Meine Homepage wurde gehackt!

Berliner84 · 28. März 2004 um 13:13

Gerade habe ich bei einem Routineaufruf meiner Seite feststellen müssen, dass einige der Seiten gehackt wurden. Und zwar wurden nur alle index.html-Seiten ausgetauscht. Die gehackte Seite hat auch eine Absenderangabe, aber ob die echt ist, weiß ich eben nicht.

Jedenfalls habe ich dann meine Seite wieder mit den richtigen Seiten aktualisiert. Hab ja zum Glück die ein oder andere Sicherungskopie meiner Seite immer parat. Aber wie schaffen die es eigentlich, die Seite zu hacken?

Sollte ich mein FTP-Passwort zur Seite ändern? Oder kommen die mit anderen Tricks in die Seite rein? Ist eine ganz normale, private .de-Homepage eben.

Mathias

Kaj_Beuter_fe4a6c · 28. März 2004 um 13:35

Hallo,

im Grunde gibt es grob gesagt 2 Möglichkeiten:

Jemand kenn Deine Zugangsdaten
Jemand nutzt eine Sicherheitslücke im Server

Bei Möglichkeit 1 ist das Dein Problem. Bei Möglichekeit 2 ist es ein gravierendes Problem des Serveradministrators.

Ciao
Kaj

Felix_W_9c131d · 28. März 2004 um 15:36

Hi,

dritte Möglichkeit - der Provider hat auf seinem Server ein großes Chaos, so dass - völlig ohne Absicht - Daten überschrieben werden. Das hatte ich schon mal bei .

Spricht nicht für den Provider, aber das ist keine böse Absicht.

Alles Gute

Felix

Berliner84 · 28. März 2004 um 15:56

Ich werde mal vorsichtshalber meine Zugangsdaten ändern und meinen Provider davon unterrichten. Schon mal vielen Dank für eure Antworten!

Mathias

DannyFox64 · 29. März 2004 um 02:30

Hallo Mathias!

Ich werde mal vorsichtshalber meine Zugangsdaten ändern und
meinen Provider davon unterrichten. Schon mal vielen Dank für
eure Antworten!

Gut, gut! Aber man lernt nie aus. Nachdem ich mal diesen „Johnny-Dingsda“-Link (s. unten) verfolgt und mir dann auch mal die ein oder anderen Google-Ergebnisse von Anfragen im Detail angesehen hatte, war ich auch um etwas schlauer. Ergo: man muss „höllisch“ aufpassen, dass nicht Daten versehentlich unerwünscht ausgeliefert werden. Kopien von .htaccess oder *passwd-Dateien, auch nicht im *.txt-Format, gehören niemals nicht auf den Server.

Ich will Dir das auf keinen Fall unterstellen, dass Du das machst; da ich allerdings auch schon Sachen erlebt bzw. gemacht habe, über die ich hier rein wegen Sicherheitsbedenken nicht näher berichte… lege ich Dir einfach ans Herz, mal alle Verlinkungen und Kommentare und „überflüssigen“ Dateien auf Korrektheit zu prüfen.

Ich zitiere mal (Quelle: Dr. Web Newsletter 165, http://www.drweb.de/archiv/news165.shtml):

Googledorks führt uns in die Welt der „dummen“ Webmaster ein. Alles, was man über Google finden kann, aber eigentlich nicht finden sollte. Passwörter, Platzhalter, Fehlermeldungen, Sicherheitskopien, private Daten und vieles mehr.
http://johnny.ihackstuff.com/index.php?module=prodre…

Du wirst Bauklötze staunen.

Darüber hinaus prüfe Deinen lokalen Rechner auf Schad-/Spionage-Software. Vielleicht ist das Sicherheitsloch woanders. (Wenn Du in irgendwelchen eMails die Zugangs-/FTP-Passwörter liegen hast… usw.)

Sollte noch einmal ein Hack auftreten… wär’s IMHO sinnvoll, die komplette Site auf Platte in einen Extra-Ordner runterzuladen (zu zippen), alleine schon, um analysieren zu können, wo der Hack/Fehler stattfand. Sichere Dir ausserdem mal die aktuellen FTP-/Log-Dateien.

HTH

CU DannyFox64

Berliner84 · 29. März 2004 um 17:33

Sieht wohl böse aus! Confixx wurde auch gehackt!
Auch hallo!

man muss „höllisch“ aufpassen, dass nicht Daten versehentlich
unerwünscht ausgeliefert werden. Kopien von .htaccess oder
*passwd-Dateien, auch nicht im *.txt-Format, gehören niemals
nicht auf den Server.

Öhm nö, ich hab keine htaccess-Datei auf dem Server drauf, ist alles öffentlich.

lege ich Dir einfach ans Herz, mal
alle Verlinkungen und Kommentare und „überflüssigen“ Dateien
auf Korrektheit zu prüfen.

Naja, ich wüsste nicht, was ich noch prüfen sollte. Ich hab eigentlich immer routinemäßig alle Links und Seiten gecheckt, da dürfte nicht viel passiert sein, nur eben bei den index-Seiten.

Darüber hinaus prüfe Deinen lokalen Rechner auf
Schad-/Spionage-Software. Vielleicht ist das Sicherheitsloch
woanders. (Wenn Du in irgendwelchen eMails die
Zugangs-/FTP-Passwörter liegen hast… usw.)

Ich werd mir den Tipp mit den in Email gespeicherten Passwörtern mal merken. Ansonsten hab ich aber alles nötige: Firewall, Anti-Spionage-Softwaren, Anti-Viren-Software. Aber man weiß ja nie…

Übrigens: Ich wünschte, ich könnte mein Passwort usw. ändern. Die Adminseite (Confixx) ist auch gehackt worden, so dass ich weder darauf, noch auf mein Email-Konto (der Domain) mehr Zugriff habe. Mein Provider hat noch nicht drauf geantwortet.
Sieht wohl böse aus!

Mathias

DannyFox64 · 29. März 2004 um 22:35

Hallo, Mathias!

Übrigens: Ich wünschte, ich könnte mein Passwort usw. ändern.
Die Adminseite (Confixx) ist auch gehackt worden, so dass ich
weder darauf, noch auf mein Email-Konto (der Domain) mehr
Zugriff habe. Mein Provider hat noch nicht drauf geantwortet.
Sieht wohl böse aus!

Upps! Dann hast Du da selbst sicher gar nixx verursacht, das ist wohl „mehr“. (Und: besser mal den Provider wechseln.)

CU DannyFox64

Berliner84 · 30. März 2004 um 19:12

Upps! Dann hast Du da selbst sicher gar nixx verursacht, das
ist wohl „mehr“. (Und: besser mal den Provider wechseln.)

CU DannyFox64

Ja, das sieht wirklich böse aus. Mal schauen wg. dem Providerwechsel. Die Email-Addy und die Homepage meines Providers sind übrigens auch nicht mehr verfügbar, so dass ich meinen Provider erst mal einen Brief schreiben muss, wie es aussieht. Erst mal noch in die AGB gucken, sicher ist sicher.

Mathias

Berliner84 · 3. April 2004 um 17:29

Es kommt sogar noch schlimmer!
Ja, heute habe ich überraschend festgestellt, dass meine Homepage gar nicht mehr da ist. Jetzt ist nämlich eine ganz andere Startseite da (sieht wie eine Standartseite meines Providers aus). Auf meinen FTP-Account habe ich auch gar keinen Zugriff mehr.

Durch Zufall hab ich auch im Impressum der Homepage meines Providers gelesen, dass sich seine Adresse, wohin ich meinen „Beschwerdebrief“ geschrieben habe, geändert hat. Mein Brief kam bis jetzt aber nicht zurück.

Dann wollte ich ihm eine Email schreiben, eben mit der Beschreibung w. o., aber die Email-Adresse ist stets ungültig (Fehlermeldung kommt sofort über Outlook).

Wie soll ich mich jetzt verhalten? Ich möchte natürlich, dass meine Homepage so schnell wie möglich wieder funktioniert, ich an meinen FTP-Account komme und meine Daten wieder da sind (werden ja angeblich immer als Backup gespeichert vom Provider).

Sieht übel aus!

Mathias

DannyFox64 · 3. April 2004 um 20:13

Hallo Matthias,

hab’s alles gelesen und auch 'mal die Seite angewählt…
Sieht z.Zt. ein bisschen nackig aus, stimmt.

„Die“ setzen den Server wahrscheinlich neu auf.
(Ob dann die alten Seiten eingespielt werden, ist fraglich.)

Schau doch mal nach, welche Unterlagen (Adresse, Tel., eMail) Du lokal noch zur Verfügung hast. Dann eine DENIC-/Whois-Anfrage, um den Admin des Servers zu bekommen. (Du selbst bis ja wohl Admin-C von Deiner eigenen Domain?)
http://www.denic.de/ (nur für .de-Domains)
http://www.nic.com/ (Whois-Anfrage => http://sunny.nic.com/cgi-bin/whois => ohne confixx.com „www.“ eintragen)

…ah, ja, ist registriert auf eine Fa. in Bremen, Telefon steht auch dabei…

Mit denen würde ich mich darüber auseinandersetzen, wie/wann es weiter geht, was folgt usw. (Einen evtl. von Dir angestrebten Provider-Wechsel würde ich geschickterweise mal nicht erwähnen.)

HTH

CU DannyFox64

Berliner84 · 4. April 2004 um 17:24

Eine Homepage mit Hindernissen…

Hallo Matthias,

auch hallo

hab’s alles gelesen und auch 'mal die Seite angewählt…
Sieht z.Zt. ein bisschen nackig aus, stimmt.

Welche Seite hast du denn aufgerufen? Nicht, dass wir uns da missverstehen, aber Confixx ist nicht mein Provider, sondern das Admintool meiner Homepage, eine webbasierte Software.

„Die“ setzen den Server wahrscheinlich neu auf.
(Ob dann die alten Seiten eingespielt werden, ist fraglich.)

Das wär natürlich toll, auch wenn ich null Infos von meinem Provider darüber bekomme.

Schau doch mal nach, welche Unterlagen (Adresse, Tel., eMail)
Du lokal noch zur Verfügung hast. Dann eine
DENIC-/Whois-Anfrage, um den Admin des Servers zu bekommen.
(Du selbst bis ja wohl Admin-C von Deiner eigenen Domain?)
http://www.denic.de/ (nur für .de-Domains)
http://www.nic.com/ (Whois-Anfrage =>
http://sunny.nic.com/cgi-bin/whois => ohne confixx.com
„www.“ eintragen)

Also: Einen Brief an die hab ich ja schon geschickt. Bis jetzt noch keine Antwort. Dazu noch die Adressänderung und keiner weiß, ob mein Brief wirklich angekommen ist. Alle Email-Adresse, die ich von meinem Provider habe, funktionieren sowieso nicht. Ich könnte höchstens noch Montag da mal anrufen, mal schauen.

In der Denic-Anfrage steht auch eine nicht funktionierende Email-Adresse meines Providers unter „Technischer Ansprechpartner“.

Zum Glück bin ich noch Admin-C. Im Moment rechne ich nämlich mit dem Schlimmsten…

Mathias

DannyFox64 · 4. April 2004 um 17:48

Hallo Matthias,

hab’s alles gelesen und auch 'mal die Seite angewählt…
Sieht z.Zt. ein bisschen nackig aus, stimmt.

Welche Seite hast du denn aufgerufen? Nicht, dass wir uns da
missverstehen, aber Confixx ist nicht mein Provider, sondern
das Admintool meiner Homepage, eine webbasierte Software.

Oh! Da habe ich mich dann in der Tat vertan.

Also: Einen Brief an die hab ich ja schon geschickt. Bis jetzt
noch keine Antwort. Dazu noch die Adressänderung und keiner
weiß, ob mein Brief wirklich angekommen ist. Alle
Email-Adresse, die ich von meinem Provider habe, funktionieren
sowieso nicht. Ich könnte höchstens noch Montag da mal
anrufen, mal schauen.

In der Denic-Anfrage steht auch eine nicht funktionierende
Email-Adresse meines Providers unter „Technischer
Ansprechpartner“.

Klar, wenn der Server „down“ ist, bekommst Du nur eine Unzustellbarkeits-Mail.

Mit dem Brief war das so schon richtig, meine ich. Denn irgendeinen Nachfolger oder eine neue Adresse wird es schon geben…

Zum Glück bin ich noch Admin-C. Im Moment rechne ich nämlich
mit dem Schlimmsten…

Herrje!

Wenn Deine Homepage nicht gerade gewerblich ist, könntest Du die „.de.vu“ auch auf einen freien Web-Space weiterleiten - zumindest mal als Zwischenseite (Visitenkarte usw.). Schau Dir dazu ggf. mal GMX an (Freemail plus 15 MB freier Web-Space; Web-Space ist innerhalb von 2-3 Tagen freigeschaltet nach Antrag per Fax).

Und nun eine Tasse Tee und Harren der Dinge…

Gruss & CU
DannyFox64

Berliner84 · 5. April 2004 um 19:52

Kann ich die Umleitung für meine .de-Domain auch selbst in die Hand nehmen oder kann das nur mein Provider?

Mathias

DannyFox64 · 5. April 2004 um 20:09

Kann ich die Umleitung für meine .de-Domain auch selbst in die
Hand nehmen oder kann das nur mein Provider?

Das kann eigentl. nur Dein Provider.

Wenn Du allerdings vorhast zu wechseln, kannst Du (meist) vom neuen Provider die Domain „einziehen lassen“. Die bieten häufig Formulare und entspr. Hilfestellung an… damit sie dann auch zum Zuge kommen. Wie das detailiert funktionier, weiss ich aber nicht; denn das habe ich noch nicht selbst gemacht.
Der Provider-Wechsel muss auch im Einzelfall von Dir kalkuliert werden, um z.B. nicht doppelt (für das Jahr 2004) Gebühren für die Domain/das Hosting zu entrichten usw.

CU DannyFox64

Berliner84 · 6. April 2004 um 16:39

Danke für deine Antwort(en). Hat mir schon was geholfen.

Mein Provider ist übrigens praktisch nicht erreichbar. Telefon ist dauerbesetzt oder nicht erreichbar, Email funktioniert sowieso nicht.

Ich werd mal schauen, was es für Alternativen gibt. An Providern mag es ja nicht mangeln.

Mathias