Website gehackt! HILFE!

little-r · 04. Januar 2011 17:36

Bei 1Blu jemanden erreichen? big_smile der war gut....

aber probieren werde ich es nochmal, danke für den tip!

Cherry · 04. Januar 2011 19:47

leerraum schrieb:

Wenn Du mehrere Seiten betreibst und Programme wie Filezilla einsetzt, ist das der Supergau. Filezilla speichert Zugangsdaten übrigens im Plaintext.

Wäre vielleicht allgemein zu empfehlen die Zugangspasswörter nicht in Filezilla zu speichern sondern in einem Passwortmanager.
Beispielsweise mit KeePass. Macht nicht wirklich viel mehr Mühe das dann aufzurufen.

Andynium · 04. Januar 2011 20:49

little-r schrieb:

Bei 1Blu jemanden erreichen? der war gut....

cmsmadesimple.de läuft auch bei 1blu und ich hatte da noch nie Probleme roll ...

little-r · 04. Januar 2011 21:54

cyberman schrieb:

cmsmadesimple.de läuft auch bei 1blu und ich hatte da noch nie Probleme ...

ich schon. die erreichbarkeit war am anfang sehr schlecht, das hat sich aber mittlerweile etwas gebessert.......
auf mail hab ich trotzdem bis heute keine antwort bekommen....

mutabor · 12. Januar 2011 09:59

Hallo little-r,

ich glaube ich bin Leidensgenosse von Dir. Wie ich nämlich gerade festgestellt habe, liegen wir beide auf dem selben Server bei 1blu. Ich habe alle Dateien meines Webspace durchsucht und keine infizierten Dateien finden können. Trotzdem wurde immer wieder der von Dir beschriebene Schadcode in PHP-Seiten eingefügt.

Seit gestern Nachmittag existiert das Problem nicht mehr. Wie sieht es bei Dir aus?

Es ist wirklich unsäglich, dass inzwischen mehr als 2 Wochen und zig Mails an den Support vergehen mussten, bis dort offensichtlich etwas unternommen wurde.

Gib doch mal laut, ob bei Dir jetzt auch alles ok ist.

Viele Grüße,
mutabor

PS: Kannst Du mir auch noch sagen, seit wann das Phänomen bei Dir aufgetreten ist? Bei mir war's um den 22.12.2010 herum.

nockenfell · 12. Januar 2011 10:25

Ich habe bei little-r folgendes Unternommen:

- Komplette Seite gelöscht (ausser uploads)
- Neue 1.9.2er installiert
- Upgrade durchgeführt
- alle installierten Module in einer aktuellen Version auf den Server geladen
- Module in der DB aktualisiert
- Webspace mit .htaccess abgesichert

Danach hat das Problem nicht mehr existiert. Welche Datei nun genau dafür Verantwortlich war, kann ich nicht sagen. Durch das Löschen aller Dateien war sichergestellt, dass alle ev komprimitierten Dateien weg sind.

mutabor · 12. Januar 2011 11:19

Hallo nockenfell,

danke für Deine Antwort.

Seit wann genau existiert das Problem also nicht mehr? Seit gestern oder schon früher? Würde gern heraus finden, ob der Hoster diesbezgl. was unternommen hat.

Danke + Grüße,
mutabor

nockenfell · 12. Januar 2011 13:09

Schwierig zu sagen. Am 5.1. vor der Neuinstallation war das JavaScript noch da und nach der Installation nicht mehr.

Da ich nicht weiss wie das Script reingekommen ist, lässt sich schwierig eine Aussage zu den Tätigkeiten des Webhosters machen.

mutabor · 12. Januar 2011 15:15

Hallo nockenfell,

das heißt Du hast alles am 5.1. neu installiert und seitdem taucht das Problem nicht mehr auf, richtig? Oder wann hast Du die Installation abgeschlossen und festgestellt, dass das Javascript nicht mehr injiziert wird?

Nochmals Danke,
mutabor

Andynium · 12. Januar 2011 15:26

Habt ihr mal bei 1blu angerufen?

Telefon ist besser als Mail - die haben mir auch die Support-Tickets eingestellt, die innerhalb eines Tages geklärt waren.

nockenfell · 12. Januar 2011 17:04

mutabor schrieb:

das heißt Du hast alles am 5.1. neu installiert und seitdem taucht das Problem nicht mehr auf, richtig? Oder wann hast Du die Installation abgeschlossen und festgestellt, dass das Javascript nicht mehr injiziert wird?

Genau. 5.1. am Mittag habe ich die Installation abgeschlossen und danach war die Seite clean.

mutabor · 12. Januar 2011 18:02

Danke für Eure Antworten.

@cyberman:
Wir haben tatsächlich mehrfach per Telefon versucht dort Hilfe zu bekommen, aber sowas wie FTP-Logs wurde z.B. kategorisch abgelehnt oder - zumindest per E-Mail - geflissentlich ignoriert. Und die Tatsache dass sich Schadcode auf ihren Rechnern befindet der evtl. auch auf andere übergreifen könnte hat auch niemanden interessiert. Am Telefon gab es darauf die lapidare Reaktion "Bei uns ist alles in Ordnung" ohne auch nur eine Sekunde einen dementsprechenden Test in Betracht zu ziehen.

@nockenfell:
Ok, dann ist hier zumindest diesbezgl. kein Schluss zu ziehen, ob und wann sie aktiv geworden sind. Trotzdem vielen Dank.

Gruß,
mutabor

t-nini · 29. September 2011 08:57

Meine Seite ist auch Opfer eines Hacker Angriffs geworden.

Kann ich irgendwie nachvollziehen wer bzw. was das war?

t-nini · 29. September 2011 11:05

na super....

hab gestern alle Zugangsdaten geändert...

Aber ich kann sie Seite wieder nicht sehen....

Die einizige Datei die ich noch gefunden habe, war eine Datei die "configuration.php" hieß. die hab ich gelöscht. sonst scheint mir alles "normal" und ein paar "Thumbs.db" Dateien

aber da sind einige Dateien wo ich nicht genau weiss ob die vorher schon da waren oder nicht...

Wie kann ich dem ein Ende setzen? Das endlich alles weg ist?

Mir ist auch grade aufgefallen, dass ich in der Admin Oberfläche nicht mehr auf Layout --> Stylesheets klicken kann, da bekomme ich auch ncihts mehr angezeigt....

Beitrag geändert von t-nini (29. September 2011 11:11)

piratos · 29. September 2011 11:19

t-nini schrieb:

Meine Seite ist auch Opfer eines Hacker Angriffs geworden.
Kann ich irgendwie nachvollziehen wer bzw. was das war?

So kann man ein Thema nicht anfangen.

1. welche cmsms version ?
2. wie macht sich der hack bemerkbar ?

Hacks können durch direkte Angriffe kommen , in weitaus mehr Fällen gelangt Schadcode über den eigenen Rechner in die Seite.
Da würde ich grundsätzlich mal alle betroffenen Rechner mit einem aktuellen guten Virenscanner beharken.

t-nini · 29. September 2011 11:47

piratos schrieb:

t-nini schrieb:
Meine Seite ist auch Opfer eines Hacker Angriffs geworden.
Kann ich irgendwie nachvollziehen wer bzw. was das war?
So kann man ein Thema nicht anfangen.
1. welche cmsms version ?
2. wie macht sich der hack bemerkbar ?
Hacks können durch direkte Angriffe kommen , in weitaus mehr Fällen gelangt Schadcode über den eigenen Rechner in die Seite.
Da würde ich grundsätzlich mal alle betroffenen Rechner mit einem aktuellen guten Virenscanner beharken.

oh jo sorry.

Ich habe nun Version 1.9.4.3

Angefangen hat alles in den letzten Tagen.
Das Design der Seite war quasi nicht mehr vorhanden.
Als ich mich in die Adminoberfläche eingelogged habe, habe ich gesehen, dass ich noch bei 1.6.1 war. Habe mich dann erstmal fürn Update entschieden und wollte dem Problme des Designs nachher auf den Grund gehen.
Das Update ließ sich aber nicht durchführen, da in der "config.php" irgendein Unfug drin stand.
Nach dem das Problem behoben war klappte das Update und auch das Design war wieder normal.

Habe alle Passwörter geändert und dachte das Problem sei behoben.
Wollte mir heute die Webseite anschauen, aber ich bekomme nur einen weißen Bildschirm.

Der Unfug in der "config.php" stand wieder drin und es gab dann auch eine "configuration.php" und ein paar "Thumb.db" im Upload Ordner.
Habe die "configuration.php" und die "Thumbs.db" gelöscht und auch wieder den Unfug aus der "config.php" gelöscht, aber leider ändert sich an der Tatsache nichts, dass ich nach wie vor nur eine weiße Seite sehe!

Ich habe mal im Systemprotokoll geschaut und gesehen das sich gestern vor dem ändern der Passwörter ca alle 10 Sekunden sich jemand über einen eingerichteten Benutzer einloggen wollte.... Nun ist das aber nicht mehr der Fall.

nockenfell · 29. September 2011 12:16

Bei einem Hack hilft nur die radikale Methode:

Sichere die Datenbank und die Dateien
Lösche den kompletten Inhalt im Webspace
Checke deinen Computer wie auch das Backup auf Viren
Ändere nochmals das FTP Passwort
Lege eine neue Datenbank an
Installiere ein jungfräuliches CMSMS in die neue Datenbank
Installiere alle eingesetzten Module
Ändere die Zugangsdaten in der config.php auf die alte DB
Kopiere die Inhalte des /uploads Ordner in die neue Installation: Selektiere dabei sorgfältig was du wirklich brauchst, damit nicht eine allenfalls infizierte Datei hochgeladen wird

Mit dieser Vorgehensweise wirst du den Hack wahrscheinlich los. Falls der Hack jedoch direkt in die DB eingefügt wurde, hilft auch dies hier nicht weiter. Dann muss die DB Manuell gesäubert werden, was viel Aufwand und Kentnisse benötigt.

nockenfell · 29. September 2011 12:21

t-nini schrieb:

Meine Seite ist auch Opfer eines Hacker Angriffs geworden.
Kann ich irgendwie nachvollziehen wer bzw. was das war?

Mit Hilfe der Logs des Webhosters lässt sich allenfalls einiges herausfinden. Dies benötigt jedoch vertiefte Kentnisse in dieser Materie.

Forum für CMS/made simple

#26 04. Januar 2011 17:36

Re: Website gehackt! HILFE!

#27 04. Januar 2011 19:47

Re: Website gehackt! HILFE!

#28 04. Januar 2011 20:49

Re: Website gehackt! HILFE!

#29 04. Januar 2011 21:54

Re: Website gehackt! HILFE!

#30 12. Januar 2011 09:59

Re: Website gehackt! HILFE!

#31 12. Januar 2011 10:25

Re: Website gehackt! HILFE!

#32 12. Januar 2011 11:19

Re: Website gehackt! HILFE!

#33 12. Januar 2011 13:09

Re: Website gehackt! HILFE!

#34 12. Januar 2011 15:15

Re: Website gehackt! HILFE!

#35 12. Januar 2011 15:26

Re: Website gehackt! HILFE!

#36 12. Januar 2011 17:04

Re: Website gehackt! HILFE!

#37 12. Januar 2011 18:02

Re: Website gehackt! HILFE!

#38 29. September 2011 08:57

Re: Website gehackt! HILFE!

#39 29. September 2011 11:05

Re: Website gehackt! HILFE!

#40 29. September 2011 11:19

Re: Website gehackt! HILFE!

#41 29. September 2011 11:47

Re: Website gehackt! HILFE!

#42 29. September 2011 12:16

Re: Website gehackt! HILFE!

#43 29. September 2011 12:21

Re: Website gehackt! HILFE!

Fußzeile des Forums