Domain "gehackt" (?) - was ist zu tun und wie kann das verhindert werden?

    Moin!
    Gerade möchte ich eine meiner Domains besuchen und sehe statt dem bekannten Inhalt eine weisse Seite mit dem Text:


    XTech Inc - xtech@bsdmail.org


    Damit wurden alle Index-Dateien in allen Unterverzeichnissen überschrieben. Lösche ich die "fremden" index.htm/index.html/index.php usw., so bekomme ich nur noch die Fehlerseite 403.


    FTP-Zugriff habe ich noch, auf die Confixx-Seite komme ich nicht mehr, da über die admin.meine-domain.de ebenfalls diese index-Seite erscheint.


    Wie kann den so etwas passieren? Es handelt sich um eine Seite mit dem CMS Mambo, keine zusätzlichen Sicherungen, Passwort eigentlich aus meiner Sicht sicher. :confused:


    Hat jemand eine Idee, was ich nun machen kann/muß und dann im zweiten Schritt, welche Sicherheitsvorkehrungen ich versäumt habe? Ich bin einigermaßen ratlos und habe vor allem Sorge, daß nun im Hintergrund, während ich die Seite letztlich nicht wirklich administrieren kann, weiterer Schaden angerichtet wird ...


    Edit: die "normale" Index-Seite habe ich wieder hinbekommen, aber die Weiterleitung auf die wirkliche Seite (die mit dem Mambo-System) klappt nicht, da kommen die Fehlerseite 403 oder die Meldung "Die Seite, auf die Sie zugreifen möchten, existiert nicht. Bitte wählen Sie eine Seite vom Hauptmenü. "

    Mambo kenne ich nicht, sorry.

    • falls SQL-Scripte vorhanden: Config-Files sofort vom Server nehmen, Datenbanknamen, Benutzernamen und PW ändern.
    • FTP-Daten ändern.
    • Sämtliche weiteren Zugangsdaten ändern.
    • Zuerst Schadensbehebung bzw. -begrenzung, erst dann Ursachenforschung.
    • Wenn alles halbwegs geklärt ist, Betrieb wieder aufnehmen. Aber nicht vorher, sonst rennst Du möglicherweise wieder in dieselbe Sicherheitslücke.


    Viel Erfolg!


    Carsten

    Danke für die Hinweise. Mir stellt sich die Frage, wie ich die Daten ändere, da ich das bisher nur über die Confixx-Oberfläche gemacht habe und die erreiche ich ja nicht mehr. :confused:


    SQL-Datenbank ist im Einsatz, die Daten kann ich in der Config-Datei ja nur "unbrauchbar" machen, nicht tatsächlich ändern, oder?

    Nun, die Script-Configs (sofern vorhanden) per FTP.
    Hast Du phpMyAdmin am Start? Falls ja, hier die Datenbankeinstellungen ändern.
    htaccess-Einstellungen entweder per FTP (nicht immer möglich) oder SSH.
    Falls alles nicht geht und Du weitere Befürchtungen hast:
    Möglichst den relevanten Content vom Server nehmen bzw. in sichere Bereiche verschieben (Stichwort htaccess) und schnellstmöglich den Hoster kontaktieren.


    Ich kann den Stress durchaus nachvollziehen... :rolleyes:


    Zitat

    Original geschrieben von andi2511
    SQL-Datenbank ist im Einsatz, die Daten kann ich in der Config-Datei ja nur "unbrauchbar" machen, nicht tatsächlich ändern, oder?


    Ja, aber dann kann wenigstens erstmal kein Schindluder mit der DB getrieben werden - sofern der Server so konfiguriert ist, dass nur Anfragen von localhost angenommen werden und der Angreifer keinen FTP-Zugriff hat.

    Sämtliche Admin-Bereiche habe ich bisher eben immer nur über admin.meine-domain.de aufgerufen - nun wollte ich den Weg über den Hoster gehen: http://www.v12net.de/meldungen.html


    Klingt ja echt prickelnd. :flop:


    Nun stellt sich mir weiter die Frage, wie ich die Admin-Oberfläche aufrufe und ob das Problem bei mir oder beim Hoster liegt und weiter, warum ich mir schon wieder so einen scheiß Pleite-Hoster ausgesucht habe.

    Du scheinst Dir einen echten Premium-Hoster ausgesucht zu haben.
    SCNR! ;)
    OK, aber das hilft Dir nicht weiter, ich weiss.


    Nochmal die Frage:
    phpMyAdmin oder SSH am Start? Vermutlich beides nicht.
    Ich würde in dem Fall dann gleich dazu übergehen, die komplette Präsenz bei einem neuen Hoster aufzusetzen.
    Wie wichtig ist 24/7/365 Erreichbarkeit der Präsenz? Eigentlich nicht so wichtig?
    Oder handelt es sich um ein Business-Projekt?
    Wie groß ist die DB ca.?

    Ja, die Premium-Hoster ziehe ich irgendwie an, das ist schon der zweite. :D


    Also, die Präsenz ist zwar gut frequentiert aber privat, Nichterreichbarkeit ist zwar nicht super aber letztendlich kein Problem.


    Ich kann dir aus dem Stand nicht sagen, wie groß die DB ist und vor allem sind die Backups wohl beim Hoster, da ich das über das Mambo-integrierte Backup-System gemacht habe.


    Ich habe den direkten Zugang zu "meinem" Server bei dem Hoster vorhin noch erreicht und nun erscheint dort die gleiche Meldung - scheint mir also eher ein massives Abrauschen bei dem Premium-Hoster zu sein.

    Hi,

    Zitat

    Original geschrieben von andi2511
    Ich kann dir aus dem Stand nicht sagen, wie groß die DB ist und vor allem sind die Backups wohl beim Hoster, da ich das über das Mambo-integrierte Backup-System gemacht habe.

    da solltest Du aber zumindest per FTP noch draufkommen...

    Zitat

    Ich habe den direkten Zugang zu "meinem" Server bei dem Hoster vorhin noch erreicht und nun erscheint dort die gleiche Meldung - scheint mir also eher ein massives Abrauschen bei dem Premium-Hoster zu sein.


    was hast Du denn fuer ein Paket da, virt. Server oder was?


    Gruss,


    c.

    Nordisch by zuag'roast :D

    Dann such Dir gleich mal einen neuen "Premium-Hoster". ;)
    Nebenbei mal versuchen, mit diversen Scripten einen DB-Dump zu erstellen, das dürfte wohl das wichtigste sein. Hier dürfte was zu finden sein:
    http://www.google.de/search?hl…p&btnG=Google-Suche&meta=
    Leider kann ich Dir da keinen Tipp geben, da ich solche Tools nicht nutze, sondern Backups via SSH durchführe.

    Zitat

    Original geschrieben von cestec
    Hi,
    da solltest Du aber zumindest per FTP noch draufkommen...


    Kann sein, muss aber nicht. Je nach Script und Serverconfig kann das Backup durchaus in einem Ordner liegen, der per FTP nicht erreichbar ist.

    Nein, das ist ein normales Webhostingpaket, ich meinte eher einen Zugriff auf den Adminbereich über v12-server02.de ...


    Wie komme ich denn per FTP an die Datenbank bzw. die Backups? Sorry, das ist nicht so ganz meine Baustelle und ich habe das immer learning-by-doing gemacht - solange es klappt, geht das ja auch. ;)

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!

Benutzerkonto erstellen Anmelden