breppe
Goto Top

Webseite gehackt ? Als attackierend gemeldete Website!

Hallo,

gerade habe ich bemerkt, dass eine Webseite die ich vor einigen Jahren erstellt habe gehackt wurde.

Ich muss dazu sagen, dass die Webseite sehr sehr einfach aufgebaut ist und auf einem Privaten FTP Server eines freundes von mir liegt.

es handelt sich um www.tv-eggenfelden.de

Wenn man in die Abteilung Judo wechselt, dann erscheint die Meldung von Microsoft, dass diese Webseite "als attakierend gemeldete Webseite" deklariert wurde. Wenn ich nachsehe warum, dann erscheind folgende Meldung:
Wie ist die gegenwärtige Einstufung von tv-eggenfelden.de/judo?

    Diese Website ist als verdächtig eingestuft. Das Aufrufen dieser Website kann schädlich für Ihren Computer sein!

    Ein Bestandteil dieser Website wurde in den letzten 90 Tagen 5 mal aufgrund verdächtiger Aktivitäten auf die Liste gesetzt.

Welche Befunde hat Google beim Besuch dieser Website festgestellt?

    Bei 2 Seite(n) von insgesamt 14 Seiten dieser Website, die wir in den letzten 90 Tagen getestet haben, wurde festgestellt, dass Malware (Schadsoftware) ohne Einwilligung des Nutzers heruntergeladen und installiert wurde. Der letzte Besuch von Google auf dieser Website war am 2011-05-02 und verdächtiger Content wurde auf dieser Website zuletzt am 2011-05-02 gefunden.

    Die Malware wird in 2 Domain(s) gehostet, darunter googleantivirusonline29010.co.cc/, oghmalak.vv.cc/.

    Bei der Verteilung von Malware an Besucher dieser Website fungieren anscheinend 1 Domain(s) als Überträger, darunter inkstock.gr/.

    This site was hosted on 1 network(s) including AS15598 (IP).

Hat diese Website als Überträger zur Weiterverteilung von Malware fungiert?

    In den letzten 90 Tagen hat tv-eggenfelden.de/judo anscheinend nicht als Überträger für die Infektion von Websites fungiert.

Hat diese Website Malware gehostet?

    Nein, diese Website hat in den letzten 90 Tagen keine Malware gehostet.

Wie kam es zu dieser Einstufung?

    Gelegentlich wird von Dritten bösartiger Code in legitime Websites eingefügt. In diesem Fall wird unsere Warnmeldung angezeigt.
Ich sehe auch, dass im Quelltext iFrames auf externe Webseiten vorhanden sind. Diese habe ich natürlich nicht hinterlegt.

Nun stellt sich für mich die Frage, wie das passieren kann? Ist der FTP-Server meines Kumpels gehackt worden?

Wie würdet ihr jetzt vorgehen?

Gruß

Content-Key: 165691

Url: https://administrator.de/contentid/165691

Ausgedruckt am: 29.03.2024 um 05:03 Uhr

Mitglied: TheJoker2305
TheJoker2305 05.05.2011 um 10:24:36 Uhr
Goto Top
Das wäre eine potentielle möglichkeit.

Allerdings kann auch der gesamte Rechenr Angriffsziel gewesen sein.

bestehen die Webseiten aus reinen HTML seiten oder auch aus PHP-Teilen.

Hier kann über diverse Lücken eingedrungen worden sein, um dann den Quelltext zu ersetzen.

Was wurden die entsprechenden Dateien auf dem FTP / Webserver zuletzt geändert?

Was sagt das FTP Server Log?

Linux Server oder Windows Server..?
Mitglied: aqui
aqui 05.05.2011 um 10:26:26 Uhr
Goto Top
Wenn die Meldung auch von einem Apple Mac mit Safari Browser oder einem Linux Rechner mit Firefox oder Winblows mit Firefox kommt wenn du diese Seite besuchst, dann sollte dich das beunruhigen.
Wenn es eine dümmliche Winblows IE Meldung ist eher weniger....denn den würden ja der Rest der nicht Winblows Knechte gar nicht sehen können und für diesen Teil der Welt wäre die Seite absolut sauber... face-wink
Komisch auch das HTML Seiten auf einem FTP Server liegen ?? Web Seiten gehören ja normalerweise auf einen HTTP Server wie den guten Apache, oder warum machst du die FTP Welt zur HTTP Welt ?
Mitglied: YotYot
YotYot 05.05.2011 um 10:31:37 Uhr
Goto Top
Zitat von @breppe:


Ich muss dazu sagen, dass die Webseite sehr sehr einfach aufgebaut ist und auf einem Privaten FTP Server eines freundes von mir
liegt.

es handelt sich um www.tv-eggenfelden.de

Hi,

Ich werde natürlich den Teufel tun, mir das mal gerade selbst anzuschauen. Was ist das denn überhaupt, ein FTP oder HTTP Server?
Wie ist der Server abgesichert? Wird das regelmäßig überprüft? Wird der regelmäßig geupdated, wird gegen auftretende Probleme und Lücken vorgegangen? Sind die Basissicherheitseinstellungen sicher oder Standard?

Nun stellt sich für mich die Frage, wie das passieren kann? Ist der FTP-Server meines Kumpels gehackt worden?

Tja, wie kann das passieren? Wie werden Autos geklaut? Warum geht das? Die sind doch abgeschlossen!
Das Internet ist voll mit Milliarden von Nutzern, nicht alle gehören zu den Guten.

Wie würdet ihr jetzt vorgehen?

Hm, wenn ich Hunger habe, esse ich was. Wenn ich Motorrad fahre, setze ich einen Helm auf. Wenn an der Seite schon mal wer herumgeschraubt hat, kann es passieren, dass da mal was passiert, wodurch sich Dein Kumpel strafbar macht oder Du, je nachdem, wer da als Verantwortlicher zu fassen ist. Ist jetzt eine Frage, wie viel Dir Deine oder die Straffreiheit Deines Kumpels wert ist.

Abschalten, Mann! Und zwar am besten gleich den gesamten Server!
Dann informieren, was man so tun sollte, damit man so ein Ding einigermaßen sicher betreiben kann und dann vor allem: Prüfen! Regelmäßig!

YotYot
Mitglied: Dani
Dani 05.05.2011 um 10:33:16 Uhr
Goto Top
Moin,
an deiner Stelle würde ich erstmal die Seite vom Netz nehmen und schon mal das Backup suchen.
Denn wenn wirklich auf deinem Webspace war, kannst du ohne Protokolldateien nichts mehr nachvollziehen. Klar, du könntest jede Datei durchschauen ob dort Code auftaucht der nicht von dir ist. Aber das Risiko, dass du etwas übersiehst steigt mit jeder Minute.
Daher alle Backups raussuchen und lokal auf deinem Rechner schauen ob dort der Quellcode auch schon verändert worden ist.

Betreibt ihr die Website bei einem Anbieter der euch Datenbank und Webspace stellt oder läuft die Seite auf einem eigenen Server?


Grüße,
Dani
Mitglied: kristov
kristov 05.05.2011 um 10:35:00 Uhr
Goto Top
Hallo,

die Meldung kommt nicht von Microsoft, sondern erscheint im Firefox. Im IE9 zB sieht man die Seite samt Viagrawerbung. Ohne logfiles da was rauszufinden wird schwierig. Denkbar ist, daß der FTP-Account selbst gehackt wurde (solche Versuche kenn ich natürlich, die sieht man schön in den logfiles, dauernde Einloggversuche unter verschiedenen Benutzernamen und falschem Kennwort) oder daß - bei dynamischen Seiten - einfach die Adminwebseite gefunden wurde - da werden leider oft Defaultkennwörter nicht umgestellt (sieht man auch schön in den logfiles). Webdav ist da auch ein Klassiker.

kristov
Mitglied: SlainteMhath
SlainteMhath 05.05.2011 um 10:37:20 Uhr
Goto Top
Moin,

Nun stellt sich für mich die Frage, wie das passieren kann? Ist der FTP-Server meines Kumpels gehackt worden?
Entweder das, oder irgendjemand der (legal) auf den FTP Server zugreifen kann hat einen Trojaner auf dem Rechner der das FTP-Password ausliest.

Tipp:
- ALLE Passwörter auf dem Server ändern - von einem frisch installieren, 100%ig sauberen Rechner aus.
- ALLE gehosteten Webseiten neu von sauberer Quelle hochladen.
- Wenn das alles wieder passt bei Google anmelden und deine Domain zur nochmaligen Überprüfung vormerken lassen.
/edit: Und noch den Server und alle Webapplikationen auf den aktuellten Stand bringen.

lg,
Slainte
Mitglied: Don-Michelangelo
Don-Michelangelo 05.05.2011 um 10:39:53 Uhr
Goto Top
Echt mal, Seite hätte schon vorgestern vom Netz genommen werden.

Liegt das Ding auf einem Root-Server, oder ist das stinknormales Webhosting?
Wenn zweiteres mal den Hoster drauf ansprechen und ganz wichtig das FTP-Passwort in ein komplexes ändern.

Den Müll kriege ich btw mit Lynx:

                                                                                                                                            Turnverein Eggenfelden 1885 e.V. - Judo
   Online Drug Store.                                                                                                                                                              
                                                                                                                                                                                   
                                                                                Order viagra online                                                                                
                                                                                                                                                                                   
   cheap viagra price.                                                                                                                                                             
                                                                                                                                                                                   
   IFRAME: http://inkstock.gr/2/go.php?sid=1                                                                                                                                       
                                                                                                                                                                                   
   IFRAME: http://googleantivirusonline29010.co.cc/webstats/all   

   IFRAME: http://googleantivirusonline18010.co.cc/webstats/all         
Mitglied: TheJoker2305
TheJoker2305 05.05.2011 um 11:51:32 Uhr
Goto Top
Web und FTP Server leigen meist auf der gleichen Maschine.
irgendwie muss ja auch der Upload der Files ablaufen face-smile
Mitglied: breppe
breppe 05.05.2011 um 11:53:35 Uhr
Goto Top
Vielen Dank für eure Antworten!

Zu dem Server kann ich leider überhaupt nichts sagen, da ich von dem Kumpel nur die Zugangsdaten bekommen habe. Ich werde dann gleich veranlassen, dass die Seite offline geschalten wird.
Das Password für meinen Zugang hat lediglich 5 stellen... Ich tippe einfach mal darauf, dass dieser Server Softwaretechnisch sehr vernachlässigt worden ist.

Die Seite ist rein in HTML geschrieben, kein JS, kein PHP. Also kann nur der Server gehackt worden sein.

Was ich allerdings nicht verstehe ist, warum nur die eine Sparte und nicht die komplette Seite? Was denkt ihr?

Gruß
Mitglied: TheJoker2305
TheJoker2305 05.05.2011 um 12:02:58 Uhr
Goto Top
Dass der Fehler nicht gleich auffällt face-smile

Auch einige Hacker denken Profit face-smile