Wieder gehackt / Angreifer haben Zugriff auf meinen gesamten Account/Webspeicher

**raller2105** · 23.11.2011 22:52

Unglaublich!
Wieder einmal wurde meine Seiten gehackt und lahm gelegt.
Ich bin schon 'ne Weile dabei. Allerdings habe ich es nie zum Joomla-Experten geschafft, da es für mich eine preiswerte Möglichkeit darstellt um eine ansehnliche Seite zu gestalten. Wenn es dann gut aussieht bin ich ja auch zufrieden.
Meine Schwester hat ein ganz kleines Hotel und ich arbeite dort, wenn nötig, mit. Also mache ich auch die Seite im Internet. Jetzt ist die schon wieder gehackt worden.
Nachdem ich feststellte, dass nach Aufruf der Hotel-Seite nur der Inhalt der index.php als Text angezeigt wurde, sah ich ins Logfile von Strato (mein Provider). Dort entdeckte ich, dass div. Dateien erzeugt wurden. Unter Anderem eine 888.php. Ich tippte also meineDomain.de/888.php in den Browser und traute meinen Augen nicht. Eine Bedienoberfläche die jeglichen Zugriff auf alle Verzeichnisse und Dateien meines Webspeichers zuließ.
hackseite.jpg
Ich habe jetzt wieder alle Passwörter erneuert und die Backups hoch geladen. Allerdings habe ich keine Ahnung wie man so etwas schafft. Somit habe ich auch keine Vorkehrungen treffen können und gehe davon aus, dass ich bald schon wieder Opfer sein werde. Wie kann ich mich schützen?
Hilfe!!!
Gruß Ralf

**C.A.M** · 23.11.2011 23:12

Das Thema is soetwas von ausgelutscht. Es gibt dazu hier im Forum tonnenweise zu lesen, wie man sein System sicher hält!

Joomla stets updaten und die Erweitrungen ebenso! Erweiterungen die nicht benötigt werden deinstallieren und eventuell verbliebene FTP Daten und Datenbanktabellen löschen. Administrator Verzeichnis via .htaccess sichern!

Erweiterungen auf Listen wie z. B. DIESER (Gibts noch mehrere Seiten dazu im Netz) auf Sicherheitsmeldungen überprüfen.

Ein CMS muss regelmäßig gewartet werden, da reichts nicht einmal oder zweimal im Jahr zu schauen obs noch funktioniert!

Falls keine Lust oder auch Zeit für soetwas vorhanden ist, sollte auf eine HTML Seite umgestiegen werden oder sich ein Webadministrator angeschafft werden.

Und nun als aller erstes Punkt für Punkt, und das ohne ausnahme Flottes Liste abarbeiten!

MfG, C.A.M

**keraM** · 24.11.2011 06:53

übliche Einbruchsszenarien sind:

verpasste Updates von Joomla und/oder den installierten Erweiterungen
ein Trojaner/Keylogger auf dem heimischen PC, welcher die FTP-Zugangsdaten an Unberechtigte übermittelt
sonstige unsichere Scripte (veralteter eXtplorer, Coppermine, o.ä.) auf dem Webspace, die mit Joomla nix zu tun haben
unsichere Rechtevergabe (777) in Verbindung mit ungünstigen Servereinstellungen

Den Hinweis auf Flottes Liste hast Du ja schon bekommen. Bitte jeden Punkt darin gewissenhaft abarbeiten. Wenn Du Dir das selbst nicht zutraust, was ja keine Schande ist, dann hol Dir kompetente Hilfe.

**flotte** · 24.11.2011 07:58

Zitat von raller2105

Unglaublich!
Wieder einmal wurde meine Seiten gehackt und lahm gelegt.

Dir sollte eines folgendes klar sein: Einmal gehackte Seiten werden immer wieder "besucht". Zum einen werden die Angreifer dort verschiedene Backdoor-Scripte hinterlassen haben und zum anderen ist Deine Seite in den Kiddykreisen bekannt und rumgereicht worden.
Also: Nicht nur Backup einspielen, sondern vorher alles(!) löschen und Lücke tatsächlich finden und bereinigen. Backup muss definitv sauber sein! Alles weitere in den bereits genannten Links.
Zukünftig musst Du ganz besonders zeitnah Scripte aktuell haben und bekannt gewordene Sicherheitslücken entfernen. Das ist alles sehr einfach und wenn man es regelmäßig macht nicht sonderlich aufwendig. Trotzdem machen es die meisten nicht und wundern sich dann...
Weitere Hilfe kurz zusammengefasst: Klick

**raller2105** · 24.11.2011 17:13

Erst einmal Danke, dass ihr Euch die Zeit genommen habt!
Dass es hier im Forum tonnenweise dazu zu lesen gibt weiß ich, da ich nun bereits zum dritten mal angegriffen wurde. Bislang reichte mir ja auch, die Informationen hier zusammen zu suchen um dann das Problem selber zu lösen. Auch Flottes Liste war mir bereits ein Begriff. Mein Joomla war auf dem neusten Stand und auch die anderen genannten Sicherheitslücken meinte ich ausschließen zu können. Bis auf eine Sache: Ich verwendete Piwik. Und dusselig wie ich bin, kam ich nicht auf die Idee das mal up zu daten. In den Logfiles bin ich darauf gestoßen, dass den Create-Vorgängen für die unerwünschten Dateien ein reges aufkommen von ebenfalls Create-Vorgängen seitens Piwik voran ging. Z.B. mehrfaches erstellen von .htaccess Dateien. Das war davor nie vorgekommen (habe lange in den Logfiles über Wochen zurück gesucht). Dann habe ich auf heise.de gefunden, man soll doch unbedingt auf Piwik 1.6 updaten. Denn:
"Angreifer konnten bislang eine Schwachstelle zur Ausführung von beliebigem Code ausnutzen, wenn nicht angemeldete Benutzer Zugriff auf Web-Statistiken hatten. Diese Lücke wurde in der jetzt veröffentlichten Version 1.6 geschlossen." heißt es dort.
Im Grunde hattet Ihr alle Recht. Irgendwie eines der üblichen Einbruchsszenarien.
Piwik ist bereits restlos deinstalliert und gelöscht. Und jetzt muss auch noch einiges an überflüssigen Plugins etc. dran glauben.

Gruß Ralf

**flotte** · 24.11.2011 17:20

Ja Piwik hatte ebenfall sehr massive Sicherjeitslücken in der Vergangenheit... nicht nur eine.
Beachte unbedingt: Egal welches Script gehackt wurde: Meistens ist der ganze Account dann verseucht. Also alles was rechtetechnisch erreichbar ist für ein Script auf dem Webspace.

**raller2105** · 24.11.2011 17:27

Ja!
Danke für diesen unangenehmen aber nützlichen Hinweis.
Bin gerade dabei alles neu hoch zu schaufeln.
Gruß Ralf

Thema: Wieder gehackt / Angreifer haben Zugriff auf meinen gesamten Account/Webspeicher

LinkBack

Themen-Optionen

Thema durchsuchen

Anzeige

Wieder gehackt / Angreifer haben Zugriff auf meinen gesamten Account/Webspeicher

Erhielt Danksagungen von:

Erhielt Danksagungen von:

Erhielt Danksagungen von:

Lesezeichen

Lesezeichen

Berechtigungen