16
Strato Domain gehackt und gespert
Hallo zusammen,
Ich stehe vor folgendem Problem: eine Website die ich betreue ist gehackt und vom Provider (Strato) gesperrt worden.
Nun wollte ich bei Administrator.de mal fragen, aber ich weiß nicht in welchem Bereich ich mein Thema hinzufügen soll.
Ich habe den Schadecode schon auch einigen Dateien entfernen können.
Aber manuell ist das sehr schwierig und Zeitaufwendig.
Kann mir evtl. Jemand einen Tipp geben, an welcher Stelle ich ausführlich, die Frage zu diesem Thema stellen kann ?
Danke für Ihre Bemühungen.
Thorsten Lemke
Ich stehe vor folgendem Problem: eine Website die ich betreue ist gehackt und vom Provider (Strato) gesperrt worden.
Nun wollte ich bei Administrator.de mal fragen, aber ich weiß nicht in welchem Bereich ich mein Thema hinzufügen soll.
Ich habe den Schadecode schon auch einigen Dateien entfernen können.
Aber manuell ist das sehr schwierig und Zeitaufwendig.
Kann mir evtl. Jemand einen Tipp geben, an welcher Stelle ich ausführlich, die Frage zu diesem Thema stellen kann ?
Danke für Ihre Bemühungen.
Thorsten Lemke
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Kommentar vom Moderator Dani am Apr 28, 2014 um 08:02:27 Uhr
Beitrag verschoben von OffTopic nach Sicherheit.
Content-Key: 236627
Url: https://administrator.de/contentid/236627
Printed on: April 25, 2024 at 01:04 o'clock
16 Comments
Latest comment
Guten Morgen,
am besten die kompletten Dateien löschen und das letzte Backup vor der Infizierung einspielen - dann unbedingt nach der Aktualität der Dateien/CMS usw schauen.
Grüße
am besten die kompletten Dateien löschen und das letzte Backup vor der Infizierung einspielen - dann unbedingt nach der Aktualität der Dateien/CMS usw schauen.
Grüße
3
Hallo,
ich kann mich da @certifiedit.net nur anschließen. Je nach dem, was die Seite infiziert hat, wird das Vorhaben sehr komplex. Daher würde ich auch auf jeden Fall eine Sicherung zurückspielen.
Falls das nicht möglich ist (da kein Backup vorhanden?!) würde ich das CMS neu installieren und den Static-Content (Bilder, etc) zurückkopieren und dann nach und nach die Datenbank kopieren.
Gruß,
Florian
ich kann mich da @certifiedit.net nur anschließen. Je nach dem, was die Seite infiziert hat, wird das Vorhaben sehr komplex. Daher würde ich auch auf jeden Fall eine Sicherung zurückspielen.
Falls das nicht möglich ist (da kein Backup vorhanden?!) würde ich das CMS neu installieren und den Static-Content (Bilder, etc) zurückkopieren und dann nach und nach die Datenbank kopieren.
Gruß,
Florian
1
Hallo zusammen,
Moin!
Ich habe den Schadecode schon auch einigen Dateien entfernen können.
Aber manuell ist das sehr schwierig und Zeitaufwendig.
Wenn du dir die Mühe nicht machen willst, dann entferne alles und spiel das letzte Backup ein, wie certifiedit.net schon geschrieben hat.Aber manuell ist das sehr schwierig und Zeitaufwendig.
Oder du setzt gleich das ganze System komplett neu auf mit einem aktuellen CMS, wenn der Content nicht als zu umfangreich war.
Kann mir evtl. Jemand einen Tipp geben, an welcher Stelle ich ausführlich, die Frage zu diesem Thema stellen kann ?
Hast du diesen Thread aufgemacht um zu fragen wie du einen Thread in einem bestimmten Bereich aufmachst? :DGruß
1
Moin,
ich kann mich @certifiedit.net nur anschliessen.
Zusätzlich solltest Du unbedingt deine(n) PC(s)/Laptop(s) auf Malware/Keylogger und ähnliches überprüfen (oder am besten neu aufsetzten). Wenn die sicher sauber sind solltest Du alles Passwörter incl. Kundenaccounts bei Strato, alle Emailkonten und vor Allem alle FTP Kennwörter.
Hintergrund: Ich hatte jetzt schon des öfteren den Fall beim Kunden das FTP Passwörter für Websites per Keylogger oder trojanisiertem FileZille Client abgesaugt und zur Infektion der entsprechenden Websites genutzt wurden. Starkes Anzeichen für sowas ist die reinfektion der (aus einem Backup wieder hergestellten) Website < 24h.
lg,
Slainte
ich kann mich @certifiedit.net nur anschliessen.
Zusätzlich solltest Du unbedingt deine(n) PC(s)/Laptop(s) auf Malware/Keylogger und ähnliches überprüfen (oder am besten neu aufsetzten). Wenn die sicher sauber sind solltest Du alles Passwörter incl. Kundenaccounts bei Strato, alle Emailkonten und vor Allem alle FTP Kennwörter.
Hintergrund: Ich hatte jetzt schon des öfteren den Fall beim Kunden das FTP Passwörter für Websites per Keylogger oder trojanisiertem FileZille Client abgesaugt und zur Infektion der entsprechenden Websites genutzt wurden. Starkes Anzeichen für sowas ist die reinfektion der (aus einem Backup wieder hergestellten) Website < 24h.
lg,
Slainte
1
Zitat von @nikoatit:
Hast du diesen Thread aufgemacht um zu fragen wie du einen Thread in einem bestimmten Bereich aufmachst? :D
Hast du diesen Thread aufgemacht um zu fragen wie du einen Thread in einem bestimmten Bereich aufmachst? :D
Nein ich wußte nur nicht in welchem Bereich ich posten sollte. Deswegen auf Topic Bereich.
Über Backups zurück hatte ich auch schon nachgedacht. Aber ab wann genau Infiziert wurde ist mir unbekannt.
Als erstes habe ich die Passwörter geändert. Ich bekam auch eine Bestätigung von Strato dass die Passwörter erfolgreich geändert worden sind.
Doch trotz dieser Änderung konnte ich mich mit dem alten Passwort weiterhin bei Strato einloggen. Daraufhin habe ich meine Bekannte informiert Sie sich dann mit Strato in Verbindung gesetzt hat. Da anscheinend bei Strato nicht alles läuft wie er sollte denke ich mir das das Zurückspielen der Weg hab's nicht 100-prozentig klappt.
Guten Morgen,
erstmal tief durchatmen und danach ließt du deinen Kommentar nochmal. Bisschen abgehakt...
Falls es eine professionelle Seite ist, mit der du/sie Geld verdient würde ich eine Firma damit beauftragen, eine Analyse durchzuführen. Es ist damit zwar nicht 100%ig gewährleistet, dass das Einfallstor gefunden wird. Aber sicher ist sicher... nicht das am nächsten Tag das Gleiche wieder passiert.
Ansonsten wenn es eher Hobby oder ein privater Blog ist, würde ich meinen Vorredner zustimmen. Um herauszufinden wann der Eindringling da war, könntest du das Änderungsdatum der infizierten Dateien anschauen und das Backup vom Tag davor einspielen. Danach unbedingt nochmal die Kennwörter ändern und das CMS auf die neuste Version aktualisieren.
Grüße,
Dani
erstmal tief durchatmen und danach ließt du deinen Kommentar nochmal. Bisschen abgehakt...
Falls es eine professionelle Seite ist, mit der du/sie Geld verdient würde ich eine Firma damit beauftragen, eine Analyse durchzuführen. Es ist damit zwar nicht 100%ig gewährleistet, dass das Einfallstor gefunden wird. Aber sicher ist sicher... nicht das am nächsten Tag das Gleiche wieder passiert.
Ansonsten wenn es eher Hobby oder ein privater Blog ist, würde ich meinen Vorredner zustimmen. Um herauszufinden wann der Eindringling da war, könntest du das Änderungsdatum der infizierten Dateien anschauen und das Backup vom Tag davor einspielen. Danach unbedingt nochmal die Kennwörter ändern und das CMS auf die neuste Version aktualisieren.
Grüße,
Dani
1
Hallo Dani,
Ich habe nun folgendes gemacht.
Die Website vom Strato Server in eine Virtuelle Maschine geladen.
Dort mir die Infizierten Files mit Kaspersky zeigen lassen.
es wurde immer auf die selbe url verwiesen . Ich schreibe mal ohne http davor
scuderiajaguarstoriche.c... slasch counter.p..?id=xxxxxxx Backslasch " Tag zu.
Ich habe das ganze immer Verzeichnisweise göffnet und mit Notepad++ über die suchen Funktion mir die Bereiche zeigen lassen und dann habe ich Manuell gelöscht.
Es hat ganz schön gedauert. Aber nun lade ich die Sauberen Files wieder hoch.
Passwörter sind geändert. Und nach dem Hochladen wird der FTP Zugang Deaktiviert.
Ich hoffe das wars jetzt. Muss nun nur noch das Team von abuse@strato.de davon überzeugen. Das die die Domain wieder Freischalten.
Thorsten Lemke
Ich habe nun folgendes gemacht.
Die Website vom Strato Server in eine Virtuelle Maschine geladen.
Dort mir die Infizierten Files mit Kaspersky zeigen lassen.
es wurde immer auf die selbe url verwiesen . Ich schreibe mal ohne http davor
scuderiajaguarstoriche.c... slasch counter.p..?id=xxxxxxx Backslasch " Tag zu.
Ich habe das ganze immer Verzeichnisweise göffnet und mit Notepad++ über die suchen Funktion mir die Bereiche zeigen lassen und dann habe ich Manuell gelöscht.
Es hat ganz schön gedauert. Aber nun lade ich die Sauberen Files wieder hoch.
Passwörter sind geändert. Und nach dem Hochladen wird der FTP Zugang Deaktiviert.
Ich hoffe das wars jetzt. Muss nun nur noch das Team von abuse@strato.de davon überzeugen. Das die die Domain wieder Freischalten.
Thorsten Lemke
Wie soll dir Kaspersky allerdings zeigen welche Dateien dir möglicherweise untergeschoben wurden?
Gruß
Gruß
2
Ich habe die Verzeichnisse auf Viren untersuchen lassen. Dann konnte ich in den Bericht erkennen bei welchen Dateien Alarm geschlagen wurde. Dann habe ich die Dateien im Notepad ++ geöffnet, und den Schadcode Manuell entfernt.
Der code war am Ende zB. der Indexdatei in einem PHP Tag angehängt und hat auf eine Domänen verwiesen.
(Secuiajaguar.com oder so....)
Der code war am Ende zB. der Indexdatei in einem PHP Tag angehängt und hat auf eine Domänen verwiesen.
(Secuiajaguar.com oder so....)
So sollte er es machen, am sonsten wird es sehr schwer alles zu Löschen
Deine geänderten Dateien bist du jetzt (anscheinend) los.
Aber hast du das Einfallstor gefunden?
Wenn es nur ein gehacktes Passwort war dann war es das.
Wenn es eine alte (unsecure) Softwareversion war, dann hast du noch Handlungsbedarf.
Aber hast du das Einfallstor gefunden?
Wenn es nur ein gehacktes Passwort war dann war es das.
Wenn es eine alte (unsecure) Softwareversion war, dann hast du noch Handlungsbedarf.
1Zitat von @schicksal:
Wenn es eine alte (unsecure) Softwareversion war, dann hast du noch Handlungsbedarf.
Wenn es eine alte (unsecure) Softwareversion war, dann hast du noch Handlungsbedarf.
Dazu benötige ich noch etwas wissen zu (unsecure).
Danke für die Unterstützung bisher an alle.
Thorsten Lemke
Hallo,
unsecure = unsicher.
Damit ist in diesem Fall veraltete, unsichere, ungepatchte Software gemeint. Egal ob serverseitig, clientseitig oder gar das komplette CMS mitsamt Plugins / Erweiterungen.
Gruß,
Florian
unsecure = unsicher.
Damit ist in diesem Fall veraltete, unsichere, ungepatchte Software gemeint. Egal ob serverseitig, clientseitig oder gar das komplette CMS mitsamt Plugins / Erweiterungen.
Gruß,
Florian
1Zitat von @110135:
Hallo,
unsecure = unsicher.
Damit ist in diesem Fall veraltete, unsichere, ungepatchte Software gemeint. Egal ob serverseitig, clientseitig oder gar das
komplette CMS mitsamt Plugins / Erweiterungen.
Mit anderen Worten neu aufsetzen.Hallo,
unsecure = unsicher.
Damit ist in diesem Fall veraltete, unsichere, ungepatchte Software gemeint. Egal ob serverseitig, clientseitig oder gar das
komplette CMS mitsamt Plugins / Erweiterungen.
Hallo,
zumindest prüfen, ob es aktuellere Versionen der eingesetzten Software gibt...
Gruß,
Florian
zumindest prüfen, ob es aktuellere Versionen der eingesetzten Software gibt...
Gruß,
Florian
Hi Thorsten,
ich habe das Ganze nur schnell überflogen. Hast Du schon die Logfiles (z. B. apacheviewer.com) kontrolliert? Das hilft ungemein, wenn Du wissen willst, was gerade läuft. Bei gängigen CMS Installationen werden gerne einmal böse PHP Scripts hochgeladen, die z.B. munter Spam versenden.
Du musst wissen, wie lange das Sicherheitsproblem bestand, weil das bestimmt, welches Backup Du zurückspielen musst.
Ausserdem Änderung sämtlicher Zugangsdaten auf einer sauberen Maschine. Auch für Datenbanken, etc
Des Weiteren die Frage, ob es sich um einen richtigen Server handelt oder managed Server? Im schlimmsten Fall, wenn der Angreifer vollen Root-Zugriff hatte, musst Du ihn komplett neu aufsetzen. Das würde ich aber grundsätzlich auch dann tun, wenn ich nicht mehr nachvollziehen kann, wie lange und auf welche Bereiche ein Fremder Zugriff hatte.
Fakt ist, daß Du mit solchen Dingen leben musst. Daher immer Backups aufbewahren. Der beste Weg, die Sicherheit zu gewährleisten, ist tägliche Kontrolle der Logs. Auch dieser Vorgang lässt sich zum Teil automatisieren. Ich wünsch Dir viel Erfolg!
ich habe das Ganze nur schnell überflogen. Hast Du schon die Logfiles (z. B. apacheviewer.com) kontrolliert? Das hilft ungemein, wenn Du wissen willst, was gerade läuft. Bei gängigen CMS Installationen werden gerne einmal böse PHP Scripts hochgeladen, die z.B. munter Spam versenden.
Du musst wissen, wie lange das Sicherheitsproblem bestand, weil das bestimmt, welches Backup Du zurückspielen musst.
Ausserdem Änderung sämtlicher Zugangsdaten auf einer sauberen Maschine. Auch für Datenbanken, etc
Des Weiteren die Frage, ob es sich um einen richtigen Server handelt oder managed Server? Im schlimmsten Fall, wenn der Angreifer vollen Root-Zugriff hatte, musst Du ihn komplett neu aufsetzen. Das würde ich aber grundsätzlich auch dann tun, wenn ich nicht mehr nachvollziehen kann, wie lange und auf welche Bereiche ein Fremder Zugriff hatte.
Fakt ist, daß Du mit solchen Dingen leben musst. Daher immer Backups aufbewahren. Der beste Weg, die Sicherheit zu gewährleisten, ist tägliche Kontrolle der Logs. Auch dieser Vorgang lässt sich zum Teil automatisieren. Ich wünsch Dir viel Erfolg!
