Website gehackt

  • Hallo Forum!


    Ich bin neu bei netcup, habe vor 2 Wochen meine erste Domain hier herübergezogen. Nun ist der Inhalt offenbar gehackt worden: In einem Verzeichnis wurde eine eine .html-Datei mit einem Redirect zu einer fremden Website abgelegt.


    Meine Websites (diese und ein paar andere) lagen jahrelang ohne Zwischenfälle bei einem anderen Hoster. Daher habe ich noch nie mit solchen Problemen zu tun gehabt und bin völlig ahnungslos, wo ich anfangen könnte, nach der Sicherheitslücke zu suchen.


    Meine Website enthält:

    - HTML

    - PHP-Includes

    - Javascript, das Tabelleninhalte ausliest.


    Hat jemand einen Rat für mich? Ich wäre wirklich dankbar für Hilfe.

  • vServer oder Webhosting Paket? Wenn es ein Webhosting Paket ist, wirds an deinen PHP Dateien liegen. Statische HTML Seiten können keine Dateien anlegen. PHP ist generell anfällig für sowas. Sind die selbst gemacht?


    Wenn es ein vserver ist, könnte das Problem an anderen Diensten liegen, was ein größeres Problem wäre ...

  • Danke, dass du so schnell antwortest!


    Es ist ein Webhosting-Paket. Ja, die PHP-Dateien sind selbst gemacht, das könnte schon der Grund sein. Die Includes sehen so aus:


    HEAD:


    MENU:

    FOOTER:

    Siehst du da etwas, was ein Einfallstor sein könnte?

  • Ich sehe gerade, dass auf meiner Website noch ein uraltes Gästebuch-Paket liegt, das auch PHP verwendet (komplizierte Dateien, die ich nicht verstehe). Das ist nicht mehr auf der Website verlinkt, aber die Dateien liegen noch in ihrem Verzeichnis.

    Kann das der Übeltäter sein?


    Danke für den Tipp und den Link schon mal!

  • Wenn die Seite einen Login hat und eine Datenbank verwendet, dann empfehle ich noch immer auf einen alten Stand zurück zu gehen, welcher noch nicht kompromittiert war (also ein Sicherung, welche hoffentlich vorhanden ist). Ist nicht selten, das die DB gehackt wird (es wird z.B. ein Account angelegt), worüber man als Angreifer nach dem Bereinigen durch den Seitenbetreiber gleich wieder einfallen kann. Eigentlich ist es grundsätzlich empfehlenswert auf eine saubere Version zurück zu gehen, und die vermutlichen Schwachstellen zu beseitigen. Sollte der Angreife dann wieder einfallen können, weiß man das man an der falschen Stelle gesucht hat bzw. etwas übersehen hat. Geht man nicht zurück kann man nicht wissen ob man etwas übersehen hat, oder ob der Angreifer eine Hintertür hinterlassen hat.

    9 von 10 Stimmen in meinem Kopf sagen ich bin nicht verrückt, die letzte summt ständig die Melodie von Tetris.

  • Guten Tag,



    es kommt auch durchaus zu Kompromittierungen, die durch Trojaner verursacht wurden, die auf dem Client aktiv waren, der sich via FTP mit dem Server verbunden hat. Hier bringt es dann nichts die Daten auf dem Webspace zu löschen und die Passwörter zu ändern, wenn dieses über den infizierten Client geschieht.


    Sinnvoll ist es die Logdateien von einem Spezialisten prüfen zu lassen, um die Ursache heraus zu finden.



    Mit freundlichen Grüßen


    Felix Preuß

  • RHA: Besten Dank auch dir! Die Website hat keine Datenbank, aber ich werde deinen Rat für mögliche künftige Projekte beherzigen.


    felix: Danke! Das werde ich mir dann auch mal näher ansehen.

    Genügt es zumindest zu weiteren Schadensvermeidung, einen Virenscanner über den Client laufen zu lassen?

  • Genügt es zumindest zu weiteren Schadensvermeidung, einen Virenscanner über den Client laufen zu lassen?

    Und nun geht die Streiterei darum los, welche Virenscanner dafür geeignet wäre ...


    Je nach Scanner wird es dir eine gewisse Sicherheit bringen. Du solltest alles Mögliche tun, um eine Wiederholung des Falles zu vermeiden. Also Scannen, Log-Dateien auswerten, auf einen sauberen Stand zurück, alles überflüssige aus der Seite entfernen, Script-Leichen (wie z.B. das Gästebuch) entfernen, usw. usw.



    Ich kenne einen Fall von einem Arbeitskollegen, der sich ca. ein halbes Jahr damit herumgeschlagen hat. Immer wieder wurde seine Seite gehackt, bis dann nach vielem Testen festgestellt wurde, das seine Sicherung bereits kompromittiert war, allerdings dort noch versteckt ohne offensichtliche Folgen. Es war einfach "nur" bereits eine Hintertür eingebaut. Der Angreifer hat seelenruhig noch weiter gewartet bis er richtig aktiv wurde. Seine Rechnung ging auf, es wurde immer auf eine Sicherung zurück gegangen, welche nach seinem ersten Angriff lag, bei welchem nur die Hintertür eingebaut wurde. Das flog dann erst nach intensivstem Suchen in den Log-Files auf, wozu mein Kollege vorher zu faul war. Selbst wenn alles gut aussieht, und die Seite wieder läuft, nehm dir die Zeit zum Suchen. Ab und Zu könnte sich das lohnen.

    9 von 10 Stimmen in meinem Kopf sagen ich bin nicht verrückt, die letzte summt ständig die Melodie von Tetris.

  • Logging hatte ich in meinem Client blöderweise nicht aktiviert. Werde ich machen, sobald ich ihn neu installiert habe.

    Habe alles vom Server gelöscht und mir eine frühere Version der Dateien vorgenommen. Alles überflüssige Zeug habe ich rausgeworfen, voran natürlich auch besagte PHP-Scripts. Die übrigen Dateien sehe ich nun von Hand auf mögliche übersehene Dinge durch, während der Virenscanner läuft.


    Ich danke euch für die Hilfsbereitschaft und dafür, dass (noch) keiner gesagt hat: Was willst du Noob mit einer Website... Könnte es euch nicht verdenken.

  • Ah. Wo findet man die denn für gewöhnlich? :) Nicht dass ich zur Zeit drankönnte, mein Zugang zum Hosting ist noch gesperrt und das soll auch so bleiben, bis ich mit dem Überprüfen durch bin.

  • Vielen Dank!


    Mir stellen sich bei dieser Sache gerade drei Fragen:


    1. Ist es wirklich nötig, wegen Schadsoftware auf einer Website auch nicht-befallene Domains zu sperren? Ich habe verstanden, dass auch ein infizierter FTP-Client verantwortlich sein könnte, sodass in diesem Fall auch andere Domains desselben Accounts betroffen sein oder werden könnten. Jedoch bleibt bei der Sperrung der FTP-Zugang offen. Das leuchtet mir nicht ein.


    2. Um die Reaktivierung meines Accounts einzuleiten, musste ich folgende Versicherung unterschreiben:

    Zitat

    Hiermit sichere Ich Ihnen zu, dass ein solcher Vorfall nicht erneut vorkommen wird, wodurch kein erneuter Verstoß gegen die

    vereinbarten AGB erfolgt. Weiterhin bestätige ich Ihnen alle schadhaften Daten gelöscht zu haben.

    Der Kundendienst erklärte mir, dass er diese Erklärung aus rechtlichen Gründen von mir verlangen müsse. Jedoch meine ich, dass auch ein Profi eine solche Zusage nicht mit Sicherheit geben kann, und umso weniger ein Laie wie ich. Ernsthaft zusagen könnte ich allenfalls, dass ich mich nach Kräften darum bemühen werde, dass ein solcher Vorfall nicht erneut vorkommt.

    "Ein solcher Vorfall" ist natürlich ein dehnbarer Begriff. Dennoch habe ich diese Zusicherung nur mit einigem Bauchweh unterschrieben, weil es keine andere Möglichkeit gibt, den Account wieder zu aktivieren. -> In welche rechtliche Situation begebe ich mich mit dieser Zusage, die ich ja wider besseres Wissen abgegeben habe?


    3. Wie lange dauert es in solchen Fällen mit der Reaktivierung? Kümmert sich der 24-Stunden-Kundenservice darum?

  • Kann meinen Beitrag nicht mehr editieren. Corrigendum zu Punkt 1: "wegen Schadsoftware oder Sicherheitslücken auf einer Domain..."

    (Schadsoftware war es in meinem Fall ja wohl nicht, sondern ein angreifbares PHP-Script.)

  • 1. Ist es wirklich nötig, wegen Schadsoftware auf einer Website auch nicht-befallene Domains zu sperren? Ich habe verstanden, dass auch ein infizierter FTP-Client verantwortlich sein könnte, sodass in diesem Fall auch andere Domains desselben Accounts betroffen sein oder werden könnten. Jedoch bleibt bei der Sperrung der FTP-Zugang offen. Das leuchtet mir nicht ein.

    Vermutlich wurde Dir der entsprechende Webhostingvertrag gesperrt. Dort mag es mehrere Domains geben, die sich aber den selben httpdocs-Ordner teilen und damit potenziell mit betroffen sind. Der FTP-Zugang kann offen bleiben, netcup muss nur sicherstellen, dass die betroffene Webseite nicht von außen aufrufbar ist.

    Jedoch meine ich, dass auch ein Profi eine solche Zusage nicht mit Sicherheit geben kann, und umso weniger ein Laie wie ich.

    Das stimmt und darum wurde diese Zusicherung auch bereits öfters kritisiert, netcup besteht darauf, dass das rechtlich notwendig ist. Ich bin kein Experte, aber nach dieser Zusicherung wird netcup bei einem erneuten Vorfall zumindest ein außerordentliches Kündigungsrecht haben - was aber eh der Fall sein sollte, da AGB-Verstoß. Keine Ahnung.

    In welche rechtliche Situation begebe ich mich mit dieser Zusage, die ich ja wider besseres Wissen abgegeben habe?

    Das kann Dir mit Sicherheit vermutlich nur ein Anwalt sagen.

  • Vermutlich wurde Dir der entsprechende Webhostingvertrag gesperrt. Dort mag es mehrere Domains geben, die sich aber den selben httpdocs-Ordner teilen und damit potenziell mit betroffen sind.

    Ja, das stimmt. Dann ist meine nächste Frage: Warum ist das so - warum liegen standardmäßig die Inhalte aller Domains eines Accounts im selben Ordner? Bei meinem bisherigen Hoster hat jede Domain für den User ein eigenes Rootverzeichnis. Ist das nicht sowohl sicherer als auch kundenfreundlicher (da dann im Fall einer Kompromittierung nicht das komplette Webhosting gesperrt werden muss)?