albert wrote:Holger wrote:@albert: Logs durchsucht? Hoster gefragt?
gefragt ja, aber logs war bisher nicht aktiviert.
Über Nacht ist die html wieder rein gekommen, hab sie wieder gelöscht. Offenbar sind keine weiteren Emails verschickt worden. Nachdem alle Zugangsdaten geändert sind werd ich auf CMSimple vers. 1.7 in ein leeres neues Verzeichnis upgraden und damit müsste die Sache wohl erledigt sein - hoffentlich.
Als ganz schnellen Test könntest Du auch einfach von der Installation ein Backup ziehen und dann ALLES löschen. Danach eine index.html, mit dem Hinweis das die Seite bald wieder online ist, als
einzige Datei auf den Server legen.
Wenn dann über Nacht wieder etwas eingeschleust wird kannst Du sicher sein, dass es nicht an den Komponenten Deiner Installation liegt / lag. Was nicht bedeuten soll, dass jemand irgendwie nicht doch an die die Zugangsdaten des Accounts gekommen ist. Ehrlich gesagt glaube ich das aber eher nicht. Angriffe mit den Auswirkungen wie bei Dir laufen eher automatisiert ab. Die Seite von Albert Wilhelm wird nicht das bevorzugte Ziel von Hackern sein. Auch die Verbreitung von CMSimple_XH spricht gegen ein lohnendes Ziel für Hacker.
Aufräumen musst Du jetzt eh. Und es wäre schon wichtig zu wissen, auf welchem Weg der Code auf den Server kam.
Aber das der Hoster keine Access-Logs hat, kann ich nicht glauben. Einsicht / Aufbereitung der Logs für Deinen Account / Deine Zwecke, ist da wohl gemeint gewesen. Das kann man i.d.R. im ControlPanel selber einstellen.
Was genau hat der Hoster denn geantwortet? Wer ist es denn?
Ich kann nicht wirklich glauben, dass solch ein Ticket ernsthaft
nur mit der Antwort "sorry, Logs waren deaktiviert" beantwortet wird. Der Provider selbst sollte ein Interesse daran haben, dass seine Infrastruktur nicht missbräuchlich verwendet wird. Aber ich kann mir schon einen Provider vorstellen, bei dem so eine Antwort möglich wäre...
cmss wrote:Vom XH-CMS kann der Hacker doch nur Spam über eingeschleusten Code senden.
XH wird auf einem Server mit PHP-Unterstützung installiert. Gelingt es (PHP-) Code - wie in Alberst Beispiel - einzuschleusen, kann der Angreifer alles "machen" was mit der installierten PHP-Version / Konfiguration möglich ist.
cmss wrote:Eine Seite hacken geschieht über den Provider oder über Anhängsel an die URL.
Mehr als die URL hat der Angreifer erst einmal nicht, stimmt.
Das ganze Provider gehackt werden, geschieht zum Glück eher selten.