ABAKUS

o_O sogar die Kirche.

Ich kenne einen Webmaster, der einmal so ein Problem hatte. Allerdings nicht mit Viagra sondern es war ein "einfacher" Wurm. Wobei "einfach" hier etwas falsch gewählt ist. Ich hab das Reinigen meines PCs nach einer Woche und gefühlten 80 Viren und 10 Rootkits aufgegeben und neu aufgesetzt.
Er hatte einen Monat dann damit zu tun seinen Webspace wieder in Gang zu bekommen, ohne dass der Virus sich wieder erneut reinkopiert (er hat nen eigenen Server)

Aber mal ehrlich, ich wüsste nur zu gerne wer eine Kirchenseite hackt und sie mit Viagraspam infiziert. Welch seltsamer Mensch muss das sein.

Mich würde vielmehr interessieren, wie ich mich dagegen schützen kann.

Es heißt ja immer bei CMS, dass man z.B. den Admin-Ordner noch per .htaccess sperren soll und son Blabla, jetzt habe ich aber fast ausschließlich statische Seiten. Wie schützt man statische Seiten?

80 Viren und 10 Rootkits aufgegeben und neu aufgesetzt

Ist schon gemein wenn sie sich immer wieder nachladen sobald sie aufs Internet zugreifen können, also ich finde das Rootkit richtig genial von der Arbeitweise aber wie gesagt gemein.

Naja das prob ist das man als "enduser" nicht wo wirklich einfluss drauf hat was die houster so machen .. zb, hatte ich nen eigenen server der ( weil plesk )eine lücke nach ausen hatte ( proftp ) die ich ansich nicht schließen konnte weil keine alternative bestand ( zumindest von seiten des providers) also wuste ich das da eine lücke ist die ich nicht schliesen kann und muste drauf warten das seinerseits ein patch raus kommt. und dabei war es ein eigener server

jetzt bin ich auf einen manged server und ich kann mich etwas entspannen .. naja bis zu dem zeitpunkt wo ich ne email bekommen habe das mein trafic zu sehr angestigen ist und deswegen der server zur übwerprüfung vom netz genom,men wurde.. tja das prob war nur das ich von g. usern besser gefunden wurde und demzufolge fast 8 * soviele user auf meiner seite waren ..

was ich damit sagen will.. es gibt keine patentlösung. das einzige zauberwort ist backup der letzten 10 tage erstellen und die gut aufbewahren

Momentan geht da richtig was ab..
Ich habe mir mal die google.com SERPs angeschaut und das war schon echt erschreckend. In den Top 50 oder so waren ca. 10 infizierte Ergebnisse (siehe https://www.myseosolution.de/homepage-k ... am/#update ) und das sind alles ziemlich große/starke/trusted sites.

Ich frag mich halt ob man als Betreiber einer Seite eigentlich überhaupt was davon mitbekommen kann. Ich hab bei den deutsprachigen Pages angerufen und zumindest bei der Uni in Stuttgart, bei www.medienkunstnetz.de und bei www.d-grid.de wusste man nichts davon. ekir.de hat nicht auf meine Mail geantwortet.

Wenn ich die Entwicklung so weiterverfolge, dann scheinen gerade immer mehr gehackte Seiten ans Licht zu kommen

TheOne hat geschrieben:. das einzige zauberwort ist backup der letzten 10 tage erstellen und die gut aufbewahren

Wer backups macht ist feige

naja lieber feige als pleite

mist ist nur wenn das ein troj. ist der 2 wochen lang am pennen war

Ich hatte mal das Problem das einige Seiten von mir mehr oder weniger weg waren. Da wurde der Hosting Server gehackt.

Das bekannte austauschen aller index Seiten.

Nachdem das bekannt war und das Sicherheitsloch gestopft wurde, innerhalb von 2 Stunden nach bekanntwerden, war der Spuck auch wieder vorbei.

Bis jetzt muss ich sagen toi toi toi das ich mich damit nicht weiter beschäftigen musste.

Doch behaupte ich jetzt einfach einmal dass es einen generellen Schutz nicht gibt da die Hacker in Grunde alle Seiten oder Server hacken können wenn die sich davon nur einen Mehrwert versprechen. Das sieht man ja auch gut an einem Kopierschutz von einer CD oder einem Game, es dauert meistens nicht lange und die ersten Cracks Kursieren durchs Netz.

Ich (wir) waren auch getroffen. Sonntags früh bekam ich von Google eine Mail mit einer Warnmeldung. Da war ich natürlich zu Hause, also auf ins Büro und alles gerichtet. Avira, Firefox und Google sind jedesmal beim Aufruf der Seiten dazwischen "gesprungen" und haben Warnmeldungen ausgegeben. Alle index.php oder index.html waren am Ende mit einem iframe infiziert, IP aus Russland.
Nachdem Google die Seite wieder geprüft hatte, war dann gegen 15 Uhr der Spuk wieder vorbei.

Fehlerquelle: Das Problem bestand auf allen Seiten für die ich zu Hause mit Filezilla (siehe den genannten Thread) die FTP-Daten gespeichert habe, andere Seiten waren nicht betroffen.

In einem anderen Thread habe ich berichtet über irgendeinen Trojaner oder sonstwas, der mir in allen Browsern die Suchergebnisse auf irgendwelche Kackseiten umgeleitet hat. Der war erst ein paar Tage ruhig - nachdem ich dachte ihn entfernt zu haben, dann kam er wieder.

Also habe ich erstmal versucht mit Knoppicilin neu zu starten, das ging aus irgendwelchen Gründen nicht (Weiss die Fehlermeldung nicht mehr).
Er muss dabei aber irgendwie den Bootsektor ruiniert haben, weil Windows anschliessend erstmal 30 Minuten beschäftigt war die Startdateien wieder herzustellen. Seitdem ist abssolute Ruhe im Karton.

Konsequenz meinerseits: Filezilla geköpft, FTP-Passöwrter geändert, tägliches Backup von Rechner und allen Webseiten.

@SBM

Wie schützt man statische Seiten?

Die Seiten gar nicht. Die brauchen einfach nur einen Angriffspunkt und nichts ist da besser geeignet als OpenSource-Software. Noch schlimmer, wenn das Websoftware ist. Möchte gar nicht wissen, wie viele Sicherheitslücken in so einem Projekt wie Wordpress oder Joomla wirklich stecken, die aktuell nicht bekannt sind. Sieht man dann von der Software (Core) selbst ab, dann kommen die PlugIns. Und wenn man sieht was da so alles auf dem Markt ist und installiert wird, dann wundert mich da auch nichts mehr.

Hast Du nichts davon, also wirklich nur statische Dinge, dann ist es eben der Server der angegriffen wird. Leider haben viele Hoster Dienste am laufen die keine Sau braucht. Da laufen Beta und Alpha-Module wozu auch immer. Schnittstellen werden geöffnet, externe PlugIns eingebunden und der Kunde fragt sich dann warum seine Webseite gehackt wurde.

Ist es kein Webpaket sondern ein Server, dann sehe ich das etwas besser. Da kann man wenigstens selbst entscheiden welche Dienste laufen und welche nicht. Aber da muss man sich dann halt eben auskennen und nicht "Juhu, ich hab nen eigenen Server - was muss ich machen?" Updates müssen rein, so lästig das auch sein mag (teilweise kommen die ja wöchentlich).

Aber auch hier ist das alles wieder zu 99% eine Sache vom Anwender.

Nachtrag: Und weil es FileZille betrifft, also FTP. Dann gehe man doch mal da weg und betrachte sich proftpd. Der Dienst wird sehr oft eingesetzt und seit Plesk diesen nun auch nutzt ist die Verbreitung um ein vielfaches gestiegen. Dumm nur, dass die Originalpakete des Herstellers "verseucht" waren und genau diese Version in Plesk integriert war. Aber die Updates werden schnell installiert, ist ja normal, fast jeder will immer sofort das neueste haben. Das war dann wirklich ein Problem, für das den Anwender und auch der Hoster nicht wirklich was kann, doch wer wurde alles informiert? Strato hatte da zig Mails gesendet und Fristen gesetzt, das Programm zu löschen oder zu stoppen. Frist war zwei Tage. Erfolgt keine Reaktion, dann werden die Dienste automatisch beendet, die Firewall entsprechend aktiviert oder der Server vom Netz genommen. Krasse Aussage, aber auch gut so (das war auch der Grund für meinen Wechsel zu FileZilla, da ich auch zu SFTP gewechselt bin). Wer wurde aber nicht informiert? Ich behaupte mal sehr viele. Und viele von denen, die informiert wurden, die haben keine Ahnung davon. Updates gab es damals nämlich keine, das musste man manuell installieren.

Nachtrag: Sehe gerade, dass TheOne das mit proftp auch angesprochen hat. Es ist Dein Server, Dein Plesk. Da war ein Fehler drinnen, gut, aber den musst Du beseitigen. Und Plesk stellte bereits einen Tag nach Bekanntwerden eine Lösung bereit. Das war allerdings kein Patch oder Update, sondern eine manuelle Lösung die nicht wirklich einfach ist.

@Synonym

ja aber diese eine nacht war es mim schlafen nicht so gut .. das prob ist ja eher weniger das der server mal "gehackt wurde" sondern eher die daten die verlohren gehen können oder auch der vertrauensbruch mit den kunden ( gerade bei o shops ) wenn klar wird wo die daten geklaut wurden .. da hilft eine ssl verbindung auch nicht wirklich weiter .. das ist zumindest ein grund wieso ich div. daten auseinander reiße und auf verschiedenen servern speicher.
jetzt bin ich auf einen managed server weil mir inzischwen auch die zeit fehlt das einzige prob ist das da ein großteil der provider eben auch stur setzt und zb sagt wenn der server gehackt wird können wir nichts dafür denn wir können nichts dafür wenn sie scripe hoch laden die prob. erzeugen ( die aussage kam aus nem forum ) und demensprechend ist dann wieder der user schuld.


ganz so einfach ist es nicht.. deswegen nehmt es euch ( wie schon oben erwähnt) zu herzen und guckt 2 mal hin wo ihr drauf klickt. . oder holt euch einen 2 rechner nur zu prog. der webseits...

das einzige prob ist das da ein großteil der provider eben auch stur setzt und zb sagt wenn der server gehackt wird können wir nichts dafür denn wir können nichts dafür wenn sie scripe hoch laden die prob. erzeugen

Das mag ein Problem sein, diese Aussagen kotz*** mich auch immer an (da nicht immer zutreffend), aber es ist nun mal so, wenn es den Server selbst betrifft.

Dein Server, Deine Verantwortung. Und wenn es ein "Managed" ist und Du da ein anfälliges Prog drauf installierst, dann ist es wieder Deine Verantwortung. Managed bedeutet ja nur, dass die die Konfiguration übernehmen, die Dienste updaten und das OS aktuell halten. Scripte sind Deine Sache. Der Hoster wäre ja auch bescheuert, wenn er die "Garantie" für ein Script übernehmen würde, das Du installierst, der das aber vielleicht noch nicht einmal kennt.

Der Leihwagenanbieter übernimmt auch nur die "Garantie" für das Auto. Wenn aber Dein Handy die Bordelektronik lahmlegt, dann ist das auch Dein Problem

Verschiedene Dienste auf verschiedene Server auslagern ist sicherlich ein Vorteil, aber auch ein Nachteil. Es müssen mehr Server "gewartet" werden. Das mit dem proftpd beschäftigte mich auch gut 4 Tage (12 Server).