+ Antworten
Seite 3 von 3 ErsteErste 1 2 3
Ergebnis 21 bis 28 von 28

Thema: Version 1.0.14 gehackt, was kann ich tun?

  1. 16.02.2008 18:01 #21
    WebAdmin
    WebAdmin ist offline
    Neu an Board
    Registriert seit
    31.12.2007
    Beiträge
    38
    Bedankte sich
    0
    Erhielt 9 Danksagungen
    in 8 Beiträgen

    Standard

    Zitat Zitat von flotte Beitrag anzeigen
    Wir hatten auch schon einen Fall, wo über einen infizierte Admin/Webmaster-PCs scheinbar der FTP-Zugang weitergegeben wurde.

    Solche Zugänge jedoch auf IP-Bereiche einzugrenzen zu wollen ist in der Praxis nicht realisierbar - jedenfalls nicht auf Shared-Hostingservern und der normalen Kundschaft.
    Stimmt sogesehen, gute Firewall-HW ist teuer und bezahlen will heute niemand mehr was dafür nötig ist..

    Außerdem nutzen viele diverse Einwahlprovider parallel (vom Büro, von zuhause, unterwegs usw...). Viel sinnvoller ist der Verschlüsseln der Authentifizierung! Das kann man global für eine ganze Maschine realisieren. Es gibt ausreichend FTP-Software, die dies unterstützt.
    Was Dich aber auch wieder nicht schützt, wenn Trojaner die nötigen Daten weitergegeben haben. Hier kann aber das eingrenzen der Zugriffsmöglichkeiten helfen, weshalb ich das auch zusätzlich zu ssh einsetze.

    Meine Empfehlung war auch weniger an Hoster gerichtet als viel mehr an sichrheitsbewusste DomainAdmins deren Packet Möglichkeiten zum Firewalling beinhaltet.

    Gruß, WebAdmin
    Zitieren Zitieren
  2. 16.02.2008 18:44 #22
    heidiland
    heidiland ist offline
    War schon öfter hier
    Registriert seit
    01.07.2005
    Beiträge
    135
    Bedankte sich
    8
    Erhielt 2 Danksagungen
    in 2 Beiträgen

    Standard

    Das mit dem verschlüsselten FTP werde ich noch mal checken. Einen im Stundentakt aktualisierten Antiviren-Rundumsorglosscanner habe ich von Kasperky, daran solltest es eigentlich nicht liegen.

    Was mir aber aufgefallen ist, ist dass ich am Tag vorher einige Mails mit dem Betreff "Mail delivery failed: returning message to sender" erhielt, die folgenden Text enthielten:

    This message was created automatically by mail delivery software.

    A message that you sent could not be delivered to one or more of its recipients. This is a permanent error. The following address(es) failed:

    r57ssh@gmail.com
    SMTP error from remote mailer after RCPT TO:<r57ssh@gmail.com>:
    host gmail-smtp-in.l.google.com [72.14.221.27]:
    550 5.1.1 No such user 12si4102256fgg.6

    ------ This is a copy of the message, including all the headers. ------

    Return-path: <info@la-garda.de>
    Received: from nobody by wp008.webpack.hosteurope.de running ExIM using local
    id 1JPgz2-0007H0-6I; Thu, 14 Feb 2008 17:30:48 +0100
    To: r57ssh@gmail.com
    Subject: www.la-garda.de
    X-PHP-Script: www.la-garda.de/index.php for 83.190.193.35
    From: YES___=OFF_HEHE<tool@www.la-garda.de>
    Message-Id: <E1JPgz2-0007H0-6I@wp008.webpack.hosteurope.de>
    Date: Thu, 14 Feb 2008 17:30:48 +0100


    BASE: http://Dann wollen wir mal den Link ...images/r7?????
    uname a: Linux wp008 2.6.23.16-he-xeon-64gb #1 SMP Mon Feb 11 19:30:30 CET 2008 i686
    Bypass:
    IP: 83.190.193.35
    Host: d83-190-193-35.cust.tele2.it
    PWD: /is/htdocs/wp1018722_QSCOCH4434/www/la-garda/cache/


    Diese Mail kam ca. 8 mal. Könnte da der Fehler drin verborgen sein?
    Geändert von zecke23 (16.02.2008 um 21:00 Uhr)
    Zitieren Zitieren
  3. 16.02.2008 19:28 #23
    dtr0815
    dtr0815 ist offline
    Neu an Board
    Registriert seit
    27.07.2007
    Ort
    Berlin
    Beiträge
    38
    Bedankte sich
    3
    Erhielt 13 Danksagungen
    in 13 Beiträgen

    Standard

    Entferne bitte schnell den Link

    BASE: http://www.la-garda......

    Dieser verweist auf die Shell die immer noch auf deinem Server liegt. Diese auch schnelltens löschen!

    Gruß dtr
    Zitieren Zitieren
  4. 16.02.2008 21:05 #24
    zecke23
    zecke23 ist offline
    Urgestein u. Joomlagott Avatar von zecke23
    Registriert seit
    08.10.2004
    Ort
    Wiesbaden
    Alter
    37
    Beiträge
    10.041
    Bedankte sich
    50
    Erhielt 1.008 Danksagungen
    in 912 Beiträgen

    Standard

    Die Shell liegt wohl auf nem anderen Server:

    *** weg damit ***

    Ich hab denen schon ne Mail geschickt, dass die die Seite mal scannen sollen. Jedenfalls gehen von der Seite wohl weitere Angriffe aus, zumindest wurde die von heidiland Opfer davon.

    Welche Version vom Fireboard hast Du denn installiert @heidiland?

    Gruß, Zecke

    PS: link ist korrigiert
    Geändert von flotte (16.02.2008 um 21:11 Uhr)
    100% Joomla!-Hosting mit vorinstallierten Joomla!-Paketen und Joomla-Support. Kein Safe Mode, kein wwwrun-Problem, SEF geht, 100 Pro Joomla! einfach
    Zitieren Zitieren
  5. 16.02.2008 21:12 #25
    flotte
    flotte ist offline
    Moderator Avatar von flotte
    Registriert seit
    20.03.2005
    Ort
    Neustadt
    Beiträge
    5.301
    Bedankte sich
    66
    Erhielt 1.258 Danksagungen
    in 1.101 Beiträgen

    Standard

    Hey Zecke, Dein Link lädt einen Trojaner.
    Habs entfernt. Gruss!
    Gruß! Uwe

    fc-hosting.de
    . . . . . . . . . . . .kleine Joomla-Helferlein :: Gehackt? Was tun? :: Migration 1.7->2.5
    Zitieren Zitieren
  6. 17.02.2008 09:03 #26
    heidiland
    heidiland ist offline
    War schon öfter hier
    Registriert seit
    01.07.2005
    Beiträge
    135
    Bedankte sich
    8
    Erhielt 2 Danksagungen
    in 2 Beiträgen

    Standard

    Zitat Zitat von zecke23 Beitrag anzeigen
    Die Shell liegt wohl auf nem anderen Server:

    *** weg damit ***

    Ich hab denen schon ne Mail geschickt, dass die die Seite mal scannen sollen. Jedenfalls gehen von der Seite wohl weitere Angriffe aus, zumindest wurde die von heidiland Opfer davon.

    Welche Version vom Fireboard hast Du denn installiert @heidiland?

    Gruß, Zecke

    PS: link ist korrigiert
    Hatte die letzte Version installiert, aber sie mittlerweile entfernt.
    Zitieren Zitieren
  7. 17.02.2008 09:04 #27
    heidiland
    heidiland ist offline
    War schon öfter hier
    Registriert seit
    01.07.2005
    Beiträge
    135
    Bedankte sich
    8
    Erhielt 2 Danksagungen
    in 2 Beiträgen

    Standard

    Zitat Zitat von dtr0815 Beitrag anzeigen
    Entferne bitte schnell den Link

    BASE: *** weg damit ***

    Dieser verweist auf die Shell die immer noch auf deinem Server liegt. Diese auch schnelltens löschen!

    Gruß dtr
    Ähm, was muss ich denn da löschen?
    Geändert von cybergurk (17.02.2008 um 10:13 Uhr) Grund: link entfernt
    Zitieren Zitieren
  8. 17.02.2008 12:37 #28
    chw
    chw ist offline
    Verbringt hier viel Zeit
    Registriert seit
    06.08.2006
    Beiträge
    832
    Bedankte sich
    2
    Erhielt 164 Danksagungen
    in 152 Beiträgen

    Standard

    Zitat Zitat von heidiland Beitrag anzeigen
    Ähm, was muss ich denn da löschen?

    ALLES

    Vorher unbedingt ein komplettes Backup machen, "FTP Daten" und auch die DB und dann ALLES löschen.

    Da Du keine Ahnung hast was auf Deinem Webspace gerade alles veranstaltet wird ist das die einzige Möglichkeit. Solche tollten Tips wie einfach nur die offensichtlich überschriebenen Dateien wieder herzustellen bringen rein gar nichts. Hier sieht man es mal wieder...

    Danach suchst offline die Lücke, spielst ein komlpett neues und sicheres System auf (immer noch lokal und offline), bereinigst den selbst erstellten content, dann überprüfst Du den Rest (php Einstellungen auf dem Server, dateirechte usw).

    Danach lädst Du die saubere, sichere Seite hoch und gehst dann erst wieder online.

    Edit: Hat die aktuelle Version von Fireboard bekannte Schwachstellen?
    Zitieren Zitieren
+ Antworten
Seite 3 von 3 ErsteErste 1 2 3
« Vorheriges Thema | Nächstes Thema »

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein

Foren-Regeln