Website gehackt

Diskutiere mit über: Website gehackt im Sicherheit Forum

  1. timoken

    timoken Thread Starter MacUser Mitglied

    Beiträge:
    826
    Zustimmungen:
    8
    Registriert seit:
    11.11.2003
    ich habe gerade mit Schrecken festgestellt, dass auf dem Webspace unserer Firma, der bei NTT/Verio liegt, Dateien liegen, die da definitiv nicht hingehören und nicht auf legalem Weg abgelegt wurden.

    wenn ich mir via FTP deren eigentümer und zugriffsrechte anzeigen lasse, ist der user weder der ftp- noch der www-user sondern "tgherf" und die permissions stehen auf -rw-r--r-- oder -rwxr-xr-x. anderen zugriff (ssh o.ä.) haben wir aber auf den webspace garnicht. darum denke ich nicht, dass jemand an eines unserer passwörter gekommen ist. kann es sein, dass an höherer stelle verio gehackt wurde?

    die dateien sehen aus, als hätte jemand auf unserem webspace einen irc-chat-bot installiert/compiliert ("makefile"- und ".h"-dateien etc.).

    leider hat verio nur geschäftszeiten bis 17 uhr *grummel*. hat irgendwer tipps, was ich am besten tu? kann die schuld vielleicht doch bei uns liegen?
     
  2. ThaHammer

    ThaHammer MacUser Mitglied

    Beiträge:
    3.276
    Zustimmungen:
    13
    Registriert seit:
    01.06.2004
    Erstmal Passwörter ändern. .htaccess einschalten, alles was Du halt ändern kannst. Eventuell alles neu aufspielen. Zugriffsrechte der Dateien ändern. Sollte gehen wenn Du einen Adminaccount für Deinen Server hast.
     
  3. r2k

    r2k MacUser Mitglied

    Beiträge:
    281
    Zustimmungen:
    6
    Registriert seit:
    06.06.2004
    Wenn ich das richtig verstehe ist es ein gemieteter Webspace.

    Wenn ja, Provider kontaktieren!

    Wenn es dein eigener Server ist:
    Neu installieren! evt. sind gepachte Versionen und Backdoors installiert.

    lg
    Marco
     
  4. below

    below MacUser Mitglied

    Beiträge:
    13.882
    Zustimmungen:
    1.086
    Registriert seit:
    15.03.2004
    Das finde ich aber bedenklich, dass der Provider da keinen Notfallsupport hat.

    Hast Du einen Shell account? Dann schau mal mit top nach, was da für prozesse laufen

    Alex
     
  5. oneOeight

    oneOeight MacUser Mitglied

    Beiträge:
    46.774
    Zustimmungen:
    3.629
    Registriert seit:
    23.11.2004
    so was ist ohne zugriff auf logs bzw die login daten schwer zu sagen.
    man kann ohne weiteres eine php-shell per ftp hochladen und dann shell zugriff haben, falls das in php nicht gesperrt ist...
    guck mal nach php dateien mit shell im namen...

    passwörter kann man gut raten, vor allem wenn die passwörter einfach sind ;)
     
  6. below

    below MacUser Mitglied

    Beiträge:
    13.882
    Zustimmungen:
    1.086
    Registriert seit:
    15.03.2004
    ftp übermittelt die Passwörter auch nicht besonders stark verschlüsselt, wenn ich mich nicht irre

    Auf unseren Servern geht deshalb nur secure ftp (sftp)

    Alex
     
  7. xell2202

    xell2202 MacUser Mitglied

    Beiträge:
    960
    Zustimmungen:
    14
    Registriert seit:
    30.12.2005
    Vielleicht ist der Angreifer ja über SSH reingekommen - mein iMac (mit SSH-Server) bekommt in letzter Zeit manchmal ein paar hundert Loginanfragen mit Usernamen wie barney, windows, web, httpd, root, admin, joe.
    Mein Passwort erraten die zwar so nicht, nachdenklich macht es aber trotzdem...
     
  8. Trey

    Trey MacUser Mitglied

    Beiträge:
    2.433
    Zustimmungen:
    88
    Registriert seit:
    24.03.2004
    FTP überträgt Passwörter im Klartext übers Netz.
     
  9. below

    below MacUser Mitglied

    Beiträge:
    13.882
    Zustimmungen:
    1.086
    Registriert seit:
    15.03.2004
    Ja, diese Brute Force Attacken machen einen nicht besonders glücklich.

    Du kannst folgende Dinge tun:

    - Für root den ssh Zugang ganz sperren (Authorisierte User müssen sich dann mit ihrem Usernamen einloggen und dann su'n)
    - Passwortauthorisierung für ssh für ausgewählte oder alle accounts *abschalten. Z.B. kannst Du einen User mit Passwort noch zulassen, damit Du im Notfall ohne DSA/RSA Key reinkommst.

    Für Rechner, die Lokal mit Tastatur oder Serialkonsole erreichbar sind habe das Passwort bei SSH ausgeschaltet.

    Alex
     
  10. oneOeight

    oneOeight MacUser Mitglied

    Beiträge:
    46.774
    Zustimmungen:
    3.629
    Registriert seit:
    23.11.2004
    es übermittelt die unverschlüsselt, falls man nicht ftps verwendet ;)
     
Die Seite wird geladen...
Ähnliche Themen - Website gehackt Forum Datum
Mail-Passwort gehackt; Macbook wird als Spam-Sender verwendet Sicherheit 05.10.2016
Passwortmanager LassPast gehackt Sicherheit 15.06.2015
Malware Virus | Mail Account gehackt was tun? Sicherheit 20.10.2014
JS-Virus auf website "martuz.cn", "gumbler.cn" Sicherheit 16.05.2009
"Admin" blockiert Zugang zu Website Sicherheit 28.05.2008

Diese Seite empfehlen

Benutzerdefinierte Suche