Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Webseite gehackt ? Als attackierend gemeldete Website!

Frage Sicherheit Erkennung und -Abwehr

Mitglied: breppe

breppe (Level 1) - Jetzt verbinden

05.05.2011, aktualisiert 10:14 Uhr, 7435 Aufrufe, 10 Kommentare

Hallo,

gerade habe ich bemerkt, dass eine Webseite die ich vor einigen Jahren erstellt habe gehackt wurde.

Ich muss dazu sagen, dass die Webseite sehr sehr einfach aufgebaut ist und auf einem Privaten FTP Server eines freundes von mir liegt.

es handelt sich um www.tv-eggenfelden.de

Wenn man in die Abteilung Judo wechselt, dann erscheint die Meldung von Microsoft, dass diese Webseite "als attakierend gemeldete Webseite" deklariert wurde. Wenn ich nachsehe warum, dann erscheind folgende Meldung:
Wie ist die gegenwärtige Einstufung von tv-eggenfelden.de/judo? 
 
    Diese Website ist als verdächtig eingestuft. Das Aufrufen dieser Website kann schädlich für Ihren Computer sein! 
 
    Ein Bestandteil dieser Website wurde in den letzten 90 Tagen 5 mal aufgrund verdächtiger Aktivitäten auf die Liste gesetzt. 
 
Welche Befunde hat Google beim Besuch dieser Website festgestellt? 
 
    Bei 2 Seite(n) von insgesamt 14 Seiten dieser Website, die wir in den letzten 90 Tagen getestet haben, wurde festgestellt, dass Malware (Schadsoftware) ohne Einwilligung des Nutzers heruntergeladen und installiert wurde. Der letzte Besuch von Google auf dieser Website war am 2011-05-02 und verdächtiger Content wurde auf dieser Website zuletzt am 2011-05-02 gefunden. 
 
    Die Malware wird in 2 Domain(s) gehostet, darunter googleantivirusonline29010.co.cc/, oghmalak.vv.cc/. 
 
    Bei der Verteilung von Malware an Besucher dieser Website fungieren anscheinend 1 Domain(s) als Überträger, darunter inkstock.gr/. 
 
    This site was hosted on 1 network(s) including AS15598 (IP). 
 
Hat diese Website als Überträger zur Weiterverteilung von Malware fungiert? 
 
    In den letzten 90 Tagen hat tv-eggenfelden.de/judo anscheinend nicht als Überträger für die Infektion von Websites fungiert. 
 
Hat diese Website Malware gehostet? 
 
    Nein, diese Website hat in den letzten 90 Tagen keine Malware gehostet. 
 
Wie kam es zu dieser Einstufung? 
 
    Gelegentlich wird von Dritten bösartiger Code in legitime Websites eingefügt. In diesem Fall wird unsere Warnmeldung angezeigt.
Ich sehe auch, dass im Quelltext iFrames auf externe Webseiten vorhanden sind. Diese habe ich natürlich nicht hinterlegt.

Nun stellt sich für mich die Frage, wie das passieren kann? Ist der FTP-Server meines Kumpels gehackt worden?

Wie würdet ihr jetzt vorgehen?

Gruß
Mitglied: TheJoker2305
05.05.2011 um 10:24 Uhr
Das wäre eine potentielle möglichkeit.

Allerdings kann auch der gesamte Rechenr Angriffsziel gewesen sein.

bestehen die Webseiten aus reinen HTML seiten oder auch aus PHP-Teilen.

Hier kann über diverse Lücken eingedrungen worden sein, um dann den Quelltext zu ersetzen.

Was wurden die entsprechenden Dateien auf dem FTP / Webserver zuletzt geändert?

Was sagt das FTP Server Log?

Linux Server oder Windows Server..?
Bitte warten ..
Mitglied: aqui
05.05.2011 um 10:26 Uhr
Wenn die Meldung auch von einem Apple Mac mit Safari Browser oder einem Linux Rechner mit Firefox oder Winblows mit Firefox kommt wenn du diese Seite besuchst, dann sollte dich das beunruhigen.
Wenn es eine dümmliche Winblows IE Meldung ist eher weniger....denn den würden ja der Rest der nicht Winblows Knechte gar nicht sehen können und für diesen Teil der Welt wäre die Seite absolut sauber...
Komisch auch das HTML Seiten auf einem FTP Server liegen ?? Web Seiten gehören ja normalerweise auf einen HTTP Server wie den guten Apache, oder warum machst du die FTP Welt zur HTTP Welt ?
Bitte warten ..
Mitglied: YotYot
05.05.2011 um 10:31 Uhr
Zitat von breppe:


Ich muss dazu sagen, dass die Webseite sehr sehr einfach aufgebaut ist und auf einem Privaten FTP Server eines freundes von mir
liegt.

es handelt sich um www.tv-eggenfelden.de

Hi,

Ich werde natürlich den Teufel tun, mir das mal gerade selbst anzuschauen. Was ist das denn überhaupt, ein FTP oder HTTP Server?
Wie ist der Server abgesichert? Wird das regelmäßig überprüft? Wird der regelmäßig geupdated, wird gegen auftretende Probleme und Lücken vorgegangen? Sind die Basissicherheitseinstellungen sicher oder Standard?

Nun stellt sich für mich die Frage, wie das passieren kann? Ist der FTP-Server meines Kumpels gehackt worden?

Tja, wie kann das passieren? Wie werden Autos geklaut? Warum geht das? Die sind doch abgeschlossen!
Das Internet ist voll mit Milliarden von Nutzern, nicht alle gehören zu den Guten.

Wie würdet ihr jetzt vorgehen?

Hm, wenn ich Hunger habe, esse ich was. Wenn ich Motorrad fahre, setze ich einen Helm auf. Wenn an der Seite schon mal wer herumgeschraubt hat, kann es passieren, dass da mal was passiert, wodurch sich Dein Kumpel strafbar macht oder Du, je nachdem, wer da als Verantwortlicher zu fassen ist. Ist jetzt eine Frage, wie viel Dir Deine oder die Straffreiheit Deines Kumpels wert ist.

Abschalten, Mann! Und zwar am besten gleich den gesamten Server!
Dann informieren, was man so tun sollte, damit man so ein Ding einigermaßen sicher betreiben kann und dann vor allem: Prüfen! Regelmäßig!

YotYot
Bitte warten ..
Mitglied: Dani
05.05.2011 um 10:33 Uhr
Moin,
an deiner Stelle würde ich erstmal die Seite vom Netz nehmen und schon mal das Backup suchen.
Denn wenn wirklich auf deinem Webspace war, kannst du ohne Protokolldateien nichts mehr nachvollziehen. Klar, du könntest jede Datei durchschauen ob dort Code auftaucht der nicht von dir ist. Aber das Risiko, dass du etwas übersiehst steigt mit jeder Minute.
Daher alle Backups raussuchen und lokal auf deinem Rechner schauen ob dort der Quellcode auch schon verändert worden ist.

Betreibt ihr die Website bei einem Anbieter der euch Datenbank und Webspace stellt oder läuft die Seite auf einem eigenen Server?


Grüße,
Dani
Bitte warten ..
Mitglied: kristov
05.05.2011 um 10:35 Uhr
Hallo,

die Meldung kommt nicht von Microsoft, sondern erscheint im Firefox. Im IE9 zB sieht man die Seite samt Viagrawerbung. Ohne logfiles da was rauszufinden wird schwierig. Denkbar ist, daß der FTP-Account selbst gehackt wurde (solche Versuche kenn ich natürlich, die sieht man schön in den logfiles, dauernde Einloggversuche unter verschiedenen Benutzernamen und falschem Kennwort) oder daß - bei dynamischen Seiten - einfach die Adminwebseite gefunden wurde - da werden leider oft Defaultkennwörter nicht umgestellt (sieht man auch schön in den logfiles). Webdav ist da auch ein Klassiker.

kristov
Bitte warten ..
Mitglied: SlainteMhath
05.05.2011 um 10:37 Uhr
Moin,

Nun stellt sich für mich die Frage, wie das passieren kann? Ist der FTP-Server meines Kumpels gehackt worden?
Entweder das, oder irgendjemand der (legal) auf den FTP Server zugreifen kann hat einen Trojaner auf dem Rechner der das FTP-Password ausliest.

Tipp:
- ALLE Passwörter auf dem Server ändern - von einem frisch installieren, 100%ig sauberen Rechner aus.
- ALLE gehosteten Webseiten neu von sauberer Quelle hochladen.
- Wenn das alles wieder passt bei Google anmelden und deine Domain zur nochmaligen Überprüfung vormerken lassen.
/edit: Und noch den Server und alle Webapplikationen auf den aktuellten Stand bringen.

lg,
Slainte
Bitte warten ..
Mitglied: Don-Michelangelo
05.05.2011 um 10:39 Uhr
Echt mal, Seite hätte schon vorgestern vom Netz genommen werden.

Liegt das Ding auf einem Root-Server, oder ist das stinknormales Webhosting?
Wenn zweiteres mal den Hoster drauf ansprechen und ganz wichtig das FTP-Passwort in ein komplexes ändern.

Den Müll kriege ich btw mit Lynx:

                                                                                                                                            Turnverein Eggenfelden 1885 e.V. - Judo 
   Online Drug Store.                                                                                                                                                               
                                                                                                                                                                                    
                                                                                Order viagra online                                                                                 
                                                                                                                                                                                    
   cheap viagra price.                                                                                                                                                              
                                                                                                                                                                                    
   IFRAME: http://inkstock.gr/2/go.php?sid=1                                                                                                                                        
                                                                                                                                                                                    
   IFRAME: http://googleantivirusonline29010.co.cc/webstats/all    
 
   IFRAME: http://googleantivirusonline18010.co.cc/webstats/all         
Bitte warten ..
Mitglied: TheJoker2305
05.05.2011 um 11:51 Uhr
Web und FTP Server leigen meist auf der gleichen Maschine.
irgendwie muss ja auch der Upload der Files ablaufen
Bitte warten ..
Mitglied: breppe
05.05.2011 um 11:53 Uhr
Vielen Dank für eure Antworten!

Zu dem Server kann ich leider überhaupt nichts sagen, da ich von dem Kumpel nur die Zugangsdaten bekommen habe. Ich werde dann gleich veranlassen, dass die Seite offline geschalten wird.
Das Password für meinen Zugang hat lediglich 5 stellen... Ich tippe einfach mal darauf, dass dieser Server Softwaretechnisch sehr vernachlässigt worden ist.

Die Seite ist rein in HTML geschrieben, kein JS, kein PHP. Also kann nur der Server gehackt worden sein.

Was ich allerdings nicht verstehe ist, warum nur die eine Sparte und nicht die komplette Seite? Was denkt ihr?

Gruß
Bitte warten ..
Mitglied: TheJoker2305
05.05.2011 um 12:02 Uhr
Dass der Fehler nicht gleich auffällt

Auch einige Hacker denken Profit
Bitte warten ..
Ähnliche Inhalte
RedHat, CentOS, Fedora
Apache Webseite meldet Die Website hat die Anzeige dieser Webseite abgelehnt
Frage von 116480RedHat, CentOS, Fedora30 Kommentare

Hallo, wenn die Webseiten auf einem Apache nicht aufgerufen werden können. Weil kommt Die Website hat die Anzeige dieser ...

RedHat, CentOS, Fedora
Die Website hat die Anzeige dieser Webseite abgelehnt - SePolicies - Linux
gelöst Frage von rainergugusRedHat, CentOS, Fedora1 Kommentar

Hallo, eine Webseite im Cent OS7 zeigt im Aufruf an Die Website hat die Anzeige dieser Webseite abgelehnt Wie ...

Linux Netzwerk
Exim4 gehackt ?
gelöst Frage von linuxmatrixLinux Netzwerk8 Kommentare

Guten Morgen, hab hier meinen Homewebserver der mir über Debian Wheezy/nginx/php5/Exim4 Statusmails aufs Handy sendet. Problem: Irgendein Depp hats ...

Sicherheit
DSL Zugangsdaten gehackt?
Frage von Mr.HeisenbergSicherheit34 Kommentare

Hallo, nach Erhalt einer sehr hohen Telefonrechnung, bin ich stutzig geworden und habe mir einen Einzelverbindungsnachweis angefordert. Dort ist ...

Neue Wissensbeiträge
Windows 10

Autsch: Microsoft bündelt Windows 10 mit unsicherer Passwort-Manager-App

Tipp von kgborn vor 1 TagWindows 107 Kommentare

Unter Microsofts Windows 10 haben Endbenutzer keine Kontrolle mehr, was Microsoft an Apps auf dem Betriebssystem installiert (die Windows ...

Sicherheits-Tools

Achtung: Sicherheitslücke im FortiClient VPN-Client

Tipp von kgborn vor 1 TagSicherheits-Tools

Ich weiß nicht, wie häufig die NextGeneration Endpoint Protection-Lösung von Fortinet in deutschen Unternehmen eingesetzt wird. An dieser Stelle ...

Internet

USA: Die FCC schaff die Netzneutralität ab

Information von Frank vor 2 TagenInternet5 Kommentare

Jetzt beschädigt US-Präsident Donald Trump auch noch das Internet. Der neu eingesetzte FCC-Chef Ajit Pai ist bekannter Gegner einer ...

DSL, VDSL

ALL-BM200VDSL2V - Neues VDSL-Modem mit Vectoring von Allnet

Information von Lochkartenstanzer vor 2 TagenDSL, VDSL2 Kommentare

Moin, Falls jemand eine Alternative zu dem draytek sucht: Gruß lks

Heiß diskutierte Inhalte
Batch & Shell
Kann man mit einer .txt Datei eine .bat Datei öffnen?
Frage von HelloWorldBatch & Shell18 Kommentare

Wie schon im Titel beschrieben würde ich gerne durch einfaches klicken auf eine Text oder Word Datei eine Batch ...

Router & Routing
OpenWRT bzw. L.E.D.E auf Buffalo WZR-HP-AG300H - update
gelöst Frage von EpigeneseRouter & Routing11 Kommentare

Guten Tag, ich habe auf einem Buffalo WZR-HP-AG300H die alternative Firmware vom L.E.D.E Projekt geflasht. Ich bin es von ...

Windows Server
Ping auf einen bestimmten Server nicht möglich
gelöst Frage von a.thierWindows Server7 Kommentare

Hallo, ich habe folgendes Problem. srv-dc1: Ping srv-nav > geht Ping srv-exchange > geht nicht srv-exchange: Ping srv-dc1 > ...

Windows 10
Autsch: Microsoft bündelt Windows 10 mit unsicherer Passwort-Manager-App
Tipp von kgbornWindows 107 Kommentare

Unter Microsofts Windows 10 haben Endbenutzer keine Kontrolle mehr, was Microsoft an Apps auf dem Betriebssystem installiert (die Windows ...