meine Webseite wurde gehackt und verteilt malware

[Blume1]

Hallo,

gerade habe ich erfahren das Google meine Adwords Kampagne ausgesetzt hat, da der Verdacht besteht das von meinen Webseiten Malware ausgeht. Als ich meine Webseiten aufrief, stellte ich fest das die Webseiten www.main4street.com und bestgreenstreet.com mit in der Browserzeile zu sehen sind, wenn ich meine Webseiten aufrufe. Schon seltsam. Denn weder ich noch meine Webdesignerin haben so etwas eingestellt.

Aber ich kann sonst nichts sehen. Meine Webseiten sehen aus wie immer.

Die oben genannten Domains die mit in der Browserzeile enthalten sind, Webseiten gehören laut whois einem Igor Alex Forosteckij oder Forostecky, wohnhaft in Kiew. Aber auf den Webseiten ist nichts besonderes zu sehen. Praktisch leere Seiten.

Was ist das für ein seltsames Phänomen ?

Kennt jemand das ? Was tut man dagegen ? Sollte ich den Besitzer dieser Webseiten kontaktieren ? Ich habe erst einmal Strato benachrichtigt, und hoffe das Sie mir ein paar kluge Tips zum Thema geben können, bin aber natürlich auch hier froh über jede Info.

Liebe Grüße,
Blume1

 

[Adrian der Grosse]

Du verwendest sicher ein CMS (Content Managment System) oder? Hast du evt. vergessen immer die aktuelle Version einzuspielen? Man kann ohne Probleme Malware nachladen ohne das Aussehen zu verändern...

Ich empfehle folgendes: Schalte die Domain sofort ab (um weiteren Schaden zu verhindern), lade dir ein Backup zur Nachbearbeitung (SQL, Files und Logs), setze den Webspace neu auf (wirklich alles löschen, evt. durch Strato). Alles nochmals installieren (evt. wenn du Zeit/Wissen hast, zuvor den Fehler suchen).

Analyse würde ich wie folgt machen:
1. Quelltext, der dein Browser zurückgibt hat es evt. ein <script src="boeseseite.com/malware.js" /> oder ähnliches?
2. Logs analysieren, irgentwas verdächtiges wie index.php?user=' and 1=1; Update static set content = 'boeses script'
3. Files die auf dem Server liegen/lagen mit der lokalen Kopie vergleichen

> Sollte ich den Besitzer dieser Webseiten kontaktieren ?
Nein!

Ist sonst aber schwierig eine Ferndiagnose zu stellen ohne weitere Infos von deiner Page zu haben.

Viel Glück

 

[Blume1]

Hallo

Vielen Dank für die Infos, und nein: Ich habe kein CMS.

Aber ich habe mir einmal angesehen was genau verändert wurde, und es waren jeweils nur die Indexseiten, die wohl am 31.8. verändert wurden. Die habe ich jetzt per Backup wieder aufgespielt, aber nicht die unbetroffenen Webseiten.

Ausserdem habe ich das Strato-Passwort verändert, falls es sich jemand per Trojaner bei mir abgeholt hat, um auf meinem Webspace herumzuspielen.

Falls allerdings jemand den meine Domains klassisch über irgend eine Hintertür bei Strato betreten hat, muß ich diese Tür halt von einem Fachmann schliessen lassen, was meine Domains angeht.

Soweit die neuen News von mir.

Liebe Grüße,
Blume1

 

[Milan]

Sind deine Seiten statische HTML Seiten, oder sind auch PHP Scripte oder ähnliches enthalten?

Gruß

 

[habbur]

Hallo,

habe das selbe Problem, gibt eine Lösung hinweis?

Lieben Gruß Moni

 

[weblions]

Wenn die eigene Website gehackt wird, ist neben der zügigen Korrektur (Entfernen von Malware-Links etc.) vor allem entscheidend, die Sicherheitslücke zu finden. Da es hier unzählige Möglichkeiten gibt, kann man leider keine Standard-Antwort bieten. Hier aber ein paar Hinweise, wo man mit der Recherche beginnen kann:

1. Statische Seiten

Deine Website besteht nur aus HTML-Dateien, es läuft kein einziges JavaScript und es handelt sich auch nicht um .shtml-Files?

- Ändere möglichst sofort deine FTP-Zugangsdaten. Sofern wirklich auf deiner gesamten Website kein Script / CGI oder ähnliches läuft, ist die Wahrscheinlichkeit recht groß, dass jemand per FTP Zugriff auf deinen Server bekommen hat. Da er hiermit praktisch alles auf deinem Webspace machen kann, ist das natürlich die ultimative Grauens-Situation - also SCHNELL reagieren!!! Sofern der Webspace bei einem kleineren Provider liegt, schadet es auch nicht, direkt mit dem Provider in Kontakt zu treten, um gemeinsam nach einer Sicherheitslücke zu suchen - der Provider kann z.B. auch die FTP-Logfiles prüfen.

- Stelle sicher, dass kein anonymer FTP-Zugriff auf deinen Server möglich ist!!

2. Dynamische Seiten

Sofern deine Website mit PHP, ASP, JSP oder ähnlichem betrieben wird, könnte eine Sicherheitslücke in den Skripten das Problem sein. Übrigens nicht nur bei selbst geschriebenen Skripten, sondern auch bei gekauften und Open Source-Projekten: Keine Software ist perfekt.

Prüfe alle Eingabe-Möglichkeiten (Formulare, URL) auf die typischen Sicherheitslücken. Fangen wir mal mit der URL an.

Wird deine Seite über GET-Argumente aufgerufen? Sie sieht dann etwa so aus: www.domain.de/index.php?seite=1

Ändere das Argument in eine Web-Adresse, etwa so: www.domain.de/index.php?seite=http://www.google.de

Bei schlecht abgesicherten Scripts kann es passieren, dass nun statt einer normalen Content-Seite die Startseite von Google (eventuell sogar eingefügt in dein eigenes Design) dargestellt wird.

Prüfe auch auf JavaScript-Lücken - mit JavaScript kann man ebenfalls fremde Seiten aufrufen. Gib also folgendes in deine Adresszeile ein:

www.domain.de/index.php?seite=<script>document.location.href='http://www.google.de'</script>

Bei Formularen kannst du ähnlich testen: Gib einfach das, was du bei der URL nach "seite=" eingegeben hättest, in dein Textfeld ein, und sende das Formular dann ab.

Wenn irgendetwas davon funktioniert, dann sind auf deiner Website die Tore für Hacker sperrangelweit geöffnet!