Website gehackt! HILFE!

little-r · 21. Dezember 2010 21:02

Habe jetz zum zweiten mal eine Meldung bekommen, dass die Firewall anspricht beim betreten von meiner Website http://www.lf-elektro.eu

bin völlig ratlos! vielleicht kann jemand der sich damit auskennt mal schauen wo das herkommt und wie gefährlich das ist!?

wäre für eure hilfe sehr dankbar!

Edit:

von Jos
Deine Seite ist gehacked. Guck mal im html kode nach Linie 15
Hier klicken, um den Code zum Kopieren zu markieren
<script>var a=false;if(document.cookie.indexOf("langs")==-1){  u.s.w.

Wie bekomm ich denn das wieder weg?

owr_web · 21. Dezember 2010 21:30

Grundätzlich - die Seite ist definitiv gehackt. D.h. in irgendeiner Datei (meist mehmen sie einfach die index.php her) ist das drinnen, was den Schadcode bewirkt. Nebenbei kann es aber auch sein, dass deine Seite als "Downloadseite" missbraucht wird.

Also folgendes:

1.) Ändere SOFORT alle FTP-Zugangspasswörter ab UND - zur Sicherheit - alle Admin-Zugangspasswörter bzw. Userpasswörter bzw.: Als zweite Sicherheitsmaßnahme spiele die Systemdateien aus dem root-Ordner auch wieder neu auf.
2.) schau dir alle Ordner durch ob sie überhaupt zu deinem System gehören oder andere von dir erstellte Ordner sind, ansonsten -> weg damit.
3.) Nachdem du ohnehin unbedingt ein Update durchführen musst (1.6.7 ist ja schon eine "alte" Version) ein Update durchführen. Somit sollten die infiltrierten Dateien wieder weg sein. Aber sicherheitshalber nochmals das ganze System durchschauen und wenn sie nicht reingehören -> weg mit den überflüssigen Dateien

Nachdem du das alles erledigt hast, sollte es dann wieder passen.

Beitrag geändert von owr_web (21. Dezember 2010 21:32)

nockenfell · 21. Dezember 2010 21:58

owr_web schrieb:

1.) Ändere SOFORT alle FTP-Zugangspasswörter ab UND - zur Sicherheit - alle Admin-Zugangspasswörter bzw. Userpasswörter bzw.: Als zweite Sicherheitsmaßnahme spiele die Systemdateien aus dem root-Ordner auch wieder neu auf.

Lade den Uploads-Ordner herunter und bereinige den Lokal. Den Rest der Seite lösche komplett. Somit bist du sicher das nicht irgendwo noch eine Datei rum ist, welche nicht von CMSms ist.

Sichere deine Datenbank.

Anschliessend installierst du die Version 1.6.9. (hat am wenigsten Änderungen seit 1.6.7). Nach der Installation (Achtung: Bei der Auswahl was in die DB geschrieben werden soll, kein Häkchen setzen) kannst du wieder alle Module installieren.

little-r · 31. Dezember 2010 09:53

Danke für die Antworten. Die Passwörter hab ich geändert.

Über einen FEU kann das aber nicht zustande gekommen sein!?

Wegen dem DB Backup..... ich hab das mal mit Owr_Web gemacht, als die Seite noch ziemlich am Anfang stande , ich weis aber leider nichtmehr genau was bei dem Backup zu beachten war...?

Hier mal nen Screenshot von dem DB Backup:

Welche Einstellungen sollte ich da Treffen?

Tobias_Gl · 31. Dezember 2010 11:14

Um ein Datenbankbackup zu machen gehst du in der Phpmyadmin Oberfläche auf 'Exporieren' . dort wählst du deine Datenbank (Name) und ggf. das Datenbankschema aus und klickst im Feld darunter SQL (bei Text) an.
Sobald du das gemacht hast kannst du ganz unten auf ok klicken.
Nun wird dir eine *.sql Datei zu Download angeboten.

Um diese wieder auf den Server aufzuspielen - einfach per Importieren hochladen smile

dc2 · 31. Dezember 2010 14:12

Und mach am besten den Haken bei "Benutze hexadecimal für BLOB" weg, das macht nur Probleme.

owr_web · 31. Dezember 2010 15:25

Ich füge bei der Struktur auch gerne "DROP Table" hinzu - dann hab ich immer nur die Daten, die wirklich beim backup da waren.

Achja - mein Rat die Datenbank ÖFTERS zu sichern war nicht nur dahergesagt - insbesondere mit neuem Template hättest du die Sicherung durchführen müssen. Außerdem zumindest jedesmal wenn du größere Änderungen machst.

EDIT: Am 21.12. hast du den Beitrag geschrieben - und heute kommst du erst mit der Frage wie du die Datenbank sicherst. Naja im schlimmsten Fall sind das ja eh nur zig Gigabite an Daten die überdeinen Webserver fließen, weil ihn die Hacker als Filetransfer-Server nutzen.

Beitrag geändert von owr_web (31. Dezember 2010 15:27)

AL-d82 · 31. Dezember 2010 17:10

Für den DB Backup ist das auch nicht schlecht.
http://www.mysqldumper.net/

greez AL

little-r · 31. Dezember 2010 17:23

owr_web schrieb:

Ich füge bei der Struktur auch gerne "DROP Table" hinzu - dann hab ich immer nur die Daten, die wirklich beim backup da waren.
Achja - mein Rat die Datenbank ÖFTERS zu sichern war nicht nur dahergesagt - insbesondere mit neuem Template hättest du die Sicherung durchführen müssen. Außerdem zumindest jedesmal wenn du größere Änderungen machst.

EDIT: Am 21.12. hast du den Beitrag geschrieben - und heute kommst du erst mit der Frage wie du die Datenbank sicherst. Naja im schlimmsten Fall sind das ja eh nur zig Gigabite an Daten die überdeinen Webserver fließen, weil ihn die Hacker als Filetransfer-Server nutzen.

ich war bis gestern abend auf arbeit in frankfurt..... ich hatte nur das iphone um online zu gehen....
hab mir grad mal die serverstatistik angesehen. Im nov und dez. jeweils einen traffic von rund 1,5gb , in allen anderen monaten 150 bis 200mb

ich bekomm keine datei zum download angeboten wenn ich die db exportieren will. es läd ewig und dann bekommen ich einen ewig langen text angezeigt.

unter anderem:

1blu schrieb:

-- -- Tabellenstruktur für Tabelle `cms_additional_htmlblob_users` -- CREATE TABLE IF NOT EXISTS `cms_additional_htmlblob_users` ( `additional_htmlblob_users_id` int(11) NOT NULL, `user_id` int(11) default NULL, `htmlblob_id` int(11) default NULL, PRIMARY KEY (`additional_htmlblob_users_id`) ) ENGINE=MyISAM DEFAULT CHARSET=utf8; -- -- Daten für Tabelle `cms_additional_htmlblob_users` -- INSERT INTO `cms_additional_htmlblob_users` (`additional_htmlblob_users_id`, `user_id`, `htmlblob_id`) VALUES (19, 1, 2), (18, 16, 2), (17, 4, 2), (20, 16, 1);

dc2 · 31. Dezember 2010 17:24

Du musst unten auswählen, dass du den Dump als Download haben möchtest (unter dem Bereich, der in deinem Screenshot zu sehen ist).

piratos · 31. Dezember 2010 18:20

Sieht so aus als wenn das IPhone den Download als Text verstanden hat und nicht als zu speichernde Datei.

little-r · 31. Dezember 2010 18:57

piratos schrieb:

Sieht so aus als wenn das IPhone den Download als Text verstanden hat und nicht als zu speichernde Datei.

nein, da hast du etwas falsch verstanden. ich hatte die woche über nur das iphone, keinen rechner. deswegen konnte ich mich mit dem db backup nicht auseinandersetzen.

das backup hab ich jetzt als sql datei auf dem rechner. hatte nur das kleine häkchen bei "senden" übersehen.
danke dc2 wink

Connie · 01. Januar 2011 10:57

ich bekomm keine datei zum download angeboten wenn ich die db exportieren will. es läd ewig und dann bekommen ich einen ewig langen text angezeigt.

das ist übrigens auch kein Beinbruch, man kann diesen langen Text ja kopieren und als SQL-Datei speichern ....

Dann hoffen wir mal, daß im Neuen Jahr deine Seite von Hacks verschont bleibt!

little-r · 01. Januar 2011 14:27

Gibt es eigentlich irgendwo ein TUT für nen Update? Ich habe irgendwie Angst dass da was schief geht hmm

Wie kann ich denn ein Komplettes Backup machen? Also von der gesamten Seite, Layout, FEU , Inhalte usw.?

little-r · 04. Januar 2011 14:12

also das DB Backup hab ich, Daten Backup auch. Jetz müsste ich nur noch wissen, wie ich das Update durchführen muss?

Bei meiner suche bin ich hier drauf gestoßen:

http://forum.cmsmadesimple.org/viewtopic.php?t=36441&action=printpage;topic=36441.0 schrieb:

Es gibt zwei grundsätzliche Sachen die du vor jedem Update machen musst: 1. Backup der Datenbank 2. Backup der Dateien Danach kannst du die neue Version von CMSms über die alte Version kopieren. Anschliessend führst du www.deinedomain.com/install/upgrade.php aus. fertig.

Wie ist das gemeint mit neue Version über die Alte kopieren? Einfach in den Stammordner rein?

Connie · 04. Januar 2011 14:22

1) du hast alle Daten wieder auf dem Host (die CMSMS-Dateien, die Uploads, die Module etc.)
2) du hast alle Daten wieder in der Datenbank eingespielt
3) du weißt welche CMSMS Version aktiv war
4) du hast geschaut welche CMSMS-Version du jetzt auf den Server packen möchtest und hast diese Dateien auf deinem lokalen Rechner entpackt
5) diese entpackten Verzeichnisse schiebst du auf den Server, dadurch werden alte Dateien überschrieben und neue hinzugefügt
6) dann führst du die /install/ update.php durch

wenn du die Datenbank-Inhalte und die Dateien alle gesichert hast, kann nichts schiefgehen

nur Mut!

little-r · 04. Januar 2011 14:46

1) du hast alle Daten wieder auf dem Host (die CMSMS-Dateien, die Uploads, die Module etc.) 2) du hast alle Daten wieder in der Datenbank eingespielt

Das mach ich doch NACH dem Update, oder? Wie sieht es mit den Moduleinstellungen aus, sind die nach dem Update alle noch da? Wie siehts mit dem FrontEnd aus?

Bleibt das alles so wie es ist?

Welche Version sollte ich nehmen? Die 1.8.2 Full? Im Moment hab ich die 1.6.7.

EDIT: Wenn ich nach dem Update die alten Daten ( Uploads, Admin , Modules usw.) wieder aufspiele, war dann das Update nicht umsonst? Versteh das bitte nicht falsch, ich zweifel deine Kenntnisse nicht an, um Gottes Willen, aber ich versteh das gerade nicht.

Beitrag geändert von little-r (04. Januar 2011 14:56)

nockenfell · 04. Januar 2011 15:24

Ich versuchs nochmals einfach zu erklären:

1. Backup
---------
- Sichere alle deine Daten auf dem Server per FTP oder über das Admin-Tool deines Webhosters
- Sichere die Datenbank. Praktisch dazu ist der mysqldumper (www.mysqldumper.de)

2. Update
----------
- Lade die neuste Version als "base"-Paket von CMSms herunter (Voraussetzung ist PHP > =5.2.12)
- Lade die deutsche Sprachdatei herunter
- Entpacke beide Dateien ins gleiche Verzeichnis auf deiner Festplatte
- Lade alle Dateien dieses Verzeichnises hoch und überschreibe dabei die bestehenden
- Führe auf dem Server /install/updgrade.php aus und befolge die Anweisungen (weiter klicken)

3. Update der Module
---------------------
Nun kannst du alle von dir zusätzlich verwendeten Module aktualisieren. Dazu kannst du entweder über den ModulManager gehen oder die Module Manuell herunterladen und das Modul-Verzeichnis auf dem Server damit aktualisieren.

Beim ganzen Update-Prozedere gehen dir keine Daten verloren.

little-r · 04. Januar 2011 15:44

Du meinst sicherlich die 1.6.9? Wegen dem PHP4?

http://www.cmsmadesimple.de/news/98/84/ … licht.html

nockenfell · 04. Januar 2011 15:48

Falls du kein PHP5 zur Verfügung hast, musst du die 1.6.9 nehmen, richtig.

nhaack · 04. Januar 2011 16:01

Nicht vergessen das DB Passwort ebenfalls zu ändern (nur zur Sicherheit, wurde noch nicht erwähnt)... sonst sind die ja morgen wieder da smile

little-r · 04. Januar 2011 16:14

die 1.6.9. läuft! hat alles prima geklappt. musste nur noch die rechte von der config.php bearbeiten.

*schweißvonderstirnwisch*

VIELEN DANK FÜR DIE HILFE!

EDIT: Kann mal bitte einer nachschauen ob der Hack jetzt weg ist? Meine Firewall hat auch vor dem Update geschwiegen ops

Beitrag geändert von little-r (04. Januar 2011 16:22)

nockenfell · 04. Januar 2011 16:42

Ist noch immer drin. Falls du mir deine Zugangsdaten zur Seite schickts, schaue ich mal rein

little-r · 04. Januar 2011 16:48

mail ist raus...

leerraum · 04. Januar 2011 17:29

zusätzlich zu den Tipps hier:

ruf bei deinem hoster an und lass überprüfen ob die Hacker per bruteforce ("hardcore versuchen") auf deinen space gekommen sind. die hoster können die fehlgeschlagenen Login versuche nachvollziehen. Sollte KEINER gefunden werden, reinige unbedingt deinen Rechner von allen Viren und Trojanern. Sollte man auch sonst machen. wink Es könnte sein, dass dir jemand was untergejubelt hat und dein FTP Passwort oder sonstige Daten ausgespäht hat. Wenn Du mehrere Seiten betreibst und Programme wie Filezilla einsetzt, ist das der Supergau. Filezilla speichert Zugangsdaten übrigens im Plaintext.

Forum für CMS/made simple

#1 21. Dezember 2010 21:02

Website gehackt! HILFE!

#2 21. Dezember 2010 21:30

Re: Website gehackt! HILFE!

#3 21. Dezember 2010 21:58

Re: Website gehackt! HILFE!

#4 31. Dezember 2010 09:53

Re: Website gehackt! HILFE!

#5 31. Dezember 2010 11:14

Re: Website gehackt! HILFE!

#6 31. Dezember 2010 14:12

Re: Website gehackt! HILFE!

#7 31. Dezember 2010 15:25

Re: Website gehackt! HILFE!

#8 31. Dezember 2010 17:10

Re: Website gehackt! HILFE!

#9 31. Dezember 2010 17:23

Re: Website gehackt! HILFE!

#10 31. Dezember 2010 17:24

Re: Website gehackt! HILFE!

#11 31. Dezember 2010 18:20

Re: Website gehackt! HILFE!

#12 31. Dezember 2010 18:57

Re: Website gehackt! HILFE!

#13 01. Januar 2011 10:57

Re: Website gehackt! HILFE!

#14 01. Januar 2011 14:27

Re: Website gehackt! HILFE!

#15 04. Januar 2011 14:12

Re: Website gehackt! HILFE!

#16 04. Januar 2011 14:22

Re: Website gehackt! HILFE!

#17 04. Januar 2011 14:46

Re: Website gehackt! HILFE!

#18 04. Januar 2011 15:24

Re: Website gehackt! HILFE!

#19 04. Januar 2011 15:44

Re: Website gehackt! HILFE!

#20 04. Januar 2011 15:48

Re: Website gehackt! HILFE!

#21 04. Januar 2011 16:01

Re: Website gehackt! HILFE!

#22 04. Januar 2011 16:14

Re: Website gehackt! HILFE!

#23 04. Januar 2011 16:42

Re: Website gehackt! HILFE!

#24 04. Januar 2011 16:48

Re: Website gehackt! HILFE!

#25 04. Januar 2011 17:29

Re: Website gehackt! HILFE!

Fußzeile des Forums