Meine Seiten wurden gehackt!
-
- Beiträge: 76
- Registriert: Sa 31. Jul 2010, 09:02
Meine Seiten wurden gehackt!
Hallo zusammen
Seit gestern bin ich fast am verzweifeln. Gestern wurden unsere sämtlichen Seiten gehackt (siehe: http://www.mein-shop.com). Eigenartig dabei ist, dass nicht nur unser alter xtc Shop basierend auf Version 3.0.4 SP2.1 gehackt wurde, sondern auch die neuste Webs Version welche im Unterverzeichnis http://www.mein-shop.com/webs liegt. Mein Provider scheint irgendwie komplett überfordert zu sein, da wir offenbar nicht die einzigen geschädigten sind.
Weiss hier eventuell jemand wie ich dieses Problem wieder in den Griff bekomme?
Seit gestern bin ich fast am verzweifeln. Gestern wurden unsere sämtlichen Seiten gehackt (siehe: http://www.mein-shop.com). Eigenartig dabei ist, dass nicht nur unser alter xtc Shop basierend auf Version 3.0.4 SP2.1 gehackt wurde, sondern auch die neuste Webs Version welche im Unterverzeichnis http://www.mein-shop.com/webs liegt. Mein Provider scheint irgendwie komplett überfordert zu sein, da wir offenbar nicht die einzigen geschädigten sind.
Weiss hier eventuell jemand wie ich dieses Problem wieder in den Griff bekomme?
Zuletzt geändert von Big Cheese am So 10. Apr 2011, 13:00, insgesamt 2-mal geändert.
Re: Meine Seiten wurden gehackt!
1. Alle Daten sichern (Shop-Dateien und Datenbank)
2. Log-Dateien sichern (FTP und HTTP)
3. Einen Experten dransetzen
Fragen:
1. Hattest Du immer alles Sicherheitsupdates eingespielt?
2. Hattest Du irgendwelche Erweiterungen ("Module") in die Shops eingebaut?
3. Welche anderen Kunden sind auch betroffen? Nur Shops? Nur xtc? Nur webs? Oder doch alles Mögliche? Das könnte Aufschluss darüber geben, in welcher Applikation die Sicherheitslücke evtl. besteht.
Deine aktuelle Meldung auf der Startseite, wird Deine Kunden übrigens sicher verschrecken. Das Vertrauen dürfte auf jeden Fall dahin sein.
2. Log-Dateien sichern (FTP und HTTP)
3. Einen Experten dransetzen
Fragen:
1. Hattest Du immer alles Sicherheitsupdates eingespielt?
2. Hattest Du irgendwelche Erweiterungen ("Module") in die Shops eingebaut?
3. Welche anderen Kunden sind auch betroffen? Nur Shops? Nur xtc? Nur webs? Oder doch alles Mögliche? Das könnte Aufschluss darüber geben, in welcher Applikation die Sicherheitslücke evtl. besteht.
Wenn ein Hacker erstmal Zugriff auf die Daten im Root-Verzeichnis hat, hat er Zugriff auf alles, was sich darin befindet. Dies lässt also nicht automatisch den Schluss zu, dass der Webs-Shop das Einfallstor ist.Eigenartig dabei ist, dass nicht nur unser alter xtc Shop basierend auf Version 3.0.4 SP2.1 gehackt wurde, sondern auch die neuste Webs Version welche im Unterverzeichnis http://www.engelis-naturshop.ch/webs liegt.
Deine aktuelle Meldung auf der Startseite, wird Deine Kunden übrigens sicher verschrecken. Das Vertrauen dürfte auf jeden Fall dahin sein.
-
- Beiträge: 76
- Registriert: Sa 31. Jul 2010, 09:02
Re: Meine Seiten wurden gehackt!
Das Problem ist, dass nicht nur der xtcommerce Shop gehackt wurde, sondern auch mein vbulletin Forum, der wordpress Blog etc. etc. Bei allen kommt die gleiche Eingangsseite. Ich habe mal per ftp alle Verzeichnisse meines Shops auf den Rechner geholt und bemerkt, dass die Hacker vermutlich über das dort ebenfalls installierte Programm mysqldumper eingebrochen sind. Von dort hatten sie natürlich leichtes Spiel alle Seiten zu manipulieren. Mein Provider versucht nun den alten Backup wieder einzuspielen. Bis dahin habe ich mal versucht die Quelle für die Umleitung der Domain zu finden. Doch irgendwie werde ich nicht schlau wie die das genau gemacht haben. Eigentlich ging ich davon aus, dass ich nur nach dem letzten Änderungsdatum suchen müsse. Die einzigen veränderten Dateien waren jedoch die des mysqldumpers. Dieses Verzeichnis habe ich nun mal komplett gelöscht. Die Seite wird jedoch nach wie vor auf die Hacker Seite umgeleitet. Als nächstes kontrollierte ich die .htaccess Datei, wo ich eine Umleitung vermutete. Diese scheint jedoch nicht betroffen zu sein. Wo könnte ich sonst noch suchen?
Re: Meine Seiten wurden gehackt!
Du hattest MySQlDumper in einem Unterordner Deiner nach Aussen verfügbaren Applikationen liegen?
Na Halleluja...
War das Verzeichnis denn wenigstens per htaccess gesichert?
Na Halleluja...
War das Verzeichnis denn wenigstens per htaccess gesichert?
Re: Meine Seiten wurden gehackt!
Wenn Ihr nicht die einzigen Betroffen seit, muss das ganze nicht an Deinen Shops liegen. (Allerdings kannst Du auch das Einfallstor für alle sein.)
Für Deine Kunden würde ich zunächst umgehend eine nette "Wartungsseite" aufsetzten. Die bitte auch einen passenden #503 HTTP Status Code ausliefert (damit nicht auch die SuMa's noch nervös werden).
Dann solltest Du - am besten in Abstimmung mit dem Provider - auch eine Anzeige gegen Unbekannt erstatten. Und Ihr musst das Einfallstor finden. Sonst installierst Du alles wieder und der Server ist direkt wieder gehackt.
Für Deine Kunden würde ich zunächst umgehend eine nette "Wartungsseite" aufsetzten. Die bitte auch einen passenden #503 HTTP Status Code ausliefert (damit nicht auch die SuMa's noch nervös werden).
Dann solltest Du - am besten in Abstimmung mit dem Provider - auch eine Anzeige gegen Unbekannt erstatten. Und Ihr musst das Einfallstor finden. Sonst installierst Du alles wieder und der Server ist direkt wieder gehackt.
Mein Shop: http://www.basteln-selbermachen.de
Re: Meine Seiten wurden gehackt!
Wenn der Provider kein Fail2Ban oder ähnliches installiert hatte, reicht bei "offenem" mysqldumper eine simple BruteForce Attacke aus. (Wie komplex war das Passwort?)
Du kannst auch noch in der Datenbank nach "<script" oder so suchen. Nicht das darüber die Weiterleitung ausgelöst wird. Passiert die Weiterleitung auch bei deaktiviertem JavaScript? Wenn Du kannst, zieht so eine Seite mal mit WGet und schau dir an, wie der Quellcode aussieht ...
Du kannst auch noch in der Datenbank nach "<script" oder so suchen. Nicht das darüber die Weiterleitung ausgelöst wird. Passiert die Weiterleitung auch bei deaktiviertem JavaScript? Wenn Du kannst, zieht so eine Seite mal mit WGet und schau dir an, wie der Quellcode aussieht ...
Mein Shop: http://www.basteln-selbermachen.de
-
- Beiträge: 76
- Registriert: Sa 31. Jul 2010, 09:02
Re: Meine Seiten wurden gehackt!
Ja, MySQLDumper befand sich in einem Ordner auf dem Hauptverzeichnis. Allerdings passwortgeschützt. Das war wohl sehr nachlässig.Du hattest MySQlDumper in einem Unterordner Deiner nach Aussen verfügbaren Applikationen liegen?
Die Info auf der Hauptseite habe ich wie von Doc Olson vorgeschlagen geändert. Aus dem Hackerangriff sind nun technische Probleme geworden. Wie mache ich das mit der #503 HTTP Status Seite am besten?Für Deine Kunden würde ich zunächst umgehend eine nette "Wartungsseite" aufsetzten. Die bitte auch einen passenden #503 HTTP Status Code ausliefert (damit nicht auch die SuMa's noch nervös werden).
Re: Meine Seiten wurden gehackt!
http://de.wikipedia.org/wiki/HTTP-Statu ... ver-Fehler
503 Service Unavailable
An den Anfang Deiner Wartungsseite:
503 Service Unavailable
An den Anfang Deiner Wartungsseite:
Code: Alles auswählen
<?php
header('HTTP/1.1 503 Service Temporarily Unavailable');
...
Mein Shop: http://www.basteln-selbermachen.de
Re: Meine Seiten wurden gehackt!
Wenn Du die modifizierten Stellen gefunden hast, bin ich sehr an den Daten interessiert. Vielleicht können wir noch Erfahrungen sammeln, um die Shop in Zukunft weiter abzusichern (auch wenn die Hacker nicht darüber eingedrungen sind) ...
Mein Shop: http://www.basteln-selbermachen.de
-
- Beiträge: 76
- Registriert: Sa 31. Jul 2010, 09:02
Re: Meine Seiten wurden gehackt!
Hallo Xantiva
Habe soeben mit dem Provider gesprochen. Offenbar sind die Hacker nicht über unsere Seite rein gekommen. Betroffen sind angeblich mehrere hundert Kunden.
Hier z.B. mal die \Images\product_images\info_images\
Habe soeben mit dem Provider gesprochen. Offenbar sind die Hacker nicht über unsere Seite rein gekommen. Betroffen sind angeblich mehrere hundert Kunden.
Hier z.B. mal die \Images\product_images\info_images\
Code: Alles auswählen
<html>
<head>
<title>HACKED By HEXB00T3R</title>
</head>
<body bgcolor=black>
<p align="center">
<img src="http://fatninjas.ca/wp-admin/images/hex.png"></p>
<p align="center">
<p align="center"><font color="#c0c0c0" size="2" face="courier new">Real Terrorist abd and Zionist israel - BOYCOTT ! Stop Supporting Baby Killers</font></p>
<p align="center"><font color="white" size="2" face="courier new">Ozenti Genclik Bir Hic Olarak Yok Olmaya Mahkumdur (=</font></p>
<p align="center"><font color="#blue" size="2" face="courier new">Priv Root Exploit Satislari Devam Ediyor..! (idroot@hotmail.com.tr)</font></p>
<p align="center"><font color="gray" size="2" face="tahoma">HACKED By HEXB00T3R - (Informatics Mafia)</font></p>
</html>