Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
Kommentar vom Moderator Dani am 28.04.2014 um 10:02:27 Uhr
Beitrag verschoben von OffTopic nach Sicherheit.
GELÖST

Strato Domain gehackt und gespert

Frage Sicherheit Erkennung und -Abwehr

Mitglied: Mr.FSB311

Mr.FSB311 (Level 1) - Jetzt verbinden

28.04.2014, aktualisiert 09:14 Uhr, 10514 Aufrufe, 16 Kommentare, 7 Danke

Hallo zusammen,
Ich stehe vor folgendem Problem: eine Website die ich betreue ist gehackt und vom Provider (Strato) gesperrt worden.
Nun wollte ich bei Administrator.de mal fragen, aber ich weiß nicht in welchem Bereich ich mein Thema hinzufügen soll.
Ich habe den Schadecode schon auch einigen Dateien entfernen können.
Aber manuell ist das sehr schwierig und Zeitaufwendig.
Kann mir evtl. Jemand einen Tipp geben, an welcher Stelle ich ausführlich, die Frage zu diesem Thema stellen kann ?

Danke für Ihre Bemühungen.
Thorsten Lemke
Mitglied: certifiedit.net
LÖSUNG 28.04.2014, aktualisiert 10.08.2014
Guten Morgen,

am besten die kompletten Dateien löschen und das letzte Backup vor der Infizierung einspielen - dann unbedingt nach der Aktualität der Dateien/CMS usw schauen.

Grüße
Bitte warten ..
Mitglied: flow.ryan
LÖSUNG 28.04.2014, aktualisiert 10.08.2014
Hallo,

ich kann mich da @certifiedit.net nur anschließen. Je nach dem, was die Seite infiziert hat, wird das Vorhaben sehr komplex. Daher würde ich auch auf jeden Fall eine Sicherung zurückspielen.

Falls das nicht möglich ist (da kein Backup vorhanden?!) würde ich das CMS neu installieren und den Static-Content (Bilder, etc) zurückkopieren und dann nach und nach die Datenbank kopieren.



Gruß,
Florian
Bitte warten ..
Mitglied: nikoatit
LÖSUNG 28.04.2014, aktualisiert 10.08.2014
Hallo zusammen,

Moin!
Ich habe den Schadecode schon auch einigen Dateien entfernen können.
Aber manuell ist das sehr schwierig und Zeitaufwendig.
Wenn du dir die Mühe nicht machen willst, dann entferne alles und spiel das letzte Backup ein, wie certifiedit.net schon geschrieben hat.
Oder du setzt gleich das ganze System komplett neu auf mit einem aktuellen CMS, wenn der Content nicht als zu umfangreich war.
Kann mir evtl. Jemand einen Tipp geben, an welcher Stelle ich ausführlich, die Frage zu diesem Thema stellen kann ?
Hast du diesen Thread aufgemacht um zu fragen wie du einen Thread in einem bestimmten Bereich aufmachst? :D

Gruß
Bitte warten ..
Mitglied: SlainteMhath
LÖSUNG 28.04.2014, aktualisiert 10.08.2014
Moin,

ich kann mich @certifiedit.net nur anschliessen.

Zusätzlich solltest Du unbedingt deine(n) PC(s)/Laptop(s) auf Malware/Keylogger und ähnliches überprüfen (oder am besten neu aufsetzten). Wenn die sicher sauber sind solltest Du alles Passwörter incl. Kundenaccounts bei Strato, alle Emailkonten und vor Allem alle FTP Kennwörter.

Hintergrund: Ich hatte jetzt schon des öfteren den Fall beim Kunden das FTP Passwörter für Websites per Keylogger oder trojanisiertem FileZille Client abgesaugt und zur Infektion der entsprechenden Websites genutzt wurden. Starkes Anzeichen für sowas ist die reinfektion der (aus einem Backup wieder hergestellten) Website < 24h.

lg,
Slainte
Bitte warten ..
Mitglied: Mr.FSB311
28.04.2014 um 09:58 Uhr
Zitat von nikoatit:
Hast du diesen Thread aufgemacht um zu fragen wie du einen Thread in einem bestimmten Bereich aufmachst? :D


Nein ich wußte nur nicht in welchem Bereich ich posten sollte. Deswegen auf Topic Bereich.
Über Backups zurück hatte ich auch schon nachgedacht. Aber ab wann genau Infiziert wurde ist mir unbekannt.
Als erstes habe ich die Passwörter geändert. Ich bekam auch eine Bestätigung von Strato dass die Passwörter erfolgreich geändert worden sind.
Doch trotz dieser Änderung konnte ich mich mit dem alten Passwort weiterhin bei Strato einloggen. Daraufhin habe ich meine Bekannte informiert Sie sich dann mit Strato in Verbindung gesetzt hat. Da anscheinend bei Strato nicht alles läuft wie er sollte denke ich mir das das Zurückspielen der Weg hab's nicht 100-prozentig klappt.
Bitte warten ..
Mitglied: Dani
LÖSUNG 28.04.2014, aktualisiert 10.08.2014
Guten Morgen,
erstmal tief durchatmen und danach ließt du deinen Kommentar nochmal. Bisschen abgehakt...

Falls es eine professionelle Seite ist, mit der du/sie Geld verdient würde ich eine Firma damit beauftragen, eine Analyse durchzuführen. Es ist damit zwar nicht 100%ig gewährleistet, dass das Einfallstor gefunden wird. Aber sicher ist sicher... nicht das am nächsten Tag das Gleiche wieder passiert.

Ansonsten wenn es eher Hobby oder ein privater Blog ist, würde ich meinen Vorredner zustimmen. Um herauszufinden wann der Eindringling da war, könntest du das Änderungsdatum der infizierten Dateien anschauen und das Backup vom Tag davor einspielen. Danach unbedingt nochmal die Kennwörter ändern und das CMS auf die neuste Version aktualisieren.


Grüße,
Dani
Bitte warten ..
Mitglied: Mr.FSB311
28.04.2014 um 15:02 Uhr
Hallo Dani,
Ich habe nun folgendes gemacht.
Die Website vom Strato Server in eine Virtuelle Maschine geladen.
Dort mir die Infizierten Files mit Kaspersky zeigen lassen.
es wurde immer auf die selbe url verwiesen . Ich schreibe mal ohne http davor
scuderiajaguarstoriche.c... slasch counter.p..?id=xxxxxxx Backslasch " Tag zu.
Ich habe das ganze immer Verzeichnisweise göffnet und mit Notepad++ über die suchen Funktion mir die Bereiche zeigen lassen und dann habe ich Manuell gelöscht.
Es hat ganz schön gedauert. Aber nun lade ich die Sauberen Files wieder hoch.

Passwörter sind geändert. Und nach dem Hochladen wird der FTP Zugang Deaktiviert.

Ich hoffe das wars jetzt. Muss nun nur noch das Team von abuse@strato.de davon überzeugen. Das die die Domain wieder Freischalten.

Thorsten Lemke
Bitte warten ..
Mitglied: nikoatit
LÖSUNG 28.04.2014, aktualisiert 10.08.2014
Wie soll dir Kaspersky allerdings zeigen welche Dateien dir möglicherweise untergeschoben wurden?

Gruß
Bitte warten ..
Mitglied: Mr.FSB311
28.04.2014, aktualisiert um 17:34 Uhr
Ich habe die Verzeichnisse auf Viren untersuchen lassen. Dann konnte ich in den Bericht erkennen bei welchen Dateien Alarm geschlagen wurde. Dann habe ich die Dateien im Notepad ++ geöffnet, und den Schadcode Manuell entfernt.
Der code war am Ende zB. der Indexdatei in einem PHP Tag angehängt und hat auf eine Domänen verwiesen.
(Secuiajaguar.com oder so....)
Bitte warten ..
Mitglied: mirko123
LÖSUNG 28.04.2014, aktualisiert 10.08.2014
So sollte er es machen, am sonsten wird es sehr schwer alles zu Löschen
Bitte warten ..
Mitglied: schicksal
29.04.2014 um 08:28 Uhr
Deine geänderten Dateien bist du jetzt (anscheinend) los.
Aber hast du das Einfallstor gefunden?

Wenn es nur ein gehacktes Passwort war dann war es das.
Wenn es eine alte (unsecure) Softwareversion war, dann hast du noch Handlungsbedarf.
Bitte warten ..
Mitglied: Mr.FSB311
29.04.2014 um 12:58 Uhr
Zitat von schicksal:
Wenn es eine alte (unsecure) Softwareversion war, dann hast du noch Handlungsbedarf.

Dazu benötige ich noch etwas wissen zu (unsecure).

Danke für die Unterstützung bisher an alle.

Thorsten Lemke
Bitte warten ..
Mitglied: flow.ryan
LÖSUNG 29.04.2014, aktualisiert 10.08.2014
Hallo,

unsecure = unsicher.

Damit ist in diesem Fall veraltete, unsichere, ungepatchte Software gemeint. Egal ob serverseitig, clientseitig oder gar das komplette CMS mitsamt Plugins / Erweiterungen.

Gruß,
Florian
Bitte warten ..
Mitglied: Mr.FSB311
29.04.2014 um 16:35 Uhr
Zitat von flow.ryan:

Hallo,

unsecure = unsicher.

Damit ist in diesem Fall veraltete, unsichere, ungepatchte Software gemeint. Egal ob serverseitig, clientseitig oder gar das
komplette CMS mitsamt Plugins / Erweiterungen.

Mit anderen Worten neu aufsetzen.
Bitte warten ..
Mitglied: flow.ryan
LÖSUNG 29.04.2014, aktualisiert 10.08.2014
Hallo,

zumindest prüfen, ob es aktuellere Versionen der eingesetzten Software gibt...



Gruß,
Florian
Bitte warten ..
Mitglied: Head-Crash
LÖSUNG 05.05.2014, aktualisiert 10.08.2014
Hi Thorsten,

ich habe das Ganze nur schnell überflogen. Hast Du schon die Logfiles (z. B. apacheviewer.com) kontrolliert? Das hilft ungemein, wenn Du wissen willst, was gerade läuft. Bei gängigen CMS Installationen werden gerne einmal böse PHP Scripts hochgeladen, die z.B. munter Spam versenden.

Du musst wissen, wie lange das Sicherheitsproblem bestand, weil das bestimmt, welches Backup Du zurückspielen musst.

Ausserdem Änderung sämtlicher Zugangsdaten auf einer sauberen Maschine. Auch für Datenbanken, etc

Des Weiteren die Frage, ob es sich um einen richtigen Server handelt oder managed Server? Im schlimmsten Fall, wenn der Angreifer vollen Root-Zugriff hatte, musst Du ihn komplett neu aufsetzen. Das würde ich aber grundsätzlich auch dann tun, wenn ich nicht mehr nachvollziehen kann, wie lange und auf welche Bereiche ein Fremder Zugriff hatte.

Fakt ist, daß Du mit solchen Dingen leben musst. Daher immer Backups aufbewahren. Der beste Weg, die Sicherheit zu gewährleisten, ist tägliche Kontrolle der Logs. Auch dieser Vorgang lässt sich zum Teil automatisieren. Ich wünsch Dir viel Erfolg!
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Batch & Shell
gelöst PowerShell Domain Join (2)

Frage von Patrick-IT zum Thema Batch & Shell ...

Erkennung und -Abwehr
Spam mit eigener Domain (12)

Frage von NoobOne zum Thema Erkennung und -Abwehr ...

Windows Netzwerk
gelöst DNS - Weiterleitung zu DNS-Server in anderer Domain (5)

Frage von Schauer zum Thema Windows Netzwerk ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...