wissensdurstig
Hallo zusammen,
ich habe seit kurzem Probleme mit illegalen Aktivitäten auf meinem Webspace. Ich habe keine Ahung, woher die Angriffe kommen, also welche Sicherheitslücke genutzt wurde, noch wie ich das Problem in den Griff bekomme. Ich hoffe, dass mir hier jemand etwas weiterhelfen kann. Bin für jede Hilfe sehr dankbar.
Zuerst einmal hier die Mail von meinem Provider:
Zuvor war ein anderes Verzeichnis einer komplett unterschiedlichen Domain betroffen. Es scheint, als ob der Hacker von einem Verzeichnis in das andere wechselt. Hier die Mail bezüglich des vorhergegangenen Hacker-Angriffs:
Grudnsätzlich laufen auf meinem Account mehrere Domains. Einiges mit CMS-Systemen, wie Wordpress und Magento, aber eine "befallene" Domain, wie z.B. die oben genannte "media" besteht jediglich aus einigen HTML-Seiten mit ein paar wenigen Skripten.
Kann mir jemand weiterhelfen, wie ich erkennen kann welche Dateien infiziert sind, wie ich die wieder bereinigen kann und natürlich auch wie ich herausfinden kann wo die Sicherheitslücke ist, damit ich dieses Problem beheben kann. Vielleicht gibt es ja Tools, die checken können, welchs Dateien Verbindungen zu externen Servern aufbauen? Ist ja sicherlich kein Einzelfall.
Außerdem wurde im letzten Absatz erwähnt, dass mein Provider das Problem zu einem Stundenlohn von 60€ lösen könnte.
Kann man ungefähr abschätzen wie lange so eine Reparatur dauern könnte? Wenns nur 'ne Stunde oder so wär, würde ich das gerne in Kauf nehmen.
Vielen Dank für eure Hilfe!
ich habe seit kurzem Probleme mit illegalen Aktivitäten auf meinem Webspace. Ich habe keine Ahung, woher die Angriffe kommen, also welche Sicherheitslücke genutzt wurde, noch wie ich das Problem in den Griff bekomme. Ich hoffe, dass mir hier jemand etwas weiterhelfen kann. Bin für jede Hilfe sehr dankbar.
Zuerst einmal hier die Mail von meinem Provider:
Das ist nun bereits das 3mal in kürzester Zeit, dass so etwas vorkommt, deswegen auch das "erneut" in der Anschrift."Sehr geehrte Damen und Herren,
leider mussten wir erneut feststellen, dass Ihr Webspace fehlerhafte Scripte ausführt. Anbei die Details:
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME perl 25951 web12 cwd DIR 0,82 4096 23658548 /var/www/web12/html/schen/magento
perl 25951 web12 rtd DIR 0,82 4096 3375163 / perl 25951 web12 txt REG 0,82 1254244 4786918 /usr/bin/perl perl 25951 web12 mem REG 0,82 11616 55186665
Wir mussten die entsprechende Domain sperren.
Das Script wurde gestern erzeugt:
/var/www/web12/html/schen/magento# ls -lat|head -4 total 388 drwxr-xr-x 24 web12 web12 4096 Feb 27 13:08 .
-rw------- 1 web12 web12 47853 Feb 27 13:08 tom.txt
Wir bitten Sie schnellstmöglich das Problem zu beheben, da wir ansonsten den kompletten Account sperren müssen. "
Zuvor war ein anderes Verzeichnis einer komplett unterschiedlichen Domain betroffen. Es scheint, als ob der Hacker von einem Verzeichnis in das andere wechselt. Hier die Mail bezüglich des vorhergegangenen Hacker-Angriffs:
"Sehr geehrte Damen und Herren,
wir sind darauf aufmerksam geworden, dass auf Ihrem Webspace fehlerhafte Skripte ausgeführt werden, die den reibungslosen Betrieb des Servers stören.
Die Scripte liegen unter:
/var/www/web12/html/media/Scripts/_notes
Bitte löschen Sie das gesamte System (CMS etc.), dass auf diesen Ordner Zugriff hat.
In den meisten Fällen entstehen solche Probleme durch unsichere PHP-Skripte und CGIs. Oft reicht es aus, die eingeschleusten Seiten (nach Erstellung einer Kopie!) zu entf
ernen und die unsicheren Skripte zu löschen oder abzusichern. Sie sollten also zunächst Ihr System nach Schwachstellen durchsuchen und herausfinden, auf welchem Wege diese Seiten eingeschleust wurden.
Manchmal tritt dieses Phänomen auch auf, wenn Ihr Rechnern von Angreifern übernommen (vulgo: "gehackt") wurde. Dies ist z.B. möglich, wenn Sicherheitslücken in CMS-Systemen bestehen oder die Zugangsdaten nicht ausreichend abgesichert wurden.
Bitte antworten Sie sobald wie möglich auf diese E-Mail, wenn Sie das Problem selbstständig beheben oder anderweitig klären konnten.
Wir bitten IN JEDEM Fall um eine RÜCKMELDUNG!
Sollten Sie unsere Unterstützung bei der Ursachensuche benötigen, beauftragen Sie dies bitte mit einem Ticket. Eine solche Unterstützung ist in der Regel kostenpflichtig; wir berechnen 15 EUR pro 15 Minuten Zeitaufwand. Vorab kann nicht genau gesagt werden, wie lange eine
Analyse dauern wird und ob diese erfolgreich sein wird. Bitte geben Sie daher ein Zeitlimit an.
Wenn wir keine Rückmeldung von Ihnen erhalten, sind wir bei Anhalten des Problems gezwungen, den Account (auch zu Ihrer Sicherheit) vorübergehend vom Netz zu nehmen."
Grudnsätzlich laufen auf meinem Account mehrere Domains. Einiges mit CMS-Systemen, wie Wordpress und Magento, aber eine "befallene" Domain, wie z.B. die oben genannte "media" besteht jediglich aus einigen HTML-Seiten mit ein paar wenigen Skripten.
Kann mir jemand weiterhelfen, wie ich erkennen kann welche Dateien infiziert sind, wie ich die wieder bereinigen kann und natürlich auch wie ich herausfinden kann wo die Sicherheitslücke ist, damit ich dieses Problem beheben kann. Vielleicht gibt es ja Tools, die checken können, welchs Dateien Verbindungen zu externen Servern aufbauen? Ist ja sicherlich kein Einzelfall.
Außerdem wurde im letzten Absatz erwähnt, dass mein Provider das Problem zu einem Stundenlohn von 60€ lösen könnte.
Kann man ungefähr abschätzen wie lange so eine Reparatur dauern könnte? Wenns nur 'ne Stunde oder so wär, würde ich das gerne in Kauf nehmen.
Vielen Dank für eure Hilfe!