Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Webseite gehackt ? Als attackierend gemeldete Website!

Frage Sicherheit Erkennung und -Abwehr

Mitglied: breppe

breppe (Level 1) - Jetzt verbinden

05.05.2011, aktualisiert 10:14 Uhr, 7253 Aufrufe, 10 Kommentare

Hallo,

gerade habe ich bemerkt, dass eine Webseite die ich vor einigen Jahren erstellt habe gehackt wurde.

Ich muss dazu sagen, dass die Webseite sehr sehr einfach aufgebaut ist und auf einem Privaten FTP Server eines freundes von mir liegt.

es handelt sich um www.tv-eggenfelden.de

Wenn man in die Abteilung Judo wechselt, dann erscheint die Meldung von Microsoft, dass diese Webseite "als attakierend gemeldete Webseite" deklariert wurde. Wenn ich nachsehe warum, dann erscheind folgende Meldung:
Wie ist die gegenwärtige Einstufung von tv-eggenfelden.de/judo? 
 
    Diese Website ist als verdächtig eingestuft. Das Aufrufen dieser Website kann schädlich für Ihren Computer sein! 
 
    Ein Bestandteil dieser Website wurde in den letzten 90 Tagen 5 mal aufgrund verdächtiger Aktivitäten auf die Liste gesetzt. 
 
Welche Befunde hat Google beim Besuch dieser Website festgestellt? 
 
    Bei 2 Seite(n) von insgesamt 14 Seiten dieser Website, die wir in den letzten 90 Tagen getestet haben, wurde festgestellt, dass Malware (Schadsoftware) ohne Einwilligung des Nutzers heruntergeladen und installiert wurde. Der letzte Besuch von Google auf dieser Website war am 2011-05-02 und verdächtiger Content wurde auf dieser Website zuletzt am 2011-05-02 gefunden. 
 
    Die Malware wird in 2 Domain(s) gehostet, darunter googleantivirusonline29010.co.cc/, oghmalak.vv.cc/. 
 
    Bei der Verteilung von Malware an Besucher dieser Website fungieren anscheinend 1 Domain(s) als Überträger, darunter inkstock.gr/. 
 
    This site was hosted on 1 network(s) including AS15598 (IP). 
 
Hat diese Website als Überträger zur Weiterverteilung von Malware fungiert? 
 
    In den letzten 90 Tagen hat tv-eggenfelden.de/judo anscheinend nicht als Überträger für die Infektion von Websites fungiert. 
 
Hat diese Website Malware gehostet? 
 
    Nein, diese Website hat in den letzten 90 Tagen keine Malware gehostet. 
 
Wie kam es zu dieser Einstufung? 
 
    Gelegentlich wird von Dritten bösartiger Code in legitime Websites eingefügt. In diesem Fall wird unsere Warnmeldung angezeigt.
Ich sehe auch, dass im Quelltext iFrames auf externe Webseiten vorhanden sind. Diese habe ich natürlich nicht hinterlegt.

Nun stellt sich für mich die Frage, wie das passieren kann? Ist der FTP-Server meines Kumpels gehackt worden?

Wie würdet ihr jetzt vorgehen?

Gruß
Mitglied: TheJoker2305
05.05.2011 um 10:24 Uhr
Das wäre eine potentielle möglichkeit.

Allerdings kann auch der gesamte Rechenr Angriffsziel gewesen sein.

bestehen die Webseiten aus reinen HTML seiten oder auch aus PHP-Teilen.

Hier kann über diverse Lücken eingedrungen worden sein, um dann den Quelltext zu ersetzen.

Was wurden die entsprechenden Dateien auf dem FTP / Webserver zuletzt geändert?

Was sagt das FTP Server Log?

Linux Server oder Windows Server..?
Bitte warten ..
Mitglied: aqui
05.05.2011 um 10:26 Uhr
Wenn die Meldung auch von einem Apple Mac mit Safari Browser oder einem Linux Rechner mit Firefox oder Winblows mit Firefox kommt wenn du diese Seite besuchst, dann sollte dich das beunruhigen.
Wenn es eine dümmliche Winblows IE Meldung ist eher weniger....denn den würden ja der Rest der nicht Winblows Knechte gar nicht sehen können und für diesen Teil der Welt wäre die Seite absolut sauber...
Komisch auch das HTML Seiten auf einem FTP Server liegen ?? Web Seiten gehören ja normalerweise auf einen HTTP Server wie den guten Apache, oder warum machst du die FTP Welt zur HTTP Welt ?
Bitte warten ..
Mitglied: YotYot
05.05.2011 um 10:31 Uhr
Zitat von breppe:


Ich muss dazu sagen, dass die Webseite sehr sehr einfach aufgebaut ist und auf einem Privaten FTP Server eines freundes von mir
liegt.

es handelt sich um www.tv-eggenfelden.de

Hi,

Ich werde natürlich den Teufel tun, mir das mal gerade selbst anzuschauen. Was ist das denn überhaupt, ein FTP oder HTTP Server?
Wie ist der Server abgesichert? Wird das regelmäßig überprüft? Wird der regelmäßig geupdated, wird gegen auftretende Probleme und Lücken vorgegangen? Sind die Basissicherheitseinstellungen sicher oder Standard?

Nun stellt sich für mich die Frage, wie das passieren kann? Ist der FTP-Server meines Kumpels gehackt worden?

Tja, wie kann das passieren? Wie werden Autos geklaut? Warum geht das? Die sind doch abgeschlossen!
Das Internet ist voll mit Milliarden von Nutzern, nicht alle gehören zu den Guten.

Wie würdet ihr jetzt vorgehen?

Hm, wenn ich Hunger habe, esse ich was. Wenn ich Motorrad fahre, setze ich einen Helm auf. Wenn an der Seite schon mal wer herumgeschraubt hat, kann es passieren, dass da mal was passiert, wodurch sich Dein Kumpel strafbar macht oder Du, je nachdem, wer da als Verantwortlicher zu fassen ist. Ist jetzt eine Frage, wie viel Dir Deine oder die Straffreiheit Deines Kumpels wert ist.

Abschalten, Mann! Und zwar am besten gleich den gesamten Server!
Dann informieren, was man so tun sollte, damit man so ein Ding einigermaßen sicher betreiben kann und dann vor allem: Prüfen! Regelmäßig!

YotYot
Bitte warten ..
Mitglied: Dani
05.05.2011 um 10:33 Uhr
Moin,
an deiner Stelle würde ich erstmal die Seite vom Netz nehmen und schon mal das Backup suchen.
Denn wenn wirklich auf deinem Webspace war, kannst du ohne Protokolldateien nichts mehr nachvollziehen. Klar, du könntest jede Datei durchschauen ob dort Code auftaucht der nicht von dir ist. Aber das Risiko, dass du etwas übersiehst steigt mit jeder Minute.
Daher alle Backups raussuchen und lokal auf deinem Rechner schauen ob dort der Quellcode auch schon verändert worden ist.

Betreibt ihr die Website bei einem Anbieter der euch Datenbank und Webspace stellt oder läuft die Seite auf einem eigenen Server?


Grüße,
Dani
Bitte warten ..
Mitglied: kristov
05.05.2011 um 10:35 Uhr
Hallo,

die Meldung kommt nicht von Microsoft, sondern erscheint im Firefox. Im IE9 zB sieht man die Seite samt Viagrawerbung. Ohne logfiles da was rauszufinden wird schwierig. Denkbar ist, daß der FTP-Account selbst gehackt wurde (solche Versuche kenn ich natürlich, die sieht man schön in den logfiles, dauernde Einloggversuche unter verschiedenen Benutzernamen und falschem Kennwort) oder daß - bei dynamischen Seiten - einfach die Adminwebseite gefunden wurde - da werden leider oft Defaultkennwörter nicht umgestellt (sieht man auch schön in den logfiles). Webdav ist da auch ein Klassiker.

kristov
Bitte warten ..
Mitglied: SlainteMhath
05.05.2011 um 10:37 Uhr
Moin,

Nun stellt sich für mich die Frage, wie das passieren kann? Ist der FTP-Server meines Kumpels gehackt worden?
Entweder das, oder irgendjemand der (legal) auf den FTP Server zugreifen kann hat einen Trojaner auf dem Rechner der das FTP-Password ausliest.

Tipp:
- ALLE Passwörter auf dem Server ändern - von einem frisch installieren, 100%ig sauberen Rechner aus.
- ALLE gehosteten Webseiten neu von sauberer Quelle hochladen.
- Wenn das alles wieder passt bei Google anmelden und deine Domain zur nochmaligen Überprüfung vormerken lassen.
/edit: Und noch den Server und alle Webapplikationen auf den aktuellten Stand bringen.

lg,
Slainte
Bitte warten ..
Mitglied: Don-Michelangelo
05.05.2011 um 10:39 Uhr
Echt mal, Seite hätte schon vorgestern vom Netz genommen werden.

Liegt das Ding auf einem Root-Server, oder ist das stinknormales Webhosting?
Wenn zweiteres mal den Hoster drauf ansprechen und ganz wichtig das FTP-Passwort in ein komplexes ändern.

Den Müll kriege ich btw mit Lynx:

                                                                                                                                            Turnverein Eggenfelden 1885 e.V. - Judo 
   Online Drug Store.                                                                                                                                                               
                                                                                                                                                                                    
                                                                                Order viagra online                                                                                 
                                                                                                                                                                                    
   cheap viagra price.                                                                                                                                                              
                                                                                                                                                                                    
   IFRAME: http://inkstock.gr/2/go.php?sid=1                                                                                                                                        
                                                                                                                                                                                    
   IFRAME: http://googleantivirusonline29010.co.cc/webstats/all    
 
   IFRAME: http://googleantivirusonline18010.co.cc/webstats/all         
Bitte warten ..
Mitglied: TheJoker2305
05.05.2011 um 11:51 Uhr
Web und FTP Server leigen meist auf der gleichen Maschine.
irgendwie muss ja auch der Upload der Files ablaufen
Bitte warten ..
Mitglied: breppe
05.05.2011 um 11:53 Uhr
Vielen Dank für eure Antworten!

Zu dem Server kann ich leider überhaupt nichts sagen, da ich von dem Kumpel nur die Zugangsdaten bekommen habe. Ich werde dann gleich veranlassen, dass die Seite offline geschalten wird.
Das Password für meinen Zugang hat lediglich 5 stellen... Ich tippe einfach mal darauf, dass dieser Server Softwaretechnisch sehr vernachlässigt worden ist.

Die Seite ist rein in HTML geschrieben, kein JS, kein PHP. Also kann nur der Server gehackt worden sein.

Was ich allerdings nicht verstehe ist, warum nur die eine Sparte und nicht die komplette Seite? Was denkt ihr?

Gruß
Bitte warten ..
Mitglied: TheJoker2305
05.05.2011 um 12:02 Uhr
Dass der Fehler nicht gleich auffällt

Auch einige Hacker denken Profit
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

(2)

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
Linux Desktop
Webseite aufgerufen - Linux gehackt (5)

Link von BirdyB zum Thema Linux Desktop ...

RedHat, CentOS, Fedora
gelöst Die Website hat die Anzeige dieser Webseite abgelehnt - SePolicies - Linux (1)

Frage von rainergugus zum Thema RedHat, CentOS, Fedora ...

JavaScript
gelöst Website nach Bedingung umleiten (6)

Frage von zeroblue2005 zum Thema JavaScript ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (15)

Frage von JayyyH zum Thema Switche und Hubs ...

DSL, VDSL
DSL-Signal bewerten (13)

Frage von SarekHL zum Thema DSL, VDSL ...

Backup
Clients als Server missbrauchen? (10)

Frage von 1410640014 zum Thema Backup ...