danke an alle Antworter,
Also auf der Hompage sind Bilder und Texte, es kann nichts geladen werden
mein FTP Feil steht auf "normal" also Benutzer und Paswort eigeben, dazu benütze ich FileZilla
zur Programmierung der Homepage verwende ich Dreamwaver CS3
Ja gemeldet hat es mein Kollege der hat mir den Zugang gegeben, ich selber habe nichts mit dem Provider zu tun.

Wo kann ich die Logfiles anschauen ?

Und da ich auf dem Server einige Dateien mit 0KB gefunden habe, gibt es ein Programm, womit ich meinen PC auf 0KB Dateien scannen kann?

Danke nochmals
mfg
Rainer

 

[sheel]

Wo kann ich die Logfiles anschauen ?

Je nachdem, was ihr beim Provider mietet und welcher Provider das ist...

Und da ich auf dem Server einige Dateien mit 0KB gefunden habe, gibt es ein Programm, womit ich meinen PC auf 0KB Dateien scannen kann?

Konkretes Programm kenn ich zumindest keins, aber
a) haben übliche Betriebssysteme alles Nötige, um sowas ohne ein eigenes Programm zu machen; und b) Wirst du 0KB-Dateien finden, auch wenn alles in Ordnung ist.
Sowas ist keine Seltenheit. Und es ist dringend davon abzuraten,
irgendwelche Dateien auf gut Glück zu löschen.

Aber mich würd auch mal interessieren, warum du deinem eigenen Computer so misstraust.

 

[solala123]

Hallo,
ich bin mir zimlich sicher, dass mein PC ok ist
das einzige, wo ich Bedenken habe (hatte) ist, dass von meinen Sicherungen, die ich im laufer der Zeit erstellt habe noch irgendwelche "Leichen" abgespeichert sind, die wieder Mist machen könnten.

Ob soetwas überhaupt möglich ist, das weiß ich nicht.

Gruß
Rainer

 

[baigox]

uhm, ich bin davon ausgegangen, dass er den Server lokal( wie ich) laufen hat, mein Fehler.

Und PHP dateien, die hochgeladen wurden, können per webaufruf gestartet werden.
---
wenn ich z.b. auf bsp.de/upload
die datei "Hack.php" hochlade kann ich sie doch per "http://bsp.de/upload/Hack.php" Aufruf von dem Browser starten, und die kann dann den Webserver dazu bringen andere Dateien auf den Server zu laden und auszuführen.