Gehackte Webseite

[tracky]

Irgendwie bin ich mit meinem Latein am Ende. Nachdem Ende letzten Jahres ich meine Webseite auf Grund eines Hacks geschlossen und den gesammte Inhalt gelöscht hatte war dann erst ma Ruhe gewesen. Alle Web Browser warnten vor Betreten der Seite auf Grund eines vom Hacker angehangenen Skripts, welches ich nicht finden konnte.
Habe dann vor gut 3 Wochen meine Seite wieder gestartet. Alle Inhalte aus einem Backup zurück gespielt, Zugang und Passwort verändert. Jetzt ist die Seite wieder gehackt worden. Nehme ich jedenfalls an, da wieder ein Text kommt mit der Meldung: "ZUGRIFF NICHT ERLAUBT Die angeforderte Seite darf nicht angezeigt werden."
Und das ohne vorherige Warnung! kann mich da jemand nicht leiden? Meine Seite hat doch keinerlei Geheimnisse, oder Ähnliches angezeigt.
Wie soll ich mich jetzt Eurer geschätzten Meinung nach verhalten?

[yosh76]

Hi,
läuft die Seite auf einem eigenem Root Server oder wird die Seite nur gehostet?

[tracky]

Nee die liegt bei 1und1 auf dem Server. Ist auch eine rein private Seite. Habe das Gefühl, das die Anfrage auf meine Seite umgeleitet wird. Sowohl bei Mozilla, als auch bei MS Explorer und Co.
Sehr merkwürdig die Geschichte.

[karsten]

Fehler 403 bedeutet ja erstmal nur, dass der Webserver die Seite nicht ausliefert, weil sie für die Öffentlichkeit nicht freigegeben ist. Mögliche Ursachen dafür können sein:
- im Verzeichnis ist keine index.html, index.php etc. vorhanden (welche Dateien erlaubt sind, ist in der Apache-Konfig-Datei eingetragen -> Webhoster fragen) und directory listing ist deaktiviert
- Verzeichnisrechte sind nicht korrekt gesetzt
- .htaccess-Datei ist fehlerhaft

Mit Hackerangriff muss das nicht zwingend zu tun haben, eher mit einem falsch konfigurierten Webserver. Falls obige Punkte nicht die Ursache sind, am besten den Webhoster fragen, ob er irgendetwas an der Server-Konfig geändert hat (möglicherweise schießt da nur ein Update quer).

[tracky]

na dann werde ich mir gleich mal die Rechte des Servers anschauen und gegebenfalls hier mal zum Sichten zeigen.

[tracky]

Glaube ich habe das Problem gefunden. Die ausführende index Datei, sowohl die Stylsheet datei waren lt. Linux Rechtetabelle anstatt 755 auf 200 gesetzt. Wie ist das möglich? Geändert auf 755 und schon geht es wieder. Danke für den Tip Kartsten!

[yosh76]

Wichtig ist:
1&1 hat die Seiten der Kunden weitestgehend vom OS ausgeperrt. D.h. auf so einem Server root Rechte zu erlangen braucht schon was
Du kannst also davon ausgehen, dass jemand über Deine Web-Seite oder den FTP (wenn überhaupt) was gedreht hat. Bspw. per PHP/ SQL Injection.
Meist sind das irgendwelche Script Kiddies, die Standard Provider -Fehler/ Sicherheitlücken ausnutzen, wenn der Provider mal wieder einen wichtigen Patch versäumt hat. 1&1 ist da in der Königsklasse anzusiedeln
Dazu müssen sie nur die IP Adresse des Server kennen und Fragen dann ab, welche DNS Einträge auf den Server verweisen. Und dann wird losgelegt...

Du findest bei den meisten Hostern (bei 1&1 ist fast immer ein Apache mit PHP5.x und MySql im Spiel) die LogFiles im FTP Root Verzeichnis/ Unterverzeichnis. Schau Dir da mal an, was zuletzt dort passiert ist oder poste mal die letzten Einträge.

Update (der letzte Post war vorher da):
Schau Dir die Logfiles an... Denke da wird einer gefummelt haben.

[tracky]

wo genau finde ich das?

[yosh76]

Geh mal per FTP auf Dein 1&1 Webspace. Da sollte in einem Unterordner Log oder Logfiles was zu finden sein.
Wenn Du da nichts findest, kannst Du das Logging in den Optionen einstellen.

Gerade mal nachgeschaut (ich hab son Dingen ja bei meinem InternetZugange dabei). Liegt unter /Logs.

[tracky]

Okay gefunden. . . . in meinem Stammverzeichnis gibt es einen Ordner der sich "logs" nennt. Rechtevergabe 644, enthaltende Dateien sind access.log.durchnummriert.gz mit Datumsverweis. Editire ich eine dieser gz Dateien kommt ein sehr langer Text ohne Zeilenumbruch zum Vorschein. Gibt es einen optimalen Betrachter für GZ Dateien?

EDIT: Winrar meldet sich zu Wort und zeigt mir alles an.

[yosh76]

.gz sind mit GZIP komprimierte Dateien. Winrar kann die entpacken. Dann erhälste nen lesbares Log.

[mR.Os]

.gz ist was komprimiertes. Ich glaube mit 7Zip kann man das entpacken.

[tracky]

so hab jetzt mal ne ältere Datei vor dem PW Wechsel eingestellt. K.A. was das alles so ist. Mein MCSE ist schon verdammt lange her. . . .

[yosh76]

Code: Select all

x.x.x.x - - [16/May/2011:02:24:27 +0200] "GET / HTTP/1.0" 404 2285 www.tms-laser.net "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; FunWebProducts; SIMBAR={CE0D1A74-7F73-44bf-A133-577EDB40CC80}; .NET CLR 1.1.4322; IEMB3; IEMB3)" "-"

x.x.x.x = IP Adresse
Dann Datum
Dann Befehl des Browsers: GET
Dann Protokoll: HTTP
Dann Version: 1.0
Dann gelieferter Fehler: 404
Dann Browserdetail

War der erste Eintrag - da gabe es schon ein 404 auf www.tms-laser.net...

[karsten]

Sieh mal in die früheren Logs und such nach dem ersten Auftreten eines 404 beim Aufruf der Startseite. Wenn die Änderung über den Apache-Server kam, müsste kurz davor min. ein PUT sein (mit GET kann man ja an einer Website kaum was manipulieren).

[tracky]

sehr interessant. Werde ich mal machen. Kann das sein, dass das nicht auf meine Seite bezogen war, sondern vielleicht den gesammten Server betraf. Dann würde ich mal 1&1 in die Spur schicken.

[decix]

Als wir Dir die Unstimmigkeiten seinerzeit gemeldet haben waren einige Foto-Links verbogen wenn
ich mich da recht erinnere, die führten dann zu Schadcode. Die Links scheinen aber derzeit in Ordnung zu sein.

[tracky]

Durchaus möglich. Wenn der Inhalt meiner Seite gehackt wurde, kann das möglich sein. Habe das Backup mit ein paar Verlusten zurück gespielt, FTP Zugang geändert. Mehr kann ich nicht tun. Schaun ma mal. . . .

[nohoe]

Hallo

Hatte auch vor gut einem Monat was Ärger auf meiner Seite. Die war
dann oft nicht zu ereichen wegen einjes Überlauf der maximalen
Prozesse auf meinem 1und1 VServer. Bin dann mit ein paar Freakkollegen
auf die Jagd gegangen und nach etwas Suche haben wir auch den
Übeltäter gefunden. Seitdem ist Ruhe. Ein Russenars..loch , am besten
solchen Proggern Hände abhacken, hatte ein Perlscript im cgi_bin
Ordner platziert neben einer Liste von Mailadressen und Absendeadressen
und diversen Betreffs und Inhalten. Der erste Schritt die Passwörter zu ändern
brachte nichts weil das Problem schon drauf war und die Dateien in diesem
Ordner ausgeführt werden konnten. Erst der nächste Schritt der hieß:
Inhalt des Ordners entfernen und Passwörter ändern und Attribute des
cgi_bin Ordners so ändern das man erst nach erneutem Ändern der Attribue
überhaupt rein darf in den Ordner und erst recht nichts ausführen darf.
Meine Bildergalerie braucht den Ordner nicht und auch keine andere Funktion meiner Seite.

Jetzt ist Ruhe
Braucht jemand die Mailempfängerliste?

Gruß
Norbert

[decix]

Hatte mich schon gewundert über die Viagra-Werbung von nohoe.de letztens... Spamschleuder!

[nohoe]

Hallo

Hatte mich schon gewundert über die Viagra-Werbung von nohoe.de letztens... Spamschleuder!

Wenn du's nicht brauchst ... dann streiche ich dich halt aus der Empfängerliste.

Gruß
Norbert

[gernot]

Code: Select all

x.x.x.x - - [16/May/2011:02:24:27 +0200] "GET / HTTP/1.0" 404 2285 www.tms-laser.net "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; FunWebProducts; SIMBAR={CE0D1A74-7F73-44bf-A133-577EDB40CC80}; .NET CLR 1.1.4322; IEMB3; IEMB3)" "-"

solche sachen sind aber volkommen normal. habe selber nen rootserver am laufen und tonne solcher veruche drinne das sind meist scriptkiddys. solange in der zeile nen 404 erscheint ist das kein problem. falls du ein CMS für deine webseite nimmst immer schön updaten. gerade sowas wie joomla ist immer ein ziel. bei uns auf arbeit der shop ist auch schon 2x gehackt worden. ich habe es dann dort so gemacht das ich auch als erstes passworte geändert habe und zu dem habe ich die index.php auf auf nur lesen gemacht. seit dem ist ruhe. vor 2 monaten hatte ich mal nen hackversuch mit ca 2000 anfragen auf verschiedene ziele. aber zum glück alle mit ner 404
gruß gernot

[tracky]

Danke gut zu wissen, dann werde ich mal die Index auf nur lesen setzten, was ja auch Sinn macht.