Homepage gehackt - benötige hilfe

Thomas_e3d097 · 8. November 2019 um 12:30

Hallo Experten,

am heutigen frühen Abend ist meine Homepage bei nolimitec.de gehackt worden ( www.thml.de ). Habe dann mal etwas nachgeforscht und ein paar komische Sachen gefunden.

IP-Tracking zeigte mir als Herkunft eines Surfers einen Google-Eintrag in folgender Form:

inurl:.de/admin.php Was bewirkt das ? Und als weitere Strings in der Adresszeile:

www.meineseite.de/admin.php?op=deladmin&del_aid=tommy
www.meineseite.de/admin.php?op=deladmin&del_aid=admin

Obwohl die meta.php nicht geändert ist, stehen in der erzeugten Startseite u.a. ein andere Titel. Drei META-Tags sorgen für die Umleitung:

Wie ist sowas möglich. sql-Datenbankeinträge habe ich auch schon gelöscht. Ohne Passwort ist doch sowas nicht möglich oder. Bin zur Zeit ratlos. Und ehe ich den Grund nicht gefunden habe, will ich die Seite nicht neu aufsetzen.

Kann am Privider liegen oder habe ich irgendwelche Rechte auf dem Server falsch gesetzt ?
Welche Vorkehrungen muß ich treffen, um sowas in Zukunft zu verhindern ?

Bin für jede Hilfe und Hinweise dankbar.

Gruß Thomas

Anonym_d5503925c587 · 8. November 2019 um 12:30

Hi…

am heutigen frühen Abend ist meine Homepage bei nolimitec.de
gehackt worden ( www.thml.de ). Habe dann mal etwas
nachgeforscht und ein paar komische Sachen gefunden.

IP-Tracking zeigte mir als Herkunft eines Surfers einen
Google-Eintrag in folgender Form:

inurl:.de/admin.php Was bewirkt das ?

Jemand hat mittels Google nach deutschen Webservern gesucht, auf denen die Datei admin.php vorhanden ist. Diese Datei ist vermutlich Bestandteil eines Admin-Frontends, das dein Provider standardmäßig installiert und hat entweder eine Sicherheitslücke, die dem Angreifer bekannt ist, oder
ein Standardpasswort, das hinreichend viele Benutzer nicht ändern.

Und als weitere Strings in der Adresszeile:

www.meineseite.de/admin.php?op=deladmin&del_aid=tommy
www.meineseite.de/admin.php?op=deladmin&del_aid=admin

Das sieht so aus, als hätte er die Benutzer tommy und admin gelöscht, d.h. Du hast keinen Zugriff mehr auf das Frontend - er schon noch…

Obwohl die meta.php nicht geändert ist, stehen in der
erzeugten Startseite u.a. ein andere Titel. Drei META-Tags
sorgen für die Umleitung:

Wie ist sowas möglich. sql-Datenbankeinträge habe ich auch
schon gelöscht.

Haben diese etwas mit dem Problem zu tun, oder löscht Du aus blinder Panik?

Ohne Passwort ist doch sowas nicht möglich oder.

Sicherheitslücken, die das Umgehen einer Passwortabfrage erlauben, tauchen immer mal wieder auf. Wahrscheinlicher ist allerdings, daß das Admin-Frontend ein Standardpasswort hat, das Du nie geändert hast.

Kann am Privider liegen oder habe ich irgendwelche Rechte auf
dem Server falsch gesetzt ?

Wenn Du den Server komplett gemietet hast, bist Du auch komplett verantwortlich. Eine Teilschuld des Providers ist möglich, wenn er Dir den Server wissentlich in einer unsicheren Konfiguration überlassen hat.

Welche Vorkehrungen muß ich treffen, um sowas in Zukunft zu
verhindern ?

Komprommitiertes System komplett plattmachen und neu aufsetzen
Nur Programme installieren und insbesondere nur Dienste anbieten, die
a) notwendig sind
b) keine bekannten Sicherheitslücken haben
Für die Zugänge, die Du selbst verwendest, sichere Passwörter ausdenken
Alle Zugänge, die Du nicht verwendest, sperren
Mailinglisten abonnieren, um über neu entdeckte Sicherheitslücken und Patches informiert zu sein
Patches möglichst schnell einspielen oder notfalls den betroffenen Dienst temporär abschalten, bevor der nächste Angreifer kommt

genumi

Thomas_e3d097 · 8. November 2019 um 12:30

Hallo genumi,

danke für die schnelle Antwort.

Jemand hat mittels Google nach deutschen Webservern gesucht,
auf denen die Datei admin.php vorhanden ist. Diese Datei ist
vermutlich Bestandteil eines Admin-Frontends,

gehört zu meiner phpnuke-Installation.

Und als weitere Strings in der Adresszeile:

www.meineseite.de/admin.php?op=deladmin&del_aid=tommy
www.meineseite.de/admin.php?op=deladmin&del_aid=admin

Das sieht so aus, als hätte er die Benutzer tommy und admin
gelöscht, d.h. Du hast keinen Zugriff mehr auf das Frontend -
er schon noch…

Es wurde der Benutzer tommy in der sql-Datenbank erzeugt.

Auf die einzelnen Module kann ich zugreifen, allerdings werden alle auf diese eine Seite nach ca. 2 sec umgeleitet. Das muß doch auf dem Server passieren, zumal der Seitentitel und die News geändert werden ( Oder sehe ich das falsch ). In den php-Dateien auf meinem Server habe ich bis jetzt keine Veränderungen gefunden.

Haben diese etwas mit dem Problem zu tun, oder löscht Du aus
blinder Panik?

Nein, tommy war in der sql-DB eingetragen.

Ohne Passwort ist doch sowas nicht möglich oder.

Sicherheitslücken, die das Umgehen einer Passwortabfrage
erlauben, tauchen immer mal wieder auf. Wahrscheinlicher ist
allerdings, daß das Admin-Frontend ein Standardpasswort hat,
das Du nie geändert hast.

War kein Standardpasswort, habe es aber jetzt geändert.

Kann am Privider liegen oder habe ich irgendwelche Rechte auf
dem Server falsch gesetzt ?

Wenn Du den Server komplett gemietet hast, bist Du auch
komplett verantwortlich. Eine Teilschuld des Providers ist
möglich, wenn er Dir den Server wissentlich in einer
unsicheren Konfiguration überlassen hat.

Nein, ich habe nur Webspace gemietet. Auf meinem Webspace laufen nur php-Anwendungen. ( phpnuke, phprojekt, moodle, TUTOS, osCommerce )

Welche Vorkehrungen muß ich treffen, um sowas in Zukunft zu
verhindern ?

Komprommitiertes System komplett plattmachen und neu
aufsetzen.

Bleibt wohl nichts anderes übrig. Werde aber morgen noch den Provider informieren, ehe ich meinen Webspace komplett platt mache.

Gruß Thomas