Ständige Hackerangriffe auf Webspace!

[Tab]

Guten Tag,

ich bin solangsam echt verzweifelt. Ich habe heute meinen dritten Hackerangriff auf meine Website innerhalb von paar Wochen. Dabei hat der Hacker drei Seiten von mir angegriffen. Zwei Davon liegen auf dem selben Webspace nur in anderen Verzeichnissen, die andere hat einen komplett anderen Anbieter und demnach auch andere Zugangsdaten.

Was mich wundert ist, dass ich wirklich drei Angriffe in so kurzer Zeit habe und dann noch ähnlich aufgebaut. Ich bekomme einen Javascriptcode in meine Dateien geschrieben. Mit dem Kommentar <!--ad-->.

Jetzt ist es nicht so, dass ich auf allen drei Website die gleichen CMS Systeme oder Codeabfolgen verwende. Im Gegenteil. Ich hab auf dem einen TYPO3. Auf der zweiten Seite (anderes Verzeichnis) habe ich lediglich eine HTML Datei und eine Bilddatei. Könnte mir vorstellen, dass der Hacker einfach von der ersten Website das Verzeichnis gewechselt hat und somit auch die Seite gefunden hat. Bei Website Nummer 3 habe ich auch keinen PHP Code. Nur HTML, Flash und Javascript Dateien.

Jetzt frage ich mich natürlich wie der Hacker auf alle Seiten zugreifen kann. Das kann doch kein Zufall sein und theoretisch auch keine Sicherheitslücken beim Code. Ich mein, er kann bei den HTML Dateien ja keine PHP Sicherheitslücken finden? Jetzt bin ich echt ratlos wie er darauf zugreifen kann?

Liebe Grüße
Tab

[theHacker]

Bedenke: Du bist auf dem Webspace ja nicht allein.

Beispiel:
Hat ein anderer Kunde auf dem Server im Script eine Schwachstelle, die in Kombination mit einer Sicherheitslücke des Servers dem Angreifer Rootzugang gibt, dann kann der Angreifer auch auf deine Daten zugreifen, obwohl du mit dem Angriff selber nix zu tun hast.

[leller]

Halloa,

einfach mal mit der Glaskugel vermutet, dass bei den beiden erstgenannten Seiten der Angriff über die vorhandene TYPO3 Installation gelaufen ist und dadurch auch das andere Verzeichnis geändert werden konnte.

Vielleicht ist der Angreifer auch ganz einfach über FTP auf deine Seiten gekommen (einige FTP-Server blocken BruteForceAttacken nicht - SSH-Server ubrigens auch nicht).

Ohne wühlen in den Log-Dateien wirst du IMHO da nicht weiter kommen.

Viele Grüße aus Berlin

leller

[Kralle93]

Vom Webhoster eventuell mal Logs schicken lassen, da kann "man" auslesen, wo die Schwachstelle liegt.
Findet sich bestimmt jemand hier im Forum, der etwas mit den Logs anfangen kann.

[Tab]

Ich habe Zugriff auf die Logs. Wonach muss ich ungefährt schauen?

Liebe Grüße

[Kralle93]

Poste mal in "Lose4Scripts", ob sich hier ein Serverexperte befindet. Ich kann mein Glück auch gerne mal probieren, dafür einfach die Logs per PN senden.

Lg

[Hiltwin]

Bist Du mit dem PC, wo Du per FTP auf die Seiten gehst, auch in der Lose/P4-Welt unterwegs?
Dann wird Dir wohl eine böse Seite was untergeschoben haben, dass Deine FTP-Passwörter ausgelesen hat und dann automatisiert in bestimmte Dateien (z.B. index oder impressum oder geläufige/häufig so benannte Seiten) diese mit dem eingefügten Javascript neu abspeichert.

Da bist Du nicht der einzige, dem das passiert. Passwort ändern und beobachten, ob es danach erneut passiert. Falls ja, sitzt der Fiesling noch auf Deinem PC, falls nicht, müsste der Spuk dann vorbei sein.

[tyygoor]

Ahoi,

Zitat:

Zitat von Hiltwin

Bist Du mit dem PC, wo Du per FTP auf die Seiten gehst, auch in der Lose/P4-Welt unterwegs?
Dann wird Dir wohl eine böse Seite was untergeschoben haben, dass Deine FTP-Passwörter ausgelesen hat und dann automatisiert in bestimmte Dateien (z.B. index oder impressum oder geläufige/häufig so benannte Seiten) diese mit dem eingefügten Javascript neu abspeichert.

Da bist Du nicht der einzige, dem das passiert. Passwort ändern und beobachten, ob es danach erneut passiert. Falls ja, sitzt der Fiesling noch auf Deinem PC, falls nicht, müsste der Spuk dann vorbei sein.

Kann ich so bestätigen. Gröste Schwachstelle ist der eingene infizierte Pc.
An gefühlter 2. Stelle kommen unsichere PW. Nicht selten ist auf einmal die eigene Server IP Blacklistet wegen Pishingseite :-)

Also genau schauen und dann löschen was in den code nicht reingehört.
PW wechseln ist ganz wichtig.

gruss tyy

beim log wälzen hat man durch Datum und Uhrzeit schon mal einen guten Anhaltspunkt und tappst dann nicht blind durch alle Zeilen :-)

gruss tyy

[ice-breaker]

Die 3. Stelle sind dann irgendwelche 3rd Party Plugins für Systeme wie Joomla, Wordpress und co. die absolut unsicher sind, von daher ist es wirklich absolut "offen", wo der Angreifer reinkam.

[Narrow23]

Das klingt ja echt grauenhaft...puhh. hoffentlich haste aus den Log Daten was auswerten können? Immerhin kann sowas und sollte sowas ja auch direkt zur Anzeige gebracht werden, denn das ist ja in hohem Maße illegal. Vielleicht solltest du mal dein webhosting paket wechseln, vielleicht liegts wirklich daran, dass sich jemand bei nem anderen Dienst eingehackt hat, der auch unter deiner IP läuft?

[JohnnyFake]

sach mal... ist das kostenloser Webspace?
<!--ad--> klingt so nach Werbelayern, die von kostenlosen Anbietern ungefragt in html-Seiten eingebunden werden...
Wenns Bezahl-Space ist, dann vergiss meine Antwort - war nur so eine Idee...

[DasGuru]

daran habe ich auch gedacht. Aber file-manipulation ist eigentlich selten und eigentlich unzumutbar...
meist wird ein frame eingeblendet und/oder ein popup gestartet.
Das geht direkt in der Apache Conf.
Aber ausschließen kann man heutzutage ja rein gar nichts mehr

Hast du schonmal deinen Hoster gefragt bzw in dessen FAQ geschaut ?

sind die Dateien auf deiner lokalen Kopie denn "sauber" ?

[ztk]

Interessant waere es ja mal zu erfahren um welche Anbieter es sich handelt.... oder ist einer der Anbieter ein Bekannter der noch etwas Speicher frei hat?

Ansonsten schließe ich mich den Vorrednern mal an - ueberpruefe mal PCs/Notebooks & Co in deinem lokalen Netzwerk.

Ggf. auch mal auf irgendwelche dubiosen Auto-Form-Füller-Addons für FF&Co verzichten ( http://keepass.info/ ist empfehlenswert ).