der-steffen
Goto Top

Index html von meinen Webspace gehackt?

ich fürchte jemand hatte oder hat noch Zugriff auf meinen Webspace, denn die Index.html wurde mit Links zu Seiten, ich nenne sie mal "Seiten die man sonnst nicht besuchen würde", ergänzt.

Hallo,

ich schildere kurz mein Problem:

Seit längerer Zeit habe ich Webspace gemietet (werbefrei, seriöser größerer Hoster). Gestern besuchte ich seit langen wieder meine Seite und stellte fest das der Quelltext der index.html verändert wurde. Es wurden mehrere Links unter verschiedenen Namen aber zur gleichen Webseite eingefügt.

Meine index.html besteht nur aus html Code und einen Link zur CSS Datei, die aber nicht verändert wurde. Auch sonnst sind weder Formulardaten noch Gästebuch o.ä. vorhanden, also meine Webseite ist alles andere ausser Interaktiv.

Könnt ihr mir bitte sagen was ich für Möglichkeiten habe meine Webseite gegen solche Veränderungen zu schützen?
Die Dateiberechtigung der Index.html ist 640, das sollte doch so stimmen.
Das FTP Passwort habe ich auch sofort geändert.

Vorab vielen Dank für die Antworten!

Content-ID: 133590

Url: https://administrator.de/contentid/133590

Ausgedruckt am: 05.11.2024 um 13:11 Uhr

dog
dog 15.01.2010 um 20:13:18 Uhr
Goto Top
Gesetz dem Fall:
  • Du hast wirklich keine dynamischen Programme auf dem Webspace
  • Dein FTP-Passwort ist sicher

Dann handelt es sich wohl um ein Sicherheitsproblem deines Hosters, dass zumindest zeitweise erlaubt hat in die Ordner anderer Kunden zu schreiben - da kannst du aber auch nix gegen machen.

Grüße

Max
maretz
maretz 15.01.2010 um 20:30:33 Uhr
Goto Top
Moin,

hast du NUR nen Webspace dort oder ist das nen richtiger Root-Server/vHost?

Ich würde an deiner Stelle jetzt alle Passwörter (login-Pw usw.) sofort ändern. Ebenfalls würde ich gucken ob da ggf. ne Backdoor mit eingebaut wurde oder ob sich jemand da nen Uploader o.ä. mit eingebaut hat.

Im schlimmsten Fall würde ich ne komplettsicherung des Systemes veranlassen und das System selbst neu aufsetzen lassen. Bitte unbedingt die Sicherung z.B. vom Provider machen lassen - falls da mehr ist hast du so nen Nachweis das bei dir auf dem Server nen Einbruch war.
der-steffen
der-steffen 15.01.2010 um 21:50:49 Uhr
Goto Top
Hallo und Danke für die schnellen Antworten,

es ist reiner Webspace 750 MB mit Traffic Flatrate. CGI, PHP und MySQL ist zwar vorhanden / möglich, wird aber momentan nicht genutzt. Ich habe nur FTP Zugang zum Webspace. Die ganze Seite an sich ist auch noch eine Baustelle weil ich, anders als geplant, wenig Zeit dafür finde.
Ist es eigentlich möglich das die Datenbank auch zweckentfremdet worden ist ohne das ich es merke? Ich habe zwar gleich nach Bekanntwerden des Problems den Hoster eine Mail geschickt, aber ich werde wohl bis Montag warten müssen.

Wie konnte so etwas eigentlich passieren, nur html und css mehr wurde zum erstellen der Seiten, nicht verwendet (habe es selber im Texteditor geschrieben) und mein FTP Passwort ist dermaßen lang und kompliziert das kann doch keiner erraten haben?

Noch etwas ist mir aufgefallen, der komplette eingefügte Code wurde im Quelltext in eine Zeile geschrieben, die war ganz schön lang, da die Ausgabe im Browser als ungeordnete Liste wiedergegeben wurde. Auch wurden keine Leerzeichen gesetzt, kann es sein das da irgendjemand einen Bot losgeschickt hat?

Nochmals danke!

Gruß
Steffen
Supermax
Supermax 16.01.2010 um 13:43:51 Uhr
Goto Top
Wenn du Englisch kannst, empfehle ich dir diese Seite:

http://www.unmaskparasites.com/
der-steffen
der-steffen 17.01.2010 um 10:15:35 Uhr
Goto Top
Hallo Supermax,

Danke für den Link, ich habe meine Seite prüfen lassen und die wurde als "clean" eingestuft.
Also müsste jetzt wieder alles in Ordnung sein.

Ich melde mich nochmal sobald der Hoster mir eine Antwort geschickt hat, wie der Angreifer da rein gekommen ist.


Gruß
Steffen
der-steffen
der-steffen 21.01.2010 um 18:06:23 Uhr
Goto Top
Hallo miteinander,

ich habe nun die (scheinbar endgültige) Antwort vom Support meines Hosters bekommen.
In mehreren Antworten hieß es das mein PC (Viren Maleware) bzw. diverse Contentsysteme die Ursache sein, auch nach mehrmaliger Beteuerung das ich alles im Texteditor mit einfachsten Mitteln erstellt habe und ein Linux Betriebsystem verwende das ich regelmäßig update (natürlich nur mit Software aus den offiziellen Quellen).

Was haltet ihr von dieser Aussage?

Kommt es eigentlich häufig vor das Webseiten gehackt werden? Sollte das der Fall sein, werde ich mir um den Fall weiter keine Gedanken mehr machen.

Gruß
Steffen
dog
dog 21.01.2010 um 18:17:28 Uhr
Goto Top
Frag deinen Hoster doch mal ob sie das Ticket zum Tier 2 Support eskalieren könnten.
Alternativ auch, ob es jemanden gibt der nicht nur Textbausteine zusammenklicken kann face-smile
der-steffen
der-steffen 21.02.2010 um 13:40:55 Uhr
Goto Top
Hallo miteinander!

ich wollte euch nur kurz auf den aktuellen Stand bringen.

Der Support des Hosters ist immernoch der Ansicht das der Eindringling eine Schwachstelle die sich auf meiner Seite befunden hat / sich befindet genutzt hat um meine Seite zu verändern.
Letztens habe ich aber vom Hoster eine Rundmail bekommen in der eine Sicherheitsoffensive angekündigt wurde.

Für mich ist das die Bestätigung das ein Problem auf der Seite des Hosters vorlag und ich markiere den Beitrag als gelöst.


Vielen Dank für die zahlreichen, kompetenten Antworten!

Gruß
Steffen
lowbyte1
lowbyte1 22.02.2010 um 20:26:58 Uhr
Goto Top
Hi an alle

Wer heute noch FTP nutzt und sich dan fragt warum das password gesnifft wurde zbsp. durch eine Man in the middle attacke ist selber schuld.
Den wie ja jeder weis, werden die login daten (password - username) bei FTP im klatext gesendet. Vieleicht solltest du mal schauen ob sich niemand bei dir ins Wlan gehackt hat, und sich so zugang zu deinen Login-daten verschaft hat.!
Muss einfach immer wieder feststellen das viele noch WEP zum verschlüsseln des WLANS verwenden. und etwa bei 50% das standart password niemals geändert wurde.