Antworten auf deine Fragen:
Neues Thema erstellen

Gehackte Seite?

Janda

Janda

Insideout Genius

Moinsen!

Ich habe eine Website erstellt, welche damals mit Joomla 1.5 von so einer russischen Seite gehackt wurde --> Lady Gaga Page wurde davor geschaltet.

Danach habe ich alles geplättet und Joomla 2.5 installiert. Jetzt kommt angeblich wieder eine Weiterleitung, aber ich kann die nicht sehen, die sehen nur ganz wenige Leute. Liegt das nun an meiner Website, oder an den Rechnern von anderen Leuten? Wie kann ich dem auf den Grund gehen?

Screenshot von einer Person, bei der dieses Problem auftrat seht Ihr hier:

Grüße,

Jan
 
S

steinmannn

Aktives Mitglied

AW: Gehackte Seite?

Sicherlich ist in den Dateien .htaccess eine Umleitung zu diesen Seiten.
Ebenfalls könnte in der Root eine default.php Seite liegen, die diese Umleitungen erstellt.

Ebenfalls die Head-Bereiche der HTML-Seiten überprüfen.

Die Warnseite wird von Google erstellt, wenn es zu Problemen mit deiner HP kam. Google gibt ebenfalls eine Info.
Automatisch erstellte Backups sind nicht verwendbar, weil dort bereits die Umleitung enthalten ist.

Ebenfalls wäre eine Info an den Provider sinnvoll, weil diese Attacke i.d.R. über den Hauptserver kommt.
 
patrick_l

patrick_l

Hat es drauf

AW: Gehackte Seite?

Wie hast du den deinen alten Content eingepflegt? Wurde Joomla neu installiert und anschließend mit der alten Datenbank gefüttert bzw. wurden die Inhalte aus der alten Joomla-Installation migriert?

Liebe Grüße, Patrick
 
rafoldi

rafoldi

Aktives Mitglied

AW: Gehackte Seite?

die Frage ist ob hier die htaccess umgemodelt wurde. Würde bedeuten dass Dein Server gehackt wurde und eine Weiterleitung über htaccess eingeleitet wurde.
Also auch mal die Dateirechte ändern. Am besten die RWE entfernen, chmod ... (keine Ahnung aus dem Kopf). Wenn irgendwann mal ein chmod 777 gemacht wurde kann jeder auf die Files zugreifen und diese Ändern. Dafür müsste man sich nur als GAST auf dem Server einloggen und per Telnet Session die Änderungen per VI durchführen.
Ich setzte hier voraus, dass es ein UNIX Server ist, dass ist in der Tat bei den meisten Providern der Fall.
 
Janda

Janda

Insideout Genius

AW: Gehackte Seite?

Moinsen! Erstmal danke für die vielen Antworten! Werde als erstes mal die htaccess untersuchen... Was ist eigentlich eine RWE? Auf welche Rechte sollte ich denn stellen, statt 777?
Es wurde eine komplett neue Datenbank angelegt... Ich finde das echt seltsam, zumal es nur bei der einen Homepage vorkommt, sonst nie und ich gehe immer nach dem selben Prinzip vor, bei jeder Page :-(

Danke erstmal vielmals!

Jan
 
kleeaar

kleeaar

zwo-eins-risiko!

AW: Gehackte Seite?

Auf jeden Fall sämtliche Passwörter (also Ftp, Mysql, Joomla-Login ...) ändern, falls du das nicht schon gemacht hast.
hatte auch mal so ein ähliches Problem, allerdings bei einer ganz normalen Seite, wo das ändern der Passwörter geholfen hat.
Es hatte also wohl nur jemand mein FTP-Pw gehackt.

Grüße
 
kleeaar

kleeaar

zwo-eins-risiko!

AW: Gehackte Seite?

Kann es nicht am fremden Rechner liegen?
Zum Vergrößern anklicken....
Wenn es nur bei einer Person auftauch ist das durchaus möglich.
aber sobald es mehrere unabhängige Personen auf verschiedenen Rechnern sehen können iat das natürlich eher unwahrscheinlich...

grüße
 
Rhigster

Rhigster

ErklärBär

AW: Gehackte Seite?

Janda schrieb:
Habe meine Seite dort gecheckt: http://sitecheck.sucuri.net/scanner/
Die hat nichts gefunden. Kann es nicht am fremden Rechner liegen? Htaccess ist auch frei...

Gruß

Gesendet von meinem HTC One S mit Tapatalk 2
Zum Vergrößern anklicken....

Diese Site checkt bei Weitem nicht die ganze Bandbreite der möglichen Hack-Varianten. Ich würde mich da nicht drauf verlassen. Die Chancen, das der fremde Rechner aus eigenem Verschulden NUR auf deiner Seite eine Umleitung erhält ist auch mehr als unwahrscheinlich.
 
rafoldi

rafoldi

Aktives Mitglied

AW: Gehackte Seite?

Hmmm die Joomla Instanz als Programm neu zu Installieren ist schnell gemacht. Die Datenbank muss ja nicht Überschrieben werden. Ich hoffe Du hast bei der letzten Installation auch das SETUP Verzeichnis gelöscht?
Du könntest die Datenbank exportieren und das entstandene Textfile nach Links durchsuchen. Wenn htaccess ok, die Installation sauber und die Datenbank ebenfalls sauber ist. Dann denke ich ist die HP auch sauber.

Dann bleibt nur noch der Provider, nur das nachzuweisen.......
 
Janda

Janda

Insideout Genius

Mmh, also mir ist aufgefallen, dass bei direkter Eingabe des Links nicht auf diese Russen Seite weiter geleitet wird, wenn man aber bei google in der Suche am-as.eu ein gibt, verlinkt dieser auf die Seite.

Wo ran kann das denn liegen?


Grüße

Gesendet von meinem HTC One S mit Tapatalk 2
 
S

steinmannn

Aktives Mitglied

AW: Gehackte Seite?

Auch in dem Kopf (Header) der einzelnen HTML- oder php-Seiten kann die Umleitung bereits als Script hinterlegt sein.
Desweiteren gibt es zusätzliche alternative Seiten, wie default.php oder start.htm, welche man nicht angelegt hatte.
Ist eine Adresse bekannt, so können alle Inhalte (alle Seiten) danach gescannt werden.
 
Rhigster

Rhigster

ErklärBär

AW: Gehackte Seite?

Janda schrieb:
Mmh, also mir ist aufgefallen, dass bei direkter Eingabe des Links nicht auf diese Russen Seite weiter geleitet wird, wenn man aber bei google in der Suche am-as.eu ein gibt, verlinkt dieser auf die Seite.

Wo ran kann das denn liegen?
Zum Vergrößern anklicken....

Das ist ja spannend. Google wirft im Ergebnis deine Adresse mit "www" aus und diese wird dann umgeleitet. Auch wenn du www manuell mit eingibst kommt die Umleitung, ohne www läuft alles korrekt.

Das riecht immer noch nach einer kompromitierte .htaccess. Hast du auch alle Unterverzeichnisse durchgesehen?

Jetzt ist es vielleicht an der Zeit, doch mal den Provider zu kontaktieren. Ich kann mir zwar nicht denken, dass Strato hier die Sicherheitslücke ist, aber immerhin kannst du jetzt eine intelligente Frage stellen und um Hilfe bitten.
 
Janda

Janda

Insideout Genius

Moinsen, das ist doch zum Mäuse melken! Ich habe wirklich ALLES durchforstet und es findet sich einfach nichts...

Werde mal den Provider fragen... Wenn es Neuigkeiten gibt, melde ich mich!

Grüße und vielen lieben Dank!

Ich habe es!

Da die Seite ja eigentlich nicht mir gehört, sondern einem Bekannten, habe ich mal außerhalb von Joomla geschaut! Dort befindet sich in seinem alten .htaccess ein rewrite mit daydreamingagony.ru! Ich habe das gelöscht und wieder raufgezogen. Leider kommt immer noch die Weiterleitung. Liegt das am Cache meines Browsers? Problem ist nur, dass ich nun noch viel tiefer graben muss :-(

Rechte standen übrigens auf 444, was ja eigentlich besser nicht geht, oder sehe ich das falsch?

Grüße

MiDie htaccess sieht jetzt so aus?!

"


RewriteEngine On
RewriteCond %{HTTP_REFERER} ^.*(duckduckgo|ask|google|dogpile|archive|clusty|mahalo|mywebsearch|blekko|lycos|webcrawler|info|infospace|search|excite|goodsearch|altavista|live|msn|aol|yahoo|youtube|wikipedia|infoseek|bing|facebook|twitter|myspace|linkedin|flickr|deviantart|livejournal|tagged|badoo|mylife|ning|pinterest)\.(.*)
[R=301,L]

"

Meine Joomla htaccess sehen natürlich ganz anders aus, aber was ist das denn?

Grüße


Edit: sry für den dreifach Post
 
Zuletzt bearbeitet von einem Moderator:
Rhigster

Rhigster

ErklärBär

AW: Gehackte Seite?

Wenn da ein Script/Hack am Werk ist, kann/wird die .htaccess ständig neu geschrieben werden. So ein Hack erhält sich selbst am Leben.
 
Janda

Janda

Insideout Genius

Habe ich bereits bemerkt, die sind schon wieder drin. Also Strato an weisen, alles platt zu machen und neu auf setzen, oder?

Gesendet von meinem HTC One S mit Tapatalk 2
 
Bilder bitte hier hochladen und danach über das Bild-Icon (Direktlink vorher kopieren) platzieren.
Antworten auf deine Fragen:
Neues Thema erstellen

Willkommen auf PSD-Tutorials.de

In unseren Foren vernetzt du dich mit anderen Personen, um dich rund um die Themen Fotografie, Grafik, Gestaltung, Bildbearbeitung und 3D auszutauschen. Außerdem schalten wir für dich regelmäßig kostenlose Inhalte frei. Liebe Grüße senden dir die PSD-Gründer Stefan und Matthias Petri aus Waren an der Müritz. Hier erfährst du mehr über uns.

Stefan und Matthias Petri von PSD-Tutorials.de

Nächster neuer Gratisinhalt

03
Stunden
:
:
25
Minuten
:
:
19
Sekunden
Zu den Gratis-Inhalten

Neueste Themen & Antworten

Flatrate für Tutorials, Assets, Vorlagen

Zurzeit aktive Besucher

Gesamt: 262 (Mitglieder: 4, Gäste: 258)
Robots: 826

Statistik des Forums

Themen
118.615
Beiträge
1.538.352
Mitglieder
67.527
Neuestes Mitglied
Christian Eidelloth
Oben