Webseite gehackt ? Als attackierend gemeldete Website!
Hallo,
gerade habe ich bemerkt, dass eine Webseite die ich vor einigen Jahren erstellt habe gehackt wurde.
Ich muss dazu sagen, dass die Webseite sehr sehr einfach aufgebaut ist und auf einem Privaten FTP Server eines freundes von mir liegt.
es handelt sich um www.tv-eggenfelden.de
Wenn man in die Abteilung Judo wechselt, dann erscheint die Meldung von Microsoft, dass diese Webseite "als attakierend gemeldete Webseite" deklariert wurde. Wenn ich nachsehe warum, dann erscheind folgende Meldung:
Ich sehe auch, dass im Quelltext iFrames auf externe Webseiten vorhanden sind. Diese habe ich natürlich nicht hinterlegt.
Nun stellt sich für mich die Frage, wie das passieren kann? Ist der FTP-Server meines Kumpels gehackt worden?
Wie würdet ihr jetzt vorgehen?
Gruß
gerade habe ich bemerkt, dass eine Webseite die ich vor einigen Jahren erstellt habe gehackt wurde.
Ich muss dazu sagen, dass die Webseite sehr sehr einfach aufgebaut ist und auf einem Privaten FTP Server eines freundes von mir liegt.
es handelt sich um www.tv-eggenfelden.de
Wenn man in die Abteilung Judo wechselt, dann erscheint die Meldung von Microsoft, dass diese Webseite "als attakierend gemeldete Webseite" deklariert wurde. Wenn ich nachsehe warum, dann erscheind folgende Meldung:
Wie ist die gegenwärtige Einstufung von tv-eggenfelden.de/judo?
Diese Website ist als verdächtig eingestuft. Das Aufrufen dieser Website kann schädlich für Ihren Computer sein!
Ein Bestandteil dieser Website wurde in den letzten 90 Tagen 5 mal aufgrund verdächtiger Aktivitäten auf die Liste gesetzt.
Welche Befunde hat Google beim Besuch dieser Website festgestellt?
Bei 2 Seite(n) von insgesamt 14 Seiten dieser Website, die wir in den letzten 90 Tagen getestet haben, wurde festgestellt, dass Malware (Schadsoftware) ohne Einwilligung des Nutzers heruntergeladen und installiert wurde. Der letzte Besuch von Google auf dieser Website war am 2011-05-02 und verdächtiger Content wurde auf dieser Website zuletzt am 2011-05-02 gefunden.
Die Malware wird in 2 Domain(s) gehostet, darunter googleantivirusonline29010.co.cc/, oghmalak.vv.cc/.
Bei der Verteilung von Malware an Besucher dieser Website fungieren anscheinend 1 Domain(s) als Überträger, darunter inkstock.gr/.
This site was hosted on 1 network(s) including AS15598 (IP).
Hat diese Website als Überträger zur Weiterverteilung von Malware fungiert?
In den letzten 90 Tagen hat tv-eggenfelden.de/judo anscheinend nicht als Überträger für die Infektion von Websites fungiert.
Hat diese Website Malware gehostet?
Nein, diese Website hat in den letzten 90 Tagen keine Malware gehostet.
Wie kam es zu dieser Einstufung?
Gelegentlich wird von Dritten bösartiger Code in legitime Websites eingefügt. In diesem Fall wird unsere Warnmeldung angezeigt.
Nun stellt sich für mich die Frage, wie das passieren kann? Ist der FTP-Server meines Kumpels gehackt worden?
Wie würdet ihr jetzt vorgehen?
Gruß
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 165691
Url: https://administrator.de/contentid/165691
Ausgedruckt am: 22.11.2024 um 03:11 Uhr
10 Kommentare
Neuester Kommentar
Das wäre eine potentielle möglichkeit.
Allerdings kann auch der gesamte Rechenr Angriffsziel gewesen sein.
bestehen die Webseiten aus reinen HTML seiten oder auch aus PHP-Teilen.
Hier kann über diverse Lücken eingedrungen worden sein, um dann den Quelltext zu ersetzen.
Was wurden die entsprechenden Dateien auf dem FTP / Webserver zuletzt geändert?
Was sagt das FTP Server Log?
Linux Server oder Windows Server..?
Allerdings kann auch der gesamte Rechenr Angriffsziel gewesen sein.
bestehen die Webseiten aus reinen HTML seiten oder auch aus PHP-Teilen.
Hier kann über diverse Lücken eingedrungen worden sein, um dann den Quelltext zu ersetzen.
Was wurden die entsprechenden Dateien auf dem FTP / Webserver zuletzt geändert?
Was sagt das FTP Server Log?
Linux Server oder Windows Server..?
Wenn die Meldung auch von einem Apple Mac mit Safari Browser oder einem Linux Rechner mit Firefox oder Winblows mit Firefox kommt wenn du diese Seite besuchst, dann sollte dich das beunruhigen.
Wenn es eine dümmliche Winblows IE Meldung ist eher weniger....denn den würden ja der Rest der nicht Winblows Knechte gar nicht sehen können und für diesen Teil der Welt wäre die Seite absolut sauber...
Komisch auch das HTML Seiten auf einem FTP Server liegen ?? Web Seiten gehören ja normalerweise auf einen HTTP Server wie den guten Apache, oder warum machst du die FTP Welt zur HTTP Welt ?
Wenn es eine dümmliche Winblows IE Meldung ist eher weniger....denn den würden ja der Rest der nicht Winblows Knechte gar nicht sehen können und für diesen Teil der Welt wäre die Seite absolut sauber...
Komisch auch das HTML Seiten auf einem FTP Server liegen ?? Web Seiten gehören ja normalerweise auf einen HTTP Server wie den guten Apache, oder warum machst du die FTP Welt zur HTTP Welt ?
Ich muss dazu sagen, dass die Webseite sehr sehr einfach aufgebaut ist und auf einem Privaten FTP Server eines freundes von mir
liegt.
es handelt sich um www.tv-eggenfelden.de
Hi,
Ich werde natürlich den Teufel tun, mir das mal gerade selbst anzuschauen. Was ist das denn überhaupt, ein FTP oder HTTP Server?
Wie ist der Server abgesichert? Wird das regelmäßig überprüft? Wird der regelmäßig geupdated, wird gegen auftretende Probleme und Lücken vorgegangen? Sind die Basissicherheitseinstellungen sicher oder Standard?
Nun stellt sich für mich die Frage, wie das passieren kann? Ist der FTP-Server meines Kumpels gehackt worden?
Tja, wie kann das passieren? Wie werden Autos geklaut? Warum geht das? Die sind doch abgeschlossen!
Das Internet ist voll mit Milliarden von Nutzern, nicht alle gehören zu den Guten.
Wie würdet ihr jetzt vorgehen?
Hm, wenn ich Hunger habe, esse ich was. Wenn ich Motorrad fahre, setze ich einen Helm auf. Wenn an der Seite schon mal wer herumgeschraubt hat, kann es passieren, dass da mal was passiert, wodurch sich Dein Kumpel strafbar macht oder Du, je nachdem, wer da als Verantwortlicher zu fassen ist. Ist jetzt eine Frage, wie viel Dir Deine oder die Straffreiheit Deines Kumpels wert ist.
Abschalten, Mann! Und zwar am besten gleich den gesamten Server!
Dann informieren, was man so tun sollte, damit man so ein Ding einigermaßen sicher betreiben kann und dann vor allem: Prüfen! Regelmäßig!
YotYot
Moin,
an deiner Stelle würde ich erstmal die Seite vom Netz nehmen und schon mal das Backup suchen.
Denn wenn wirklich auf deinem Webspace war, kannst du ohne Protokolldateien nichts mehr nachvollziehen. Klar, du könntest jede Datei durchschauen ob dort Code auftaucht der nicht von dir ist. Aber das Risiko, dass du etwas übersiehst steigt mit jeder Minute.
Daher alle Backups raussuchen und lokal auf deinem Rechner schauen ob dort der Quellcode auch schon verändert worden ist.
Betreibt ihr die Website bei einem Anbieter der euch Datenbank und Webspace stellt oder läuft die Seite auf einem eigenen Server?
Grüße,
Dani
an deiner Stelle würde ich erstmal die Seite vom Netz nehmen und schon mal das Backup suchen.
Denn wenn wirklich auf deinem Webspace war, kannst du ohne Protokolldateien nichts mehr nachvollziehen. Klar, du könntest jede Datei durchschauen ob dort Code auftaucht der nicht von dir ist. Aber das Risiko, dass du etwas übersiehst steigt mit jeder Minute.
Daher alle Backups raussuchen und lokal auf deinem Rechner schauen ob dort der Quellcode auch schon verändert worden ist.
Betreibt ihr die Website bei einem Anbieter der euch Datenbank und Webspace stellt oder läuft die Seite auf einem eigenen Server?
Grüße,
Dani
Hallo,
die Meldung kommt nicht von Microsoft, sondern erscheint im Firefox. Im IE9 zB sieht man die Seite samt Viagrawerbung. Ohne logfiles da was rauszufinden wird schwierig. Denkbar ist, daß der FTP-Account selbst gehackt wurde (solche Versuche kenn ich natürlich, die sieht man schön in den logfiles, dauernde Einloggversuche unter verschiedenen Benutzernamen und falschem Kennwort) oder daß - bei dynamischen Seiten - einfach die Adminwebseite gefunden wurde - da werden leider oft Defaultkennwörter nicht umgestellt (sieht man auch schön in den logfiles). Webdav ist da auch ein Klassiker.
kristov
die Meldung kommt nicht von Microsoft, sondern erscheint im Firefox. Im IE9 zB sieht man die Seite samt Viagrawerbung. Ohne logfiles da was rauszufinden wird schwierig. Denkbar ist, daß der FTP-Account selbst gehackt wurde (solche Versuche kenn ich natürlich, die sieht man schön in den logfiles, dauernde Einloggversuche unter verschiedenen Benutzernamen und falschem Kennwort) oder daß - bei dynamischen Seiten - einfach die Adminwebseite gefunden wurde - da werden leider oft Defaultkennwörter nicht umgestellt (sieht man auch schön in den logfiles). Webdav ist da auch ein Klassiker.
kristov
Moin,
Tipp:
- ALLE Passwörter auf dem Server ändern - von einem frisch installieren, 100%ig sauberen Rechner aus.
- ALLE gehosteten Webseiten neu von sauberer Quelle hochladen.
- Wenn das alles wieder passt bei Google anmelden und deine Domain zur nochmaligen Überprüfung vormerken lassen.
/edit: Und noch den Server und alle Webapplikationen auf den aktuellten Stand bringen.
lg,
Slainte
Nun stellt sich für mich die Frage, wie das passieren kann? Ist der FTP-Server meines Kumpels gehackt worden?
Entweder das, oder irgendjemand der (legal) auf den FTP Server zugreifen kann hat einen Trojaner auf dem Rechner der das FTP-Password ausliest.Tipp:
- ALLE Passwörter auf dem Server ändern - von einem frisch installieren, 100%ig sauberen Rechner aus.
- ALLE gehosteten Webseiten neu von sauberer Quelle hochladen.
- Wenn das alles wieder passt bei Google anmelden und deine Domain zur nochmaligen Überprüfung vormerken lassen.
/edit: Und noch den Server und alle Webapplikationen auf den aktuellten Stand bringen.
lg,
Slainte
Echt mal, Seite hätte schon vorgestern vom Netz genommen werden.
Liegt das Ding auf einem Root-Server, oder ist das stinknormales Webhosting?
Wenn zweiteres mal den Hoster drauf ansprechen und ganz wichtig das FTP-Passwort in ein komplexes ändern.
Den Müll kriege ich btw mit Lynx:
Liegt das Ding auf einem Root-Server, oder ist das stinknormales Webhosting?
Wenn zweiteres mal den Hoster drauf ansprechen und ganz wichtig das FTP-Passwort in ein komplexes ändern.
Den Müll kriege ich btw mit Lynx:
Turnverein Eggenfelden 1885 e.V. - Judo
Online Drug Store.
Order viagra online
cheap viagra price.
IFRAME: http://inkstock.gr/2/go.php?sid=1
IFRAME: http://googleantivirusonline29010.co.cc/webstats/all
IFRAME: http://googleantivirusonline18010.co.cc/webstats/all