Attakierte Webseite

[powerpuetz]

Ich habe da folgendes Problem.

Als ich heute nach meinem Urlaub meine Webseite http://www.powerpuetz.de öffnete bekam ich ein rotes Warnfenster dass meine Webseite als attackiert eingestuft wurde. Also hab ich auch gleich mal meine Dateien durchsucht und auch wirklich in der index.htm einen Link gefunden der nicht von mir war. Also dies behoben und das Zugangspasswort geändert.

Nun meine Frage.
Es scheint von Google zu kommen, aber komischer Weise wird das Fenster auch nur beim Firefox angezeigt. Beim Internet Explorer nicht.

Wenn es von Google kommt, welches Recht hat Google dann, einfach so diese Seite zu sperren, und was muss ich machen damit dieser dumme Hinweis wieder weg ist. Zum einen ist mir das alles zu viel englisch, zum anderen scheint es so , als wenn ich mich bei Google registrieren müsste, was ich irgendwo nicht einsehe.

Was meint Ihr denn dazu? Hat vielleicht schon jemand erfahrungen mit dieser Sache?

Gruß Tobias

[metty]

Tja, als Webmaster kommt man heutzutage kaum noch um Google herrum.
Ich vermute mal das der versteckte Link in deiner Seite in einem Ifram sitzt/sass und dort auch schon länger, imho dauert es ein wenig bis Google sein Filter dementsprechend anpasst.
Der InternetExplorer nutzt halt einfach nicht diese Google abfrage ob solch eine Seite schadhafte Elemente enthält.
Mach dir einfach ein Google-Konto für die Webmastertools, dann kannst Du zb auch sehen wieviel von deinen Seiten Google im Index hat etc...

Aber was ich viel Interessanter fände , WARUM war bei dir ein Link? Passwort weitergegeben? Passwort geknackt? Sicherheitslücke in einer Software? Hoster gehackt? etc...

[wolle]

Mit dem neusten IE 8.0 kommen auch Warnmeldungen.

Scheint so als hättest du dir was auf deinem rechner eingefangen.

[metty]

Ich bezweifle das er sich was auf seinem Rechner eingefangen hat.
Der Link war ja in seiner Homepage drinne

[powerpuetz]

Hi Metty.

Ja es war ein Iframe und ging auf eine Seite mit .ru

Naja also ich muss gestehen das Passwort habe ich seit Jahren nicht geändert. Ich weiß das war ein Fehler. Von daher weiß ich nun nicht ob es einfach daran lag das es geknackt wurde.

Habe die Seite aber nun vom Netzt genommen, Sie war eh nicht mehr Aktuell. Und das Passwort ist auch geändert.

Gruß Tobias

[tracky]

Webserver aufgeräumt? ja ja die Russen Mafia macht vor nichts halt.

[floh]

Meiner Erfahrung nach werden Passwörter eher selten geknackt. Es werden zwar immer wieder mal Wörterbuchangriffe auf FTP Logins gemacht aber ein einigermassen schlaues PW hält da locker stand. Zumindest versuchen sie bei uns immer wieder mit "Admin" oder "Administrator" einzuloggen. Die gibt es natürlich beide nicht.
Viel öfter werden Lücken in Applikationen ausgenutzt um Code auf die Seiten zu schmuggeln. Gerne wird behauptet, dass PHP unsicher sei. Das liegt aber vor allem daran, dass einige wenige PHP Applikationen sehr weit verbreitet sind. Wird da eine Lücke entdeckt können viele Seiten in sehr kurzer Zeit kompromittiert werden. Manches selbstgetricktes Gästebuch egal ob PHP, ASP oder sonstwas ist aber auch so doof programmiert, dass es HTML und/oder JavaScript 1:1 ausgibt.

[karsten]

Es stimmt schon, dass die meisten Angriffe auf Webseiten über Sicherheitslücken von weitverbreiteten Scripten vorgenomen werden. Aber einen FTP-Account kann man nicht nur durch eine Wörterbuchattacke knacken, sondern auch einfach durch das Mitschneiden/Scannen des Netzwerkverkehrs. Schließlich werden die Daten bei diesem Uralt-Protokoll unverschlüsselt übertragen und nicht in jedem Rechenzentrum sind die einzelnen Server so voneinander abgeschirmt, dass man den lokalen Netzwerkverkehr nicht mitlesen könnte.

[floh]

Das ist auch wieder wahr. Allerdings: Scannen nützt nichts. Und um zu sniffen muss man an die Datenpakete ran kommen. In einem heutigen geswitchten Netz ist das nicht so einfach wie es früher einmal war. Typischerweise siehst du bereits am Server nebenan keine Unicast Pakete mehr die nicht für dich sind. Wie es sich in virtuellen Umgebungen verhält weiss ich jetzt nicht gerade aus dem FF aber da dürfte es nicht sehr viel anders sein. Es müsste also jemand sein der zumindest einen Port an einem der beteiligten Switches spiegeln kann. Nicht ausgeschlossen aber eher ungewöhnlich.

[karsten]

Die ct hat das früher immer gerne getestet, wenn sie virtuelle Rootserver angemietet haben, ob sie den Netzwerkverkehr der anderen virtuellen Maschinen mitlesen können. Wenn's ordentlich gemacht ist, geht's nicht, aber oft genug sind bei den Tests auch Anbieter durchgefallen.

[icelase]

Passwörter unverschlüsselt zu übertragen ist so oder so nicht besonders klug.

Steig auf FTPS/FTPES bzw SFTP/SCP um und fertig.
Ein Riskiko weniger.

Ansonsten klar... PHP Scripte & Co sind auch oftmals an irgendwelchen Einbrüchen/Defacements schuld.