nicht angemeldet
Webseite "hehacket" - Was nun? Brauche Hilfe
Hallo Ihr Lieben,
also, ich weiß mir keinen Rat mehr, deswegen wende ich mich an euch:
heute morgen wurde ich von einem Kunden, für welchen ich eine Webseite Programmiert habe an mich, mit dem Hinweis, dass seine Internetseite "gehackt" wurde. Habe ich natürlich ersteinmal nicht sehr ernst genommen, weil ich mir gedacht habe, wer wird denn bitteschön eine kleine Webseite über ein Kinderhaus angreifen wollen?
Nun gut, ich bin auf die Seite und was seh ich da?
-------------------------------------------------------------------
[ SLFAR ]
This Site HacKed And Deafced By
AIN[ S L F A R ]NIA
^
AIN[==][~القرصان سلفر~][==]NIA
III < S L F A R Was Here > III
[N.: Informationh :.N]
Fuck You You Don't Have Security ?
-- warning --
I Hacked Your WebSite , If You Want To take It Again
You Must Talk To Me to understand one another about Your Sites ,
III I Removed All Data In Your Sites , But I Have Full Back Up Of Them III
For More Information First Send Message And I Will Tell You How To Contact Me On Line
N
دورك جـــــــــــــاي
N .:: www.??yuo??.com ::. N
Contact Me <<
**-**-**
Free Your Mind , Don't Talk About My H2cking
Fix Your Fucken System , But i Remove Your Data (*&*)
N.: A[S L F A R]A :.N
S.L.F.A.R@hotmail.com"
----------------------------------------------------------------
Naja, da hab' ich erstmal ziemlich blöde geguckt, weil ich dachte wirklich, ich bin im falschen Film. ALs erstes hab ihc mich dann auf den FTP Server angemeldet und tatsächlich wurde die ursprüngliche index.php ersetzt. Habe die modifizierte Seite natürlich gelöscht und die alte index.php wieder aufgespielt. Als nächstes wollte ich dann ein MySQL backup via phpMyAdmin vornehmen (ist von meinem Provider via Plesk zu erreichen) und dort erwartet mich bereits die nächste Überraschung: Nach dem Anmelden in das Plesk Verwaltungssystem erscheint wieder diese sche**** "Your Site was hacked" Seite. Also Plesk kann auch nicht mehr bedient werden.
Na schöne Bescherung, ich hätte von euch gerne mal ein mal Tips und Anregungen, wie ich denn nun weiter vorgehen soll.
Mein Provider ist übrigens toptip.net
die Seite um die es Geht lautet http://kinderhaus-ahlen.de <- ist als Subdomain auf der Hauptseite "http://tiffany-fliesen.de" <- hier wurde übrigens auch die index.php ersetzt.
Okay soviel dazu,
bin gespannt auf eure Anworten,
MfG Micha Kießling
-
Hallo,
das ist vieleicht die einfachste, aber auch die dümmste Idee:
Du hast doch sicher die Dateien intern auf deinem Computer gespeichert, oder.
Dann lösch alles auf dem Server. Betriebssystem neu aufsetzen und mit neuem PW rangehen...
Auf keinen Fall aber ein PW aus dem Wörterbuch, denn genau da fangen Hacker an.
Lieber so eins:
[ersten zwei buchstaben deines Nachnamen][eine Dreistellige Zahl][letzten 2 Buchstaben deines Vornamen]
z.B.:
Max Mustermann:Mu987ax <---kommt kein Hacker drauf.
MfG
-
Hi, danke für die schnelle Antwort,
aber das Problem ist, die Webseiten liegen auf einem Providerserver, also ich hab kein Root-Zugriff.
Aber irgendwie kann ich es kaum glauben, dass die das PW geknackt haben, weil wenn die sich den FTP Zugriff erschlichen hätten, hätten sie zb die indexdatei vom vorinstallierten Plesk-Redaktionssystems nicht ersetzen können. Da hab ich ja nichteinmal Zugriff drauf...
Also mir kommt das alles sehr sehr komisch vor, zumal mein PW (Plesk und FTP sind die gleichen) ziemlich schwer bis unmöglich zu knacken gewesen sein kann (war warlose Buchstaben / Zahlenkombi)Man ist das ein Stress...
Gruß Micha
-
Hallo,
Aber irgendwie kann ich es kaum glauben, dass die das PW geknackt haben
Das glaube ich auch nicht.
weil wenn die sich den FTP Zugriff erschlichen hätten, hätten sie zb die indexdatei vom vorinstallierten Plesk-Redaktionssystems nicht ersetzen können. Da hab ich ja nichteinmal Zugriff drauf...
Dann ist der Server gehackt worden, wende dich schnellstens an deinen Provider und nehme all deine Technik vom Netz, bis die Sache geklärt ist und das Einfallstor geschlossen ist.
Mathias
-
-
-
Hallo Micha,
heute morgen wurde ich von einem Kunden, für welchen ich eine Webseite Programmiert habe an mich, mit dem Hinweis, dass seine Internetseite "gehackt" wurde.
Na schöne Bescherung, ich hätte von euch gerne mal ein mal Tips und Anregungen, wie ich denn nun weiter vorgehen soll.
Je nachdem welche Scripts bzw. Techniken du auf den Seiten verwendest (Boards, Gästebücher, Wikis ....) auf:
http://securitydot.net/exploits.php und http://securitydot.net/vuln.php oder http://packetstormsecurity.org/0610-exploits suchen ob für eines deiner eingesetzen Scripts eine bekannte Angriffsmöglichkeit existiert.Grüße,
Jochen
-
Hallo Micha,
du bist nicht allein, soviel steht schon einmal fest: http://www.google.de/search?hl=de&q="SLFAR"&btnG=Google-Suche&meta=.
Vermutlich ist das irgendein gelangweiltes Script-Kiddie, das dir gerade zeigt, dass es weiss, wie's geht. Meistens werden bekannte Sicherheitslücken ausgenutzt, irgendwelches ganz profanes Zeug. Bei mir war's damals nicht etwa ein böser Datenspion, sondern es waren poplige brasilianische Script-Kiddies, die die Tatsache für sich ausnutzen konnten, dass ich für Geld und gute Worte nicht mit FrontPage und den dazugehörigen Extensions arbeiten wollte. Die brauchten noch nicht einmal mein Passwort. Der Witzbold von Admin hat mir dann meinen "Space" zurückgesetzt und empfohlen, ich möge meine html-Dokumente doch bitte nur noch mit FrontPage hochladen, sonst müsste ich damit rechnen, dass die Extensions wieder corrupted würden. Den Vertrag habe ich so schnell wie möglich gekündigt... ;o)
Meine Güte, ist das lange her...
Sag' deinem Provider Bescheid, da wird irgendeine Sicherheitslücke ausgenutzt.
File Griese,
Stonie
--
Ein schlechtes Statement spricht für sich - jeder Kommentar ist verschwendete Energie, die einem bei wirklich wichtigen Unterfangen fehlen könnte.
Und im Übrigen kennt auch Stonie Wayne. -
Ich grüsse den Cosmos,
Also Plesk kann auch nicht mehr bedient werden.
Ich würde mal ganz schnell prüfen, welche Version davon installiert ist und ob in dieser Version Sicherheitslücken existieren.
Wenn ja würd ich dem Provider so tief in den Ar... treten, das er meine Schuhsohle ablecken kann.
Erfahrungsgemäss vernachlässigen viele Priovider (und vorallem die grossen) die regelmässigen Updates und Sicherheitspatches.Möge das "Self" mit euch sein
--
Neulich dachte ich mir, einmal S/M ausprobieren wäre eine tolle Erfahrung. Also hab ich Windows gebootet ...