Thema: Site gehackt!

Hallo Forum!

Gestern um 20:45 wurde meine Seite von einer türkischen Hackergruppe lahm gelegt.
Offensichtlich (soweit ich das bis jetzt ersehen kann), wurden nur im Root die Index.php, Index.html und im Administrator/Backup die Index.php umgeschrieben.

Wer kennt diesen speziefieschen Angriff? Da ich im Moment noch keinen Zugriff auf die Logs habe, frage ich mich ob dieses Problem von jemandem schon analysiert wurde und wo die Schwachstelle ist...

Danke für jeden Input!

P.s.: Ich habe das Backup schon zurückgespielt, ist aber, da ich nicht weiss, wos klemmt, halt nur eine Frage der Zeit, bis es wieder passiert...

Versuch mal, deine Seite mit Joomla Tool Suite auf Schwachstellen zu analysieren.

Besten Dank für den Tip scoujay! Ich hätte aber gerne Erfahrungswerte mit dem [Name gelöscht] Hack, von jenen die auch betroffen waren / sind. Ich habe die Logfiles inzwischen erhalten und habe zu der fraglichen Zeit keinen verdächtigen Eintrag gefunden...!

Ich hab mal gegoogelt und es kommen immerhin ca. 600 Seiten in Frage... keiner vom Forum?

Danke für euren Input!

Zitat von X-Bit

P.s.: Ich habe das Backup schon zurückgespielt, ist aber, da ich nicht weiss, wos klemmt, halt nur eine Frage der Zeit, bis es wieder passiert...

Und wieso schaltest Du die Seite nicht ab, bis die Ursache gefunden und behoben ist? Sowas ist grobfahrlässig.

Hallo Alle!

@Bergspitz: Du musst, am besten über FTP, im Root-Verzeichnis das File "Index.html" mal genau anschauen. Normalerweise gibt es dieses bei einer standard J! Installation nicht... Bei mir war diese Datei eingeschleust worden und enthielt genau den selbigen Code wie bei den index.PHP. Ich habe diese Datei gelöscht und dadurch wieder Zugriff auf das Frontend erhalten, da es nicht mehr als erstes geladen wurde.

@GN2 netwerk: Leider kann ich, obwohl die Ursache nach wie vor nicht geklärt ist, einige meiner Seiten die ich verwalte nicht einfach "abschalten"... ich denke aber nicht, dass ich dadurch grobfahrlässig handle!

Leider hat wohl bis heute keiner genauere Angaben über den Vorgang. Auch seitens des Hosters habe ich noch keine Infos erhalten und wäre deshalb nach wie vor an euren Erkenntnissen interessiert!

Danke für weiteren Feedback!

Natürlich ist das grobfahrlässig. Dir ist bekannt das die Seite ein Sicherheitsloch hat und womöglich dadurch als spamschleuder verwendet werden kann, soweit ich weiss kannst du somit auch rechtlich belangt werden weil du davon wusstest und nichts dagegen unternohmen hast. Also stell die Seite offline und schau dir die Logfiles des Apache an. Falls du das selber nicht hinbekommst solltest du dir überlegen das in die Hände eines Profis zu geben der sich das mal anschaut.

Zitat von Derroylo

N...Dir ist bekannt das die Seite ein Sicherheitsloch hat und womöglich dadurch als spamschleuder verwendet werden kann, soweit ich weiss kannst du somit auch rechtlich belangt werden weil du davon wusstest und nichts dagegen unternohmen hast. Also stell die Seite offline und schau dir die Logfiles des Apache an.

...danke für den Tip.

Da ich die Logfiles, wie schon gesagt, überprüft habe (...und ich denke, dass ich dafür qualifiziert genug bin) und keine Unregelmässigkeiten gefunden habe (und das bei sieben verschiedenen Seiten), gehe ich davon aus, dass der Hack über die jeweiligen Hoster gelaufen ist. Somit bin ich wohl aus der Pflicht und, wenn man es genau nimmt, müsste der Hoster wohl eher seine Server abstellen... aber das ist eigentlich OFF-Topic.

Trotzdem Dank für deinen Hinweis.

Du mußt Dich nicht angepinkelt fühlen, wenn Du die Lücke nicht findest, sie ist definitiv vorhanden. Wenns am Hoster liegt, weißt Du, was Du zu tun hast. Wenn nicht, vlt mal etwas jemanden Qualifizierteren die Logs durchguggn lassen. Es kann durchaus sein, daß der gesamte Server kompromittiert ist, anhand des Änderungsdatums Deiner befallenen Dateien kannst Du auch den Hoster mit der Nase drauf stupsen, damit kann er annährend die restlichen Webs analysieren. Der Haufen hier wird immer trauriger.