gehackt?

Ein CMSimple Support Forum für deutsch sprechende Nutzer und Entwickler
olape
Posts: 2731
Joined: Fri Mar 13, 2015 8:47 am
Contact:

Re: gehackt?

Post by olape » Wed Jan 24, 2018 8:37 am

albert wrote:
Wed Jan 24, 2018 8:01 am
leider verstehe ich da nur Bahnhof...
Muss ich dringend etwas tuen, und was?
https://www.heise.de/security/meldung/S ... 40321.html
Ist hier vielelicht etwas verständlicher.
Wenn Christoph recht hat, das hat er ja fast immer, dann bist du mit deiner PHP-Version auf der sicheren Seite egal ob als Modul oder CGI.
Ich würde aber trotz allem, immer wieder mal in die Logs reinschauen.
Gruß Olaf, Plugins for CMSimple_XH

Ich habe schon lange den Verdacht, dass so viele so eifrig auf Gender, Trans und Queer machen:
Weil sie für das Fachliche ganz einfach zu doof sind.

pergachris
Posts: 190
Joined: Fri Aug 31, 2012 9:28 pm
Location: Hemden (NRW)

Re: gehackt?

Post by pergachris » Wed Jan 24, 2018 10:29 am

Hallo,
kann ich mich hier mit einem Problem mit einklinken?

Ich habe gerade auch den Verdacht, dass da was passiert ist. Eigentlich bin ich mir da doch recht sicher.
Nur wie werde ich das Problem wieder los?

Meine Domain ist nicht mehr erreichbar.
Es erscheint nur noch: "Objekt nicht gefunden" Error 404

Wenn ich versuche meine meine Domain einem anderen Ordner zuzuordnen, das geht nicht. Egal was ich versuche. Auch wenn ich die Domain versuche komplett auf einen anderen Server umzuleiten, es ändert sich nichts.

Wenn ich versuche eine neue Subdomain anzulegen, erscheint immer eine Seite:
"Einstein 05 Weinstein 93"

Hat das auch schon mal jemand erlebt?

In meinem Verzeichnis vom Provider (html), dort wo alle Seiten abgelegt werden, habe ich zwei unbekannte Dateien gefunden. Die habe ich gelöscht.

Was könnte man selber versuchen?

Kontakt zum Provider habe ich versucht aufzunehmen, aber noch keine Rückmeldung.

cmb
Posts: 14225
Joined: Tue Jun 21, 2011 11:04 am
Location: Bingen, RLP, DE
Contact:

Re: gehackt?

Post by cmb » Wed Jan 24, 2018 10:49 am

pergachris wrote:
Wed Jan 24, 2018 10:29 am
In meinem Verzeichnis vom Provider (html), dort wo alle Seiten abgelegt werden, habe ich zwei unbekannte Dateien gefunden. Die habe ich gelöscht.
Leider gut möglich, dass noch weitere Dateien hinzugefügt und/oder manipuliert wurden. Ich würde wohl per FTP das gesamte html/ Verzeichnis sichern, und dann auf dem Server komplett löschen. Dann schnell eine kleine index.htm erstellen und hochladen, und prüfen, ob die per Browser abgerufen werden kann. Falls nein, wird wohl nur der Provider weiter helfen können. Falls ja, dann ein älteres Backup hoch laden, und wieder prüfen, ob "alles" funktioniert.

Und dann am besten etwas Ursachenforschung betreiben; es kann durchaus sein, dass der Angriff durch eine Sicherheitslücke erfolgte, und sich wiederholt. Du könntest z.B. ein Diff zwischen einem älteren Backup und eben dem aktuellsten Backup durchführen, und prüfen, welche weiteren Dateien betroffen waren. Die Änderungen könnten Hinweise geben, wie die Site gehackt wurde. Auch googeln nach den Dateinamen der beiden bereits gelöschten Dateien könnte hilfreich sein. Und auch ein Blick in die Server-Access-Logs könnte Informationen liefern.
Christoph M. Becker – Plugins for CMSimple_XH

olape
Posts: 2731
Joined: Fri Mar 13, 2015 8:47 am
Contact:

Re: gehackt?

Post by olape » Wed Jan 24, 2018 11:02 am

pergachris wrote:
Wed Jan 24, 2018 10:29 am
Wenn ich versuche meine meine Domain einem anderen Ordner zuzuordnen, das geht nicht. Egal was ich versuche. Auch wenn ich die Domain versuche komplett auf einen anderen Server umzuleiten, es ändert sich nichts.

Wenn ich versuche eine neue Subdomain anzulegen, erscheint immer eine Seite:
"Einstein 05 Weinstein 93"
Wobei, das hört sich nicht unbedingt nach EINER gehackten Website an.
Die Oberfläche, die der Provider anbietet sollte trotz gehackte Site noch funktionieren.
Hier würde ich mal den Support bemühen.
Gruß Olaf, Plugins for CMSimple_XH

Ich habe schon lange den Verdacht, dass so viele so eifrig auf Gender, Trans und Queer machen:
Weil sie für das Fachliche ganz einfach zu doof sind.

pergachris
Posts: 190
Joined: Fri Aug 31, 2012 9:28 pm
Location: Hemden (NRW)

Re: gehackt?

Post by pergachris » Wed Jan 24, 2018 11:18 am

Tja, ich bekomme noch keine Rückmeldung vom Provider.

Ich bin aber nicht der Einzigste mit dem Problem.
http://soloth.de/

Hier erscheint auch diese Seite. Alles was ich neue anlege, es erscheint nur noch diese Seite.

Ob das ein Providerproblem ist? Ich habe festgestellt, dass die Domain soloth.de beim gleichen Provider ist.

Wenn ich meine Seite versuche aufzurufen, nicht über die Domain, sondern über die lange Adresse vom Provider bis in den Ordner hinein, wie z.B:
web192.s0..............de/cmsimple_xh
dann kann ich meine Seite aufrufen.

olape
Posts: 2731
Joined: Fri Mar 13, 2015 8:47 am
Contact:

Re: gehackt?

Post by olape » Wed Jan 24, 2018 11:34 am

pergachris wrote:
Wed Jan 24, 2018 11:18 am
Ich bin aber nicht der Einzigste mit dem Problem.
http://soloth.de/

Hier erscheint auch diese Seite. Alles was ich neue anlege, es erscheint nur noch diese Seite.
Dann scheint es definitiv ein Providerproblem zu sein.
Egal, wo/über welche Site/Sicherheitslücke o.ä. das passiert ist, wenn es mehrere verschiedene Accounts betrifft muss der Provider handeln.
pergachris wrote:
Wed Jan 24, 2018 11:18 am
Wenn ich meine Seite versuche aufzurufen, nicht über die Domain, sondern über die lange Adresse vom Provider bis in den Ordner hinein, wie z.B:
web192.s0..............de/cmsimple_xh
dann kann ich meine Seite aufrufen.
http://soloth.de/ wird aufgelöst zu einer IP die zu Speicherzentrum Gmbh gehört.
Dann scheint es erst mal kein DNS-Problem zu sein.
Gruß Olaf, Plugins for CMSimple_XH

Ich habe schon lange den Verdacht, dass so viele so eifrig auf Gender, Trans und Queer machen:
Weil sie für das Fachliche ganz einfach zu doof sind.

cmb
Posts: 14225
Joined: Tue Jun 21, 2011 11:04 am
Location: Bingen, RLP, DE
Contact:

Re: gehackt?

Post by cmb » Wed Jan 24, 2018 1:12 pm

olape wrote:
Wed Jan 24, 2018 11:34 am
Egal, wo/über welche Site/Sicherheitslücke o.ä. das passiert ist, wenn es mehrere verschiedene Accounts betrifft muss der Provider handeln.
Denke ich auch, denn ich konnte auf die Schnelle noch zwei weitere bei Speicherzentrum GmbH gehostete Sites finden, die die gleiche Seite anzeigen; eine davon eben diejenige, die als Überschrift über dem Zitat genannt wird.
Christoph M. Becker – Plugins for CMSimple_XH

Post Reply