Spam über meine Domain, was nun?

A

alex72

Angesehenes Mitglied
Hallo zusammen,

ich betreibe einen Downloadshop. Mein Programmierer ist momentan im
Urlaub und ich habe hier ein kleines (oder großes?) Problem.

Mein Hoster informierte mich die Tage, dass unsere PHP-Skripte es Angreifern erlaubt,
Dateien auf unseren Webspace zu laden.

Habe jetzt zwar diese Dateien gelöscht, bin mir aber trotzdem unsicher.

Was nun?

Inwiefern können diese Dateien schaden anrichten oder hat sich es jetzt durch
die Löschung erstmal erledigt.

Danke.

 
QUOTE (alex72 @ So 24.05.2009, 11:54) [...]
Habe jetzt zwar diese Dateien gelöscht, bin mir aber trotzdem unsicher.

Was nun?

Inwiefern können diese Dateien schaden anrichten oder hat sich es jetzt durch
die Löschung erstmal erledigt.
[...]

Hallo,
nur Dateien löschen ist noch nichts getan, solange Skripte auf dem Server befinden, die den Upload ermöglichen. Inwiefern die Dateien Schaden anrichten kann, hängt von der Konfiguration der Benutzerrechte des Systems ab.
Frag mal deinen Hoster nach, ob er aus den Logdateien ablesen kann, über welches PHP-Skript die Dateien auf den Webspace geladen wurde. Ist das betroffene PHP-Skript gefunden, dann ist das Stopfen der Sicherheitslücke für einen PHP-Programmierer einfach. Andernfalls musst du das betroffene Skript vom Server umgehend entfernen und Unterbrüche sowie Einschränkungen im Downloadshop hinnehmen.

Gruss
Lenny
 
@ Lenny

Frag mal deinen Hoster nach, ob er aus den Logdateien ablesen kann, über welches PHP-Skript die Dateien auf den Webspace geladen wurde

Der Ort auf dem die Datei liegt: meineseite.com/images/mail11.php

Folgendes haben die mir geschrieben ".... Ich habe diese bereits abgeschaltet. Wenn Sie die Dateien/Ordner nicht selbst löschen können, setzen Sie bitte über Ihr FTP-Programm den CHMOD auf 700, ... "

2. mail vom hoster.
Falls ich das nicht hinbekomme müsste der Account komplett gesperrt werden,

ja super, es geht hier um mein Geschäft und nicht um irgendeine Spaßseite!!!

Kann man eingentlich ip Adressen sperren lassen, weil ich sehe wer mir öfters
email spams schickt?

Danke
 
QUOTE (alex72 @ So 24.05.2009, 14:19)2. mail vom hoster.
Falls ich das nicht hinbekomme müsste der Account komplett gesperrt werden,

ja super, es geht hier um mein Geschäft und nicht um irgendeine Spaßseite!!!

Mich wundert, daß der Hoster dich nicht schon längst gesperrt hat.

Stell dir mal vor, über so eine Lücke lädt dir jemand K-Pornos hoch - und verteilt dann den Link.


Da würdest Du froh sein, wenn dir der Hoster das rechtzeitig sperrt.
 
Vielen Dank,

Oh Mann in was für einer Welt leben wir eigentlich? Gibt es auch Leute die einem
was gutes gönnen?
ohmy.gif


Mich wundert wie solche Leute einen finden? So lange bin ich noch gar nicht dabei,
habe mir das erst vor kurzem aufgebaut.
unsure.gif


 
die Sicherheitslücke wurde wahrscheinlich über Google gefunden ...wilkommen in der Welt der Script Kiddys
wink.gif


aber ok:

1. Nutzt du ein CMS wie Joomla oder sonstwas? Wenn die Antwort ja lautet erstmal alle Footprints entfernen wie powered by Joomla usw. Über sowas suchen Script kiddys nach Versionen die verwundbar sind und hacken dann oft auch mit autmatisierten Scripten. Auch bei Plugins Footprints rausnehmen.

2. Können Benutzer Daten hochladen? Wenn Ja läd wahrscheinlich einer kein Bild hoch sondern eine PHP Datei weil das nicht richtig eingestellt ist.

3. Lieber Seiten Benutzung einschränken. Wenn du auf den ganzen Blacklists landest ist es mehr als nervig da wieder runterzukommen.

Gruß Yves
 
QUOTE (Yves @ So 24.05.2009, 23:48)1. Nutzt du ein CMS wie Joomla oder sonstwas? Wenn die Antwort ja lautet erstmal alle Footprints entfernen wie powered by Joomla usw. Über sowas suchen Script kiddys nach Versionen die verwundbar sind und hacken dann oft auch mit autmatisierten Scripten. Auch bei Plugins Footprints rausnehmen.

Footprints?

Server-Daten läuft auf Windows-Servern, also Endungen .aspx und .html, es ist keine der üblichen OpenSource-Software wie Joomla, Wordpress o.ä. installiert, PHP wird natürlich auch nicht ausgeführt.

Trotzdem gibt es so ziemlich täglich Zugriffsversuche auf die typischen Urls. Meistens 10 - 50 Zugriffe hintereinander, obwohl schon der erste einen 404 liefert.

Oder es werden (bsp. von phpmyAdmin) diverse Versionen in diversen Unterverzeichnissen abgefragt.


Das ganze geht auf den Domainnamen - der Server liefert übrigens als Header auch mit, daß das ASP.NET ist und teilt mit, daß es ein IIS ist.

Sprich: Die Zeit, Footprints zu entfernen, kann man sich sparen.


QUOTE (alex72 @ So 24.05.2009, 23:23)Oh Mann in was für einer Welt leben wir eigentlich? Gibt es auch Leute die einem
was gutes gönnen?


Wir leben in einer Welt, wo Leute Online-Anwendungen betreiben, ohne davon Ahnung zu haben. Das finde ich ärgerlich - nicht die Scriptkiddies. Und der Spam bzw. gehackte Websites, über die sich andere dann Trojaner und ähnliches einfangen, sind die Folge.
 
QUOTE (alex72 @ So 24.05.2009, 12:54) Inwiefern können diese Dateien schaden anrichten oder hat sich es jetzt durch
die Löschung erstmal erledigt.



Diese Frage kann Dir niemand beantworten, ohne den Code bzw. die Conf zu sehen.
 
@alex, Du solltest aus dem Fall die Lektion lernen, dass Du immer jemanden in Reserve haben solltest, um solche Fälle zu bearbeiten. Server werden *immer* gehackt, egal wie kurz oder lange, groß oder klein Dein Webauftritt ist. Ein guter Admin kann die Einfallstore verkleinern, aber niemals schließen. Eine fehlende dauerhafte Administration führt höchst fahrlässigerweise zu gehackten Servern.

Und daran solltest Du auch denken:
  • Ein Webhoster, der bei sich gehackte Systeme toleriert, riskiert sein eigenes Geschäft.
  • Von Deinem gehackten System gehen weitere Angriffe aus. Du riskierst damit, in Regress genommen zu werden.
Nimm das alles also nicht auf die leichte Schulter sondern denke dran: Administration ist wichtig und kostet eben.

Im übrigen kann ich Jürgen nur zustimmen. Die Hacker und Kiddies von heute interessiert nicht die Bohne, ob Dein System irgendwelche interessanten Informationen (Signaturen/Footprints) von sich verrät. Die Angriffe finden mit automatisierten Scripts statt. Sie probieren einfach alles aus, bis irgend etwas klappt.
 
Vielen Dank.

Ihr macht mir ja richtig Angst.

Tja dann bleibt mir nur dem Hoster zu sagen er soll umgehen meinen Acount
sperren bis mein Admin wieder da ist, was soll ich sonst machen.
Muß ja auch gerade jetzt passieren wo er mal für paar Tage weg ist.
Bin mal gespannt was so eine Sperre kostet bzw. dann wieder die Freischaltetung.

Habe zwar jetzt dieses CHMOD geändert, aber ob das was bringt?

Der Shop selber funktioniert bis jetzt ohne Einschränkungen.

Danke für die Tipps!!!
 
na ja das die meisten per brute force methode alles durchprobieren stimmt schon allerdings lohnt es sich trotzdem Footprints zu entfernen grade bei Joomla.

Und na ja ein gut abgesicherter Server wird in der Regel auch nicht gehackt weil die kiddis genug Systeme haben die nich geschützt sind.

Und verwunderlich ist es überhaupt nicht das Systeme gehackt werden. Damit wird mitlerweile viel Geld verdient.
 
Sie müssen sich einloggen oder registrieren, um hier antworten zu können.
Zurück
Oben