# 1und1 index.php gehackt?



## Mark (17. Juni 2007)

Hallo Ihr Lieben!

Bin gerade ein wenig paralysiert: verzeiht mir somit bitte die folgenden naiven und vor allem kindischen Fragen...

Wollte gerade auf eine Website von mir, die auf 1und1.de gehostet wird, da begrüßt mich die index.php mit einer "weissen Seite": der Inhalt besteht nur noch aus einem ominösen iframe (width & height = 1) 
Schaue per FTP nach und da stellt sich heraus, daß eben diese index.php heute "überschrieben" wurde...

Nun die kindischen Fragen:
1) Welche Sicherheitslücken könnte ich da "offen" haben und nach welchen Stichwörtern muß ich suchen, um mich dort ein wenig schlau zu machen?
2) Wollte sofort mein FTP-Zugangs-Passwort ändern, traue mich aber nicht, mich bei 1und1 anzumelden: könnte da jemand - akut - meinen 1und1 Zugang erschnüffeln?
3) Habe alle Zugänge als Bookmarks im "SmartFTP" ... stellt das eine Gefahr dar oder sollten diese dort gut aufgehoben sein?

Noch mal: bitte nicht schlagen, mir ist bewusst, wie naiv und leichtsinnig mein sicherheitstechnisches Wissen (=0) ist! 
Für Anregungen, Stichwörter, u.ä. äußerst dankbar! 

Liebe Grüße,
Mark.


----------



## Dennis Wronka (17. Juni 2007)

Was fuer Funktionen gab es denn auf der Seite so? Irgendwas was denn Upload von Daten ermoeglicht oder wurden gar Shell-Befehle ausgefuehrt?
Hast Du die Moeglichkeit Logs einzusehen? Also die Logs des Webservers und des FTP-Servers waeren hier interessant.


----------



## Mark (17. Juni 2007)

Hi Dennis!

Schande! Natürlich hätte ich auch gleich mal in's FTP-Log schauen können 
...andererseits hatte ich ja Angst mich bei 1und1 anzumelden 

Konnte natürlich dort sofort die "feindliche Anmeldung" ersehen: eine Suche dieser IP bei Google ergab, daß es sich wohl um einen "Virus" (eine Spyware?) handelt, die angeblich auf meinem Rechner die FTP-Zugänge ausliest 
Leider melden die einschlägigen Spyware-Finder-Tools keinerlei "Bösartigkeiten" ... aber das will sicher nicht's heissen 

Somit nun wieder ganz naiv nachgefragt: kann man einen FTP-Zugang auf IP's beschränken ... kann man dies bei 1und1? Oder anders: gibt es sowas wie .htaccess für FTP?! (bitte nicht auslachen!  ).

@Website: die Website selbst greift nur auf MySql zu und liest (Bilder-)Verzeichnisse zweckst Galleriedarstellung aus: kein Upload, keine Anmelde-Geschichten oder ähnliches...

Bereits vielen Dank für Deine prompte Hilfe! 
Liebe Grüße,
Mark.


----------



## Andreas Späth (17. Juni 2007)

Dieses Probleme hatte ich letztens auch, und es stellte sich heraus dass die Schwachstelle nicht bei mir lag.
Es gab wohl in letzter Zeit einige Hoster deren Kundenzugänge für den FTP geknackt wurden, und jede Datei Namens index.* durch eine Datei mit diesem besagtem I-Frame ersetzt wurde (der übrigens versucht einen Virus runterzuladen).
Ich würde mich an deiner stelle direkt an 1&1 wenden.

FTP Zugang per IP's beschränken ist glaube ich in den normalen Webhostingpaketen von 1&1 nicht möglich. Etwas wie .htaccess für FTPs gibt es nicht (wohl aber Scripte für FTP Server wo man Befehle einbauen kann durch die man sich selbst erst freischaltet, aber bei Shared Hosting eher nicht). Du kannst höchstens Benutzername (falls das geht) und die Passwörter ändern.


----------



## Mark (17. Juni 2007)

Hi DJ Teac!

Uff, das hört sich nicht gut an: werde auf jeden Fall 1und1 kontaktieren!
Habe noch ein mal geschaut und tatsächlich wurden alle index.* *geändert* (nicht nur überschrieben, das fällt ja sofort auf) -> iframe gleich hinterm Body-Tag 

Ansonsten kann ich leider nur das FTP-Passwort, nicht den Usernamen, ändern ... habe dies aber zunächst einmal gemacht 

Tausend Dank für Eure Hilfe! 

Liebe Grüße,
Mark.


----------

