Website gehackt

K

k.m.1

Mitglied
Hallo

Ich betreibe mehrere Websiten und auf einem Webspace liegen 2 Websiten
Anfang Juni wurde eine davon gehackt und massenweise Spammails versendet. Daraufhin wurde der Server gesperrt bis did Dateien, Scripte gefunden und entfernt wurden. Da mir das Risiko eines neuen Angriffs zu groß war ( Ich wusste nicht ob ich alles gefunden habe ) habe ich beschlossen das komplette Projekt zu löschen und neu zu erstellen. Mein Hoster hat dann alles ins file verschoben damit ich evtl. nochmals darauf zurückgreifen könnte.
Alle Passwörter und Zugangsdaten wurden geändert.
Dann habe ich die Site neu erstellt die jetzt seit ca. 2 Wochen online ist.
Gestern habe ich dann die Meldung meines Hosters erhalten das ich erneut vorrübergehend wegen Spamversand gesperrt wurde ( meine Seiten und Administratorbereich ist nach wie vor erreichbar ).
Darauf hin habe ich die Site durch Onlinescann ( virustotal ) überprüft - alles im grünen Bereich
Meine Site komplett heruntergeladen und mit Avira / Bitdefender überprüft - alles im grünen Bereich
Auf dem Webspace nach verdächtigen Dateien und Scripten gesucht - nichts gefunden.

Jetzt wundert mich das keine Spam Rückmeldungen bei mir eingehen ( Im Juni waren das bestimmt ca. 8-9.000).

Das habe ich meinem Hoster mitgeteilt und er bietet mir jetzt an meine Webspace per Remote-Hands zu überprüfen.

Wie kann ich noch alles prüfen ob meine Seite gehackt wurde und was kann ich noch tun um mich vor Hackangriffen zu schützen




 
Es wurde Spam versendet? Was hat das überhaupt mit den "Files" zu tun?
Wie sollte jemand, der eine Webseite hackt, Zugangsdaten zum Email-Account erhalten? Du suchst womöglich an der falschen Stelle. Es sei denn, Du nutzt dieselben PWs für Email, Website und Bankaccount. Aber das wäre schon ein Kardinalsfehler.

Das ganze ist womöglich simpel: Meiner Ansicht nach kennt jemand das Passwort für Deinen Email-Account dort. Und unter Umständen auch für den Webspace (FTP oder SFTP-Clients). Dann ist die Frage, welchen Email-Client (-> Thunderbird, Outlook) bzw. Webclients (Firefox, winscp etc.) Du nutzt und ob Du die Passworte für die Email/Webspace-Nutzung auf Deinem Computer aufbewahrst. Also gespeichert in Deinen Clients. Solche Passwort-Dateien sind mehr oder weniger ungeschützt auf Deinem Rechner vorhanden...

Das Problem ist also höchstwahrscheinlich nicht der Server, sondern Dein eigener Computer. Denn es kann sein, dass Dein Haus-Rechner ungenügend geschützt ist und daher alle Passworte mehr oder weniger frei zugänglich sind.

Dringend ist:
- Virenscan Deines Heimrechners (z.B. Avira)
- Nutzung einer Software Firewall wie Comodo (Tipp von Forenmitglied P.H.)
- AENDERUNG ALLER PASSWORTE - und ja nicht auf dem Rechner speichern, sondern künftig von Hand eintippen

Nur mal so zu den zeitlichen Zusammenhängen:
Ich hatte das selbe Problem. Mit gestohlenen Passworten hat man meine Webseiten abgeändert. Dann war zwei Monate Ruhe, dann wurde Spam versendet. In Deinem Fall hat eine Pause mehr oder weniger keine Bedeutung, solange Du nur notdürftig am Problem rumdokterst (-> also Symptombekämpfung). Denn unter Umständen können sich Leute jeder Zeit von Neuem und bei Bedarf bei Dir die Passworte abholen.

Seit ich die drei Punkte oben durchgegangen bin, habe ich mehr als zwei Jahre Ruhe...
 
Grundlegend würde ich erstmal versuchen den Weg zurückverfolgen von wo die Mails überhaupt verschickt wurden. Geben die Maillogs eindeutig wieder, das der Versand vom Webserver, ggf. sogar von Script direkt kam?
Was für eine Software wird für die Seite verwendet? Ist es etwas bekanntes? Eigenentwicklung?

Die Dinge gilt es vorher zu checken, vorher kann man nicht mal sagen, ob es ein Problem bei den Zugangsdaten gibt. Es kann auch ein Formular sein, was mittel Parameterübergabe oder ählichen ausgenutzt wird zum verschicken von Spam.

Grundsätzlich gilt natürlich für alles einen seperaten Account benutzen mit eigenen Passwort, und soweit es geht die Dinge in der Berechtigungsstruktur zu trennen, wenn ich ein Blog und ein sperates Forumsystem habe, bekommen beide ein eigenen DB-Account und am besten auch eine eigene DB, wo nur der entsprechende Account berechtigt ist usw. Und nicht jeder Anwendung trauen, die sagt, die bräuchte 770 oder 777 Rechte, das braucht Sie nämlich meinstens nicht oder nur auf ausgewählten Ordnern.
Und diese Passwörter gehören nicht irgendwie auf den PC gespeichert, aber das sollte selbstverständlich sein.
 
Hallo
Vielen Dank für die schnellen Antworten
Peter Schneider und Sascha Ahlers:
Mit den files hat es nichts zu tun die website wurde nur auf dem Server unter html in die file verschoben ( man hätte sie auch sofort löschen können )

Mein PC habe ich gescannt mit Avira und Comodo - beide finden nichts eingestuft als sicher.
Ich benutze auch verschiedene Passwörter

Nachfolgenden Spamauszug bekam ich gestern von meinem Provider

--<Spam-AUSZUG>--

Return-Path: <verna_evans@zweitrend.de>
Delivered-To: Spam-quarantine
X-Envelope-To: <summerbomber@yahoo.com>
X-Envelope-To-Blocked: <summerbomber@yahoo.com>
X-Quarantine-ID: <rHchJWhjBgKz>
X-Spam-Flag: YES
X-Spam-Score: 9.509
X-Spam-Level: *********
X-Spam-Status: Yes, score=9.509 tag=-999 tag2=4 kill=4
tests=[BAYES_999=0.5,
BAYES_99=3.573, HTML_MESSAGE=0.001, HTML_MIME_NO_HTML_TAG=0.377,
MIME_HTML_ONLY=1.723, RAZOR2_CF_RANGE_51_100=0.5,
RAZOR2_CF_RANGE_E8_51_100=1.886, RAZOR2_CHECK=0.922, TW_MF=0.027]
autolearn=Spam
Received: from mx3.configcenter.info ([127.0.0.1])
by mx3.configcenter.info (mx3.configcenter.info [127.0.0.1]) (amavisd-new,
port 10026)
with ESMTP id rHchJWhjBgKz for <summerbomber@yahoo.com>;
Tue, 8 Jul 2014 09:24:24 +0200 (CEST)
Received: from mx3.configcenter.info (localhost [127.0.0.1])
by mx3.configcenter.info (Postfix) with ESMTP id B502BAC998
for <summerbomber@yahoo.com>; Tue, 8 Jul 2014 09:24:24 +0200 (CEST)
Received: from server29.configcenter.info (serverbeispiel.configcenter.info
[31.47.240.144])
by mx3.configcenter.info (Postfix) with ESMTP id AD58AAC98C
for <summerbomber@yahoo.com>; Tue, 8 Jul 2014 09:24:24 +0200 (CEST)
Received: by serverbeispiel.configcenter.info (Postfix, from userid 800)
id 8357911BC24A; Tue, 8 Jul 2014 09:31:36 +0200 (CEST)
To: summerbomber@yahoo.com
Subject: Re: WOW =), Pompomstar vicky vette deepthroating in mff
From: "Verna Evans" <verna_evans@zweitrend.de>
Reply-To:"Verna Evans" <verna_evans@zweitrend.de>
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: text/html; charset="iso-8859-1"
Content-Transfer-Encoding: 8bit
Message-Id: <20140708073136.8357911BC24A@server29.configcenter.info>
Date: Tue, 8 Jul 2014 09:31:36 +0200 (CEST)

--<Spam-AUSZUG>--

Ich benutze Joomla 2.5.22
Wie gesagt Passwörter wurden allle geändert die nicht auf dem PC gespeichert sind
Formulare,Template,Module,Plugins ... werden auch auf anderen Websiten von mir benutzt ohne Probleme.

 
Typisches Joomla-Syndrom, obwohl die Entwickler so viel Zeit daran spendieren es sicherer zu machen - mein herzliches Beleid. Mein altes joomla-Website wurde auch mal gehackt.

Guck mal auf allen Seiten wo user sich einloggen das die Berechtigungen der user minimiert sind. Also nicht nur die globale Einstellung dazu, sondern auch noch mal einzelne Seiten checken.

Das andere was Du machen kannst, ist gewisse IP's sperren, denn das sind meist "Einzelunternehmer" die versuchen zu hacken mit geringer IP-range. Die Daten findest Du auf deinen Server-logfiles (ein Ordner höher als Dein html Ordner) wo jede IP-Adresse angegeben wird die auf Deinem Domain ankommt und auch zeigt welche Seiten sie aufruft. Daraus kannst Du schnell eine IP feststellen, die versucht Seiten aufzurufen welche sie nicht sollte - die IP sperrst Du dann in dem Du es im .htaccess (im public-html Ordner) angibst.

Ich habe auf meiner Website zwei hackern aus China das Handwerk gelegt indem ich Ihre IP-range einfach gesperrt habe und seitdem ist wieder Ruhe eingetreten. Die habe ich bemerkt dadurch das ich sehr viele 404-Fehler bekamm von login-dies und login-jenes, welche es nicht gibt. Fragt sich nur wie lange bis die eine ganz andere IP haben und wieder anfangen.
dry.gif
 
Ich habe für EMail und FTP auch unterschiedliche PWs verwendet. Kommt halt einfach darauf an, wo die PWs gespeichert sind. Na ja. Für Email-PWs ist es halt schon naheliegend, einfach die entsprechenden Client-PW-Files rauszulesen... Das ist eine Frage des Aufwandes.

Avira und Comodo geben Dir jetzt auch den Ist-Zustand aus. Wenn Du jetzt die PWs änderst, sollten sie sicher sein. Na ja. Ich speichere aber trotzdem so gut wie keine mehr...

Zu den Chinesen:
Meine Email wurde von Leuten aus Bulgarien missbraucht...
dry.gif


QUOTE Das andere was Du machen kannst, ist gewisse IP's sperren, denn das sind meist "Einzelunternehmer" die versuchen zu hacken mit geringer IP-range.


Na ja. Oder umgekehrt. Im Order mit den Admin-Files nur die Heim-IP-Range zulassen. Geht das nicht schneller ???
Wenn ich alle Bots sperren würde, die mit irgendeinem Muster nach korrumpierten Installationen suchen, wäre ich in Tagen nicht fertig.
 
Sie müssen sich einloggen oder registrieren, um hier antworten zu können.
Zurück
Oben