# meine Webseite wurde gehackt!



## solala123 (2. Oktober 2013)

Hallo zusammen,
ich habe folgendes Problem:
ich betreibe unsere Vereinshomepage http://www.tsv-roth.de
diese HP wurde vor ca. 4 Wochen total zerstört, weshalb kann ich nicht beantworten.
Es waren noch Dateien vorhanden, die nicht von mir waren. (ich habe die gesamte HP geschrieben)
Darauf hin habe ich alles von der HP gelöscht und eine Sicherung wieder aufgespielt.
Heute habe ich wieder einige Dateien mit der Endung .PHP und 0 KB auf den Server gefunden.
Es war auch eine Datei Dabei, die vom Virenscaner des Servers erkannt wurde --> 84ui.php.

Die Kennwörter zum Zugang der HP wurden geändert gleich nach dem Crash.

Was kann die Ursache für die Lücke sein oder wie kann man eine HP zerstören oder Dateien aufspielen ************?

Bin langsam am Verzweifeln

Meinen Rechner mit Vierenscans und Malewarescans einige male überprüft ohne Fund.

Was kann ich tun ****?

mfg
Rainer


----------



## tombe (2. Oktober 2013)

Hallo Rainer,

mit zerstört meinst du jetzt aber die Seiten/Dateien die online sind und nicht die Dateien bei dir auf dem Rechner?

Da ich jetzt mal davon ausgehe das du bzw. euer Verein keinen eigenen Server betreibt sondern das ein Provider dahintersteckt, würde ich mich bei diesem melden und um eine Stellungnahme bitten!


----------



## solala123 (2. Oktober 2013)

Hallo Thomas,
die Dateien sind natürlich auf den Server zerstört worden.
Kann es sein, dass ich irgend eine "Lücke" oder ein schädliches Programm auf meien Rechner habe?
Und was hat es mit den 0KB Dateien auf sich?
Kannst du Dir bzw. mir das erklären ?
Gruß
Rainer


----------



## tombe (2. Oktober 2013)

Also ich glaube nicht das du auf deinem privaten Rechner eine Virus o.ä. hast, sonst hättest du da das selbe Problem und nicht "nur" auf dem Server.

Welche Passwörter hast du geändert, die für den Zugriff auf die Datenbank oder die FTP-Passwörter zum Übertragen auf den Server?

Was du machen kannst ist das Datum, die Dateigröße und natürlich auch den Inhalt der auf dem Server vorhandenen Dateien zu prüfen und mit den lokal gespeicherten Dateien zu vergleichen. Sollte sich jemand Zugang verschafft haben könnte er da etwas versteckt haben was die weiteren Probleme macht. Das gilt natürlich auf alle Dateien und Verzeichnisse die du online hast.

Aber wie schon geschrieben, wende dich an deinen Provider und frag da nach. Es dürfte den ja auch interessieren das er eventuell ein Sicherheitsleck hat.


----------



## baigox (2. Oktober 2013)

Gibt es auf deiner Website irgendeine Möglichkeit Dateien hoch zu laden, seien es Bilder order ähnliches.

Das ist nämlich eine große Sicherheitslücke, denn dadurch können auch .PHP Dateien auf deinen Server gelangen, die beim Aufruf den Server kontrollieren können und der "Hacker" hat dadurch volle Kontrolle über den Rechner( Server), wenn Apache( oder was auch immer du als Serversoftware verwendest) als root oder Admin läuft.

Deswegen von automatischen Uploads per Website absehen oder das mit starken Prüfroutinen sichern, die z.B. nur Bilder zulassen.

Anonyme Zugriffe bei FTP sollten für Webserver generell deaktiviert sein, und wenn es dir möglich ist, solltest du nach einem erfolgten Hackangriff das gesamte Betriebssystem erneut installieren, da immer Backdoors und Dateien vom Hack zurückbleiben können, die dem Angreifer eine Hintertür offen lassen und die oft nicht gefunden werden.

Du solltest auch mal dein Zugriffsprotokoll durchgehen und versuchen herauszufinden, wann und wer gehackt hat.

(Was ich hier schreibe muss nicht korrekt sein, es ist bloß meine Sichtweise und ich versuche bloß zu helfen. Wenn ich etwas falsches gesagt haben sollte, so teilt es mir bitte mit, ich bin ja auch nur ein Mensch  )


----------



## sheel (2. Oktober 2013)

baigox hat gesagt.:


> Gibt es auf deiner Website irgendeine Möglichkeit Dateien hoch zu laden, seien es Bilder order ähnliches.
> 
> Das ist nämlich eine große Sicherheitslücke, denn dadurch können auch .PHP Dateien auf deinen Server gelangen, die beim Aufruf den Server kontrollieren können und der "Hacker" hat dadurch volle Kontrolle über den Rechner( Server), wenn Apache( oder was auch immer du als Serversoftware verwendest) als root oder Admin läuft.


Sorry, aber wer hochgeladene Dateien absichtlich als Programme startet
hätte nichts anderes als einen gehackten Server verdient.
Sowas tut aber keiner, daher sind Uploads nicht schlecht.


baigox hat gesagt.:


> Deswegen von automatischen Uploads per Website absehen oder das mit starken Prüfroutinen sichern, die z.B. nur Bilder zulassen.


Oder einfach nicht starten und die Serversoftware aktuell halten...
Dazu noch eine vernünftige Konfiguration etc. und ab und zu Logfiles anschauen,
und schon hat man ziemlich alles getan, was man sinnvollerweise tun kann.



baigox hat gesagt.:


> Anonyme Zugriffe bei FTP sollten für Webserver generell deaktiviert sein, und wenn es dir möglich ist, solltest du nach einem erfolgten Hackangriff das gesamte Betriebssystem erneut installieren, da immer Backdoors und Dateien vom Hack zurückbleiben können, die dem Angreifer eine Hintertür offen lassen und die oft nicht gefunden werden.


Anonymes FTP ist in den meisten Anwendungsfällen sehr schlecht, ja.
Aber hat solala sowas?

Und Betriebsssysteminstallationen (bzw. wiedereinspielen von VM-Image
und Userdatenbackup) ist etwas für den Hoster, das kann man bei üblichen Angeboten
für Privat/Kleinbetriebe etc. einfach nicht selbst tun.

@solala: Auch von mir: Hoster kontaktieren.
a) kann der dir helfen und
b) bist du ziemlich sicher (je nach Land/Vertrag...) dazu verpflichtet, sowas zu melden.
Es könnte nämlich auch für den Hoster selbst
und/oder andere Kunden von ihm zum Problem werden.


----------



## solala123 (3. Oktober 2013)

Hallo ,
Danke an alle Antworter,
Also auf der Hompage sind Bilder und Texte, es kann nichts geladen werden
mein FTP Feil steht auf "normal" also Benutzer und Paswort eigeben, dazu benütze ich FileZilla
zur Programmierung der Homepage verwende ich Dreamwaver CS3
Ja gemeldet hat es mein Kollege der hat mir den Zugang gegeben, ich selber habe nichts mit dem Provider zu tun.

Wo kann ich die  Logfiles anschauen ?

Und da ich auf dem Server einige Dateien mit 0KB gefunden habe, gibt es ein Programm, womit ich meinen PC auf 0KB Dateien scannen kann?

Danke nochmals 
mfg
Rainer


----------



## sheel (3. Oktober 2013)

solala123 hat gesagt.:


> Wo kann ich die  Logfiles anschauen ?
> 
> Je nachdem, was ihr beim Provider mietet und welcher Provider das ist...





solala123 hat gesagt.:


> Und da ich auf dem Server einige Dateien mit 0KB gefunden habe, gibt es ein Programm, womit ich meinen PC auf 0KB Dateien scannen kann?


Konkretes Programm kenn ich zumindest keins, aber
a) haben übliche Betriebssysteme alles Nötige, um sowas ohne ein eigenes Programm zu machen; und b) Wirst du 0KB-Dateien finden, auch wenn alles in Ordnung ist.
Sowas ist keine Seltenheit. Und es ist dringend davon abzuraten,
irgendwelche Dateien auf gut Glück zu löschen.

Aber mich würd auch mal interessieren, warum du deinem eigenen Computer so misstraust.


----------



## solala123 (3. Oktober 2013)

Hallo,
ich bin mir zimlich sicher, dass mein PC ok ist 
das einzige, wo ich Bedenken habe (hatte) ist, dass von meinen Sicherungen, die ich im laufer der Zeit erstellt habe noch irgendwelche "Leichen" abgespeichert sind, die wieder Mist machen könnten.

Ob soetwas überhaupt möglich ist, das weiß ich nicht.

Gruß
Rainer


----------



## baigox (3. Oktober 2013)

uhm, ich bin davon ausgegangen, dass er den Server lokal( wie ich) laufen hat, mein Fehler.

Und PHP dateien, die hochgeladen wurden, können per webaufruf gestartet werden.
---
wenn ich z.b. auf bsp.de/upload
die datei "Hack.php" hochlade kann ich sie doch per "http://bsp.de/upload/Hack.php" Aufruf von dem Browser starten, und die kann dann den Webserver dazu bringen andere Dateien auf den Server zu laden und auszuführen.


----------



## solala123 (3. Oktober 2013)

hallo baigox,
ich kann Dir mit Deiner Antwort nicht folgen,
Du willst also sagen, wenn ich es richtig verstehe, 
man kann jede PHP datei auf einen Server verändern wie man möchte ohne schwierigkeiten ? wenn das so einfag geht, dann schick mir doch ein PHP Datei mit deinen Namen auf meine HP.

http://www.tsv-roth.de

PS. ich möchte dich nicht anstenkern oder ähnliches, möchte nur wissen ob es tatzächlich möglich ist.

mfg
Rainer


----------



## sheel (3. Oktober 2013)

Und genau dewegen prüft man alles gründlich.
Auch wenns vielleicht lästig ist, das ist im Internet immer und überall Pflicht.
Alles andere ist nicht nur schlampig, sondern eher einfach falsch.

Weiters macht es Sinn, für das Verzeichnis mit den Uploaddateien
alles Ausführbare von vornherein abzuschalten (htaccess...)

@solala: Nein, ist nicht möglich.
Was baigox sagen will, dass schlecht programmierte PHP-Seiten Sicherheitsprobleme haben können
(so hingeschrieben klingts selbstverständlich)


----------



## baigox (3. Oktober 2013)

Ist es auf deiner Homepage möglich Bilder, Textdokumente oder irgendetwas hoch zu laden?
Vom Browser aus meine ich.
oder kann man über eine Weboberfläche etwas auf den Webspace laden?
Wenn nein, vergiss einfach, was ich gesagt habe.

Wenn das nicht über deine HP sondern nur über die vom Anbieter geht, und der "Hacker" es auf diesem Weg getan hat( was nicht bewiesen ist), dann liegt das Problem beim Anbieter.

Hast du dich eigentlich schon mit dem Host in Verbindung gesetzt?

EDIT: Ups, gleichzeitig geantwortet ^^
Genau das will ich sagen.


----------



## solala123 (3. Oktober 2013)

Hallo,
Danke für die Antwort, das beruhigt mich schon ungemein.
Gruß Rainer


----------



## solala123 (3. Oktober 2013)

Hallo,
nein auf meiner HP kann nichts hoch geladen werden 
nur gucken 

und ja, mein Mannschaftskollege der den Platz auf den Server gemietet hat, hatte sich gestern schon mit den Provider in Verbindung gesetzt.

Aber ich bedanke mich auch bei Dir denn das ist echt ein ernstes Thema und ich finde es toll dass man hier nicht alleine gelassen wird.

Gruß an alle
Rainer


----------

