Hallo Forum,

Am Dienstag wurden drei Domains von verschiedenen meiner Kunden gehackt. Alles mittlere Standard-Webhostingpakete bei 1und1. Es wurde Schadcode in PHP- und JS-Dateien eingeschleust. Ist alles fast gleichzeitig innerhalb weniger Stunden geschehen. Eine der drei Seiten wurde bereits Mittwoch morgen von Google als "attackierend" erkannt. Alle drei Seiten wurden inzwischen vom Schadcode bereinigt und die Passworte geändert. Somit bleibt nur noch die Frage nach der Ursache. Hier hab ich noch keine abschließende Erkenntnis, was recht unbefriedigend ist.

Der erste Verdacht, dass die FTP-Passworte von meinem Rechner ausgespäht wurden, scheint unwahrscheinlich, da eines der genutzen Passworte mir nie bekannt war und somit nirgends gespeichert sein konnte. Außer natürlich bei dem Kunden selbst oder seinem früheren Dienstleister. Es gab auch keine Fehllogins in den Logs, so dass reines Ausprobieren ausgeschlossen werden kann.

Gibt es die Möglichkeit, dass direkt über mögliche Sicherheitslücken in die FTP-Server bei 1und1 eingebrochen wurde und dort die FTP-Nutzer gekapert werden konnten (auch ohne Passwort)? Ist jemandem von euch gerade ähnliches passiert? Ich möchte auf diesem Weg diese Möglichkeit ausschließen können.

Viele Grüße
Max