Autor |
Nachricht |
cleaner
Moderator Threadersteller
Dabei seit: 23.01.2003
Ort: CASSELFORNIA
Alter: 50
Geschlecht:
|
Verfasst Mo 21.07.2008 15:03
Titel ftp oder blog gehackt ? |
|
|
ich schaue heute morgen auf meinen server (ftp) und entdecke insgesamt HUNDERTE html-dateien, die nicht von mir sind
und die aussehen, als wären sie automatisiert angelegt worden. es handelt sich dabei um spam/malware etc, die
versucht, auf eine antiviren-seite (gefaketer computer-test) umzuleiten.
das schlimme: auch meine bisherigen html-seiten sind exakt alle am 17.07.2008 geändert worden. im quelltext sind
etliche verlinkungen etc. untergebracht worden.
ich habe in einem unterverzeichnis meiner site auch einen wordpress-ordner (mein blog) ... und vermute nun, dass ich zwischendurch mal ein wordpress-sicherheitsupdate hätte machen sollen ...
wie erklär ich mir das ? auf welche weise ist es möglich, dass sich duplikate meiner html-dateien - nur halt im namen leicht kryptisch verändert - auf meinem server anlegen können ???
hier ein screenshot eines ftp-verzeichnisses bei mir:
//edit: deleted
ich habe eine solche seite mal aufgerufen und folgendes bekommen:
hat jemand mal was ähnliches auf seinem ftp erlebt ? was sind jetzt die "steps to take" ?
Zuletzt bearbeitet von cleaner am Mo 21.07.2008 16:42, insgesamt 1-mal bearbeitet
|
|
|
|
|
Zim
Dabei seit: 05.12.2006
Ort: Earth Rocks
Alter: -
Geschlecht:
|
Verfasst Mo 21.07.2008 15:21
Titel
|
|
|
Ist nur das Verzeichniss des Blogs betroffen oder finden sich die geänderten Daten auch in anderen Verzeichnissen?
Wo steht der Server, also ist das ne housing Lösung oder nur gemietet. Beim letzten Fall erst mal mit den Leuten sprechen die den vermieten – aber auf jeden Fall schnell die Behörden benachrichtigen, schon zu deiner eigenen Sicherheit, man kann ja nie wissen wohin das noch alles hinverlinkt.
|
|
|
|
|
Anzeige
|
|
|
cleaner
Moderator Threadersteller
Dabei seit: 23.01.2003
Ort: CASSELFORNIA
Alter: 50
Geschlecht:
|
Verfasst Mo 21.07.2008 15:36
Titel
|
|
|
server ist gemietet. das ganze ist auch in verzeichnissen oberhalb/ausserhalb des wordpress-blogs geschehen.
|
|
|
|
|
Zim
Dabei seit: 05.12.2006
Ort: Earth Rocks
Alter: -
Geschlecht:
|
Verfasst Mo 21.07.2008 15:57
Titel
|
|
|
Dann würd ich sagen sind die Anrufe beim SP und bei der Kripo dringend fällig.
Den Hacker wird man zwar so nicht bekommen aber es ist wichtig um dich abzusichern.
|
|
|
|
|
cleaner
Moderator Threadersteller
Dabei seit: 23.01.2003
Ort: CASSELFORNIA
Alter: 50
Geschlecht:
|
Verfasst Sa 26.07.2008 11:13
Titel
|
|
|
ich checke täglich meine statistiken. heute ist mir folgender eintrag/verweis aufgefallen:
http://www.games.500job.com/data/0033-1.html
(vorsicht - die seite ist lang !)
habe daraufhin mal ein paar der dort gelisteten deutschen betroffenen seiten herausgefiltert und eben gerade
bei einigen angerufen. einem einzigen war das problem bisher aufgefallen.
kurz zwischengeschoben: die lapidare antwort meines providers auf anfrage, wo die schwachstelle liegen könnte, war:
provider hat geschrieben: | dies kann unterschiedliche Gründe haben, einer wäre hier zB, dass eine Sicherheitslücke in Flash ausgenutzt wurde. |
das halte ich für ausgesprochenen quatsch. die vor einigen wochen aufgetretene sicherheitslücke von flash betraf doch nur seiten, deren content absichtlich mit einem flash-exploit angelegt wurde. hallo china ! ausserdem habe ich in den telefonaten von heute morgen auch admins gesprochen, deren betroffene seite keinen einzigen flash-content hat.
vielleicht nur zufall: von ca 10 betroffenen leuten, deren seiten ich im quelltext auf den spam-code überprüft habe, sitzen 2 mit firmensitz in montabaur. hat mich stutzig gemacht, muss aber nix heissen.
sind in letzter zeit schwachstellen in php bekannt geworden ? das ist bis jetzt der grösste gemeinsame nenner ....
|
|
|
|
|
aUDIOfREAK
Dabei seit: 04.04.2002
Ort: Ansbach
Alter: 44
Geschlecht:
|
Verfasst Sa 26.07.2008 11:21
Titel
|
|
|
hast du schon mal in die logfiles von deiner kiste gucken können? daran kann man wohl am besten feststellen, was genau gelaufen is... ansonsten kann das natürlich gut an einer sicherheitslücke in einer veralteten wordpress-version liegen...
|
|
|
|
|
|
|
|
Ähnliche Themen |
Webseite gehackt, brauche Hilfe!
blog offline bearbeiten
|
|