Meine Webseite wurde gehackt

[PabbaApfel]

Hey ATler,
brauche dieses Mal ziemlich schnell eure Hilfe, da leider auch eine Gefahr für alle Leute besteht, die unsere Website besuchen...

Ein paar Infos vorab
Ich spiel in einer Band, deren Website ich selbst verwalte (nichts Großartiges, eher ein Blog, welcher mit iWeb erstellt wurde). Das Hostingpaket habe ich bei goneo geordert. Dort ist auch die Domain (www.thecanvasdivine.de) registriert.

Das Problem
Es sieht so aus, als das unsere Seite gehackt worden ist.
Gehe ich direkt auf unsere Seite (www.thecanvasdivine.de), so erscheint diese Mitteilung in Safari (siehe Bild).

Wenn ich jedoch eine Unterseite (z.B. www.thecanvasdivine.de/Impressum) oder thecanvasdivine.de (also ohne www. zuvor) besuche, dann werde ich sofort auf eine russische Seite geleitet, welche einen Trojaner auf den Rechner installiert.
Unser Gitarrist hat dies leider auf ziemlich leidliche Weiße erfahren müsse...
Sein Virenscanner zeigte die Datei "bifrose.cdxo" an.

Das habe ich bis jetzt unternommen...
Als erstes habe ich unsere komplette Homepage von dem FTP-Server bei goneo genommen.
Dann habe ich geschaut, ob mir im Kundencenter von Goneo etwas komischen auffällt.
Leider habe ich dort nichts entdeckt...

Was soll ich machen?
Bin im Endeffekt ziemlich ratlos, da ich mich mit Homepages bzw. mit der Verwaltung nicht sehr gut auskenne.
Auf was soll ich den achten und wie kann es sein, dass die Adresse immer auf die russische Seite weiterleitet?
Ich bin leider auch direkt auf die Seite weitergeleitet worden, als ich mir die Unterseiten unserer Homepage ansehen wollte. Muss ich jetzt damit rechnen, dass ich auch diesen Trojaner auf dem Mac haben. Soweit ich weiß, sind Viren/Trojaner für den Mac ja nicht sehr verbreitet... Soll ich mir einen Virenscanner (obwohl davon immer abgeraten wird) besorgen?

Vielen Dank für eure Hilfe!

 

[Gemeinderat]

Also was ich bis jetzt rausfinden konnte ist, dass es sich hier wohl um einen W32 (Windows) Virus/Wurm handelt.
Sollte also auf einem Unix System wie dem Mac nicht zum laufen kommen ergo auch nix machen können.

ICh denke mal er hat deinen Blog / deine Homepage nicht "als solche" gehackt sondern eher die datenbank deines hosters angezapft und dann seinen inhalt aufgespielt. Ist mir bei meinem Forum mal passiert.
Mit Musik und allem^^

Hast du noch ein backup deiner homepage + deren datenbank? (SQL?).

Ruf bei deinem Hoster an und schildere ihm deinen Fall. Denn der Hoster ist verantwortlich für die Sicherheit der Datenbank denn die liegt bei ihm und nicht bei dir soweit ich das sehe^^

Und er hat ja des Hosters Server gehackt und nicht deinen Mac

Also:

Backup aufspielen oder die Homepage neu raufmachen
Vorher aber die Datenbank cleanen bzw. ein backup raufmachen (der Hoster müsste doch laufend backups seiner datenbanken machen?)

Am besten Schritt 1: Anrufen!

 

[PabbaApfel]

Ich danke dir schon mal für deine Hilfe. Apfeltalk ist echt Gold wert!
Werde meine Hoster auf jeden Fall jetzt auch mal eine e-mail schreibe bzw. anrufen...
Um die Daten geht es mir eigentlich gar nicht. Die sind auf meinem Mac gespeichert und können jeder Zeit wieder hochgeladen werden. Will halt nur nicht, dass sich die Besuch mit diesem scheiß Trojaner infizieren (entschuldige meine vulgäre Sprachweise).
Wenn aber jemand noch einen Tipp hat, wie ich diese Umleitung entferne bin ich sehr dankbar. Umso schnell das passiert, desto weniger Leute infizieren sich.
Bin gerade auch am überlegen, ob ich bei der Polizei ein Anzeige gegen Unbekannt erstatte. Dies wird wahrscheinlich nicht viel bringen, aber andererseits ist es auch oft so, dass die Hacker nicht geschnappt werden können, da fast niemand eine Anzeige erstattet und damit zu wenige Daten vorliegen um sie zurückzuverfolgen.

Nochmals: Wenn jemand noch eine Idee hat, wie ich diesem Spuck ein Ende bereite, hat was gut bei mir

 

[PabbaApfel]

Habe eine Datenbank gefunden, welche ich ganz sicher nicht angelegt habe.
Hab jetzt leider nur keine Ahnung davon, wie ich diese Datenbank löschen kann...
Das Datenbank-Admin- Tool heißt "MyPHPAdmin".
Wenn ich mich dort mit dem Benutzername der Datenbank und dessen Kennwort anmelde, dann öffnet sich eine Art Benutzeroberfläche, welche ich leider nicht verstehe, da ich überhaupt keine Ahnung von dieser Thematik besitze.
Vielleicht kann mit jemand eine genau Anleitung schicken, wie ich die Datenbank entferne. Vermute nämlich sehr stark, dass alles mit dieser zusammen hängt.
Kann aber auch gerne die LogIn Daten per PN schicken, damit es vielleicht jemand für mich erledigt.

Dank euch!

 

[Gemeinderat]

An und für sich - wenns jetz kein Profi-Hacker ist^^ - hinterlässt auch der seine IP irgendwo oder sonstwas.
Die kann man tracken (verfolgen) und zum ISP (Internetprovider) zurückverfolgen.
Wird Anzeige erstattet, muss der Internetprovider die Daten über die IP -> Name, Adresse usw. bekanntgeben.

Zum Thema umleiten.
Normaleweise beginnt jede Homepage mit einer index.php oder index.htm / index.html

diese datei ist sozusagen immer das erste was kommt wenn man eine URL eingibt (zb. bei apfeltalk.de kommt auch eine bestimmte seite immer als erstes) und genau so ist es bei dir sicher auch. Diese Index-Seite (liegt im root verzeichnis, das heißt beim FTP einfach an oberster stelle in der Ordner Hierarchie) muss manipuliert sein bzw. den schadhaften code zur Weiterleitung zum Wurm haben.

Ersetzt oder änderst du diese datei sollte es passen.
Zb. eine selbsterstellte textdatei abgespeichert mit demselben namen wie die jetzige datei, müsste schon reichen.

Aber unbedingt mit dem Hoster reden!

 

[Gemeinderat]

ich kenne phpmyadmin gut. An und für sich muss doch dein hoster eine eigene platform haben, mit der du datenbanken erstellen und löschen/deaktivieren kannst.

Das solltest du mal versuchen bzw. nachschauen und das ggf. mit dem Hoster besprechen.

Aber die Datenbank alleine wird wohl nicht reichen? Wenn die originale noch da ist, dann hat er auch deinem "Blog" sozusagen "gesagt": "Hol die daten jetzt aus DER datenbank und nicht mehr aus der andern" <- du verstehst?

Das heißt die PHP Dateien (sind ganz sicher .php dateien wenn du mit SQL - Datenbanken zu tun hast) wurden sicher auch sabotiert oder irgendwas wurde da gemacht.

Generell empfehle ich zusätzlich zu normalen backups das programm mysqldumper.
Das ist ein Programm, dass du aufm FTP installierst und das dann zugriff auf deine datenbanken nimmt und immer oder wann du es willst backups auf den FTP lädt, die du dann runtersaugen kannst.
Machst du das täglich kann dir kein großer schaden enstehen.
Mit dem Programm ersetzt du die kaputte/sabotierte Datenbank mit dem letzten Backup und das wars


PS: Da es also an den Datenbanken liegt, ist dein Hoster sehr wohl verantwortlich bzw. auf jeden Fall zu informieren. Sind ja seine Server, die da gehackt wurden und der Hoster muss dann schauen, was er tut!

 

[PabbaApfel]

Also soll ich am besten jetzt gar nichts machen, bis auf das, dass ich dem Hoster eine e-mail schreibe...
Nur was soll ich ihm schreiben? Einfach das, was ich hier in AT gepostet habe?
Kenne mich leider gar nicht aus und bin in dieses Dingen auch ein wenig schwer von Verstand (studiere Soziologie...).
Vielleicht kannst du mir sagen, was ich schreiben soll.

Nochmals, vielen vielen Dank!

P.S:
So sieht das Ganze von der Oberfläche her aus.
Vielleicht kannst du mich ja durchführen...
Oberfläche

 

[Gemeinderat]

Also die Oberfläche ist mir so schon geläufig, aber ich habe sie lange nicht mehr benutzt.
Ich seh zwar, dass da unten eh DATENBANKEN steht, ein klick darauf offenbart vielleicht mehr aber der Schaden ist eh schon da.
Ich würde dem Hoster einfach schreiben, was passiert ist. Wie du das schreibst ist egal. Wichtig ist nur, dass er weiß, dass dein Blog oder deine Homepage halt gehackt wurde und das du annimmst, dass dieser Hacker sich an der Datenbank vergangen hat.
Da die Datenbank sache des Hosters ist, bitte ihn, sich das mal anzusehen und sein Statement abzugeben (und das weitere vorgehen).
Auch sag ihm ruhig, dass du weißt, dass da ein Wurm / Trojaner eingebettet ist auf der Seite.

Im schlimmsten Fall kann der Hoster ganz sicher die Datenbank zurücksetzen (=löschen) und du kannst dein System neu aufsetzen (also es von vorne beginnen lassen.)

Nur die in den Datenbanken gespeicherten Daten sind - ohne Backup - verloren.

Auch kanns dir (wie mir) passieren, dass du nochmals gehackt wirst.
Aber meistens greifen die nie ein 2. mal an!

 

[implied]

Hi,

Gemeinderat hat ja schon gut gesprochen ... Hugh

Vorab: Wenn Du mit einem CMS wie Joomla, Wordpress o.ä. arbeitest, benötigst Du zwingend eine MySQL, und das verwaltest Du halt eben mit phpmyadmin.
Mit iWeb benötigst Du das imho nicht, denke das ist "nur" html. Dennoch kann es sein, daß in Deinem Paket bei Deinem Hoster die SQL mit dabei ist, ist ja mittlerweile eher Standard (außer bei den freundlichen Herren der Terrorcom)

Zu Deinem Fall: hatte auch mal so was.

Es hat jemand den Hoster gecrackt, aber nicht über phpmyadmin in der Datenbank irgendwas angestellt oder gar eine neue angelegt, sondern ganz profan code in meine header.php gebracht, ich weiß nicht mehr genau aber die index.php hatte glaube ich auch was.
Und der Hammer war, die Seite war gerade erst ein paar Stunden drauf.

Nun, wenn man sich mit den 2 Dateien ein wenig auskennt erkennt mal schnell, welcher code eingefügt wurde. Bei mir hat es dann ausgereicht den Hoster zu informieren und die 2 "verseuchten" .php gegen die aus meiner Sicherung auszutauschen.

Habe das aber auch mit "Hilfe" relativ schnell entdeckt. Bei Aufruf wurde auch irgendeine russische Seite gerufen. Zur Sicherheit scannte ich wegen des offensichtlichen hackings der Site einfach den Rechner mit ClamXav, das die schadhafte Stelle in den .php meiner letzten Sicherung tatsächlich erkannte. Hatte zwar zwischenzeitlich den "Schädling" schon ausgemacht, aber so wusste ich dann, daß nur die letzte Sicherung beschädigt war. Ich hatte in der Entwicklungsphase der Site öfter Sicherungen gemacht, so daß ein Austausch der 2 Dateien reibungslos verlief, die Datenbankstruktur war in Ordnung und die betroffene Seite wurde seitdem auch nicht mehr gehackt.

In Deinem Fall mit ´ner iWeb-Site sollte das dann eine index.htm sein, aber mit iWeb habe ich noch keine Inhalte veröffentlicht.
Allemal solltest Du dann ja das Projekt in iWeb gespeichert haben und kannst es jederzeit wieder exportieren und hochladen, somit die alten Dateien überschreiben.
Wenn dann die Seite wieder normal aufzurufen ist und auch die Pfadangaben die richtigen sind, ist es doch in Ordnung, denn der Virus kommt ja nur in der Weiterleitung und ist imho nicht eingebunden auf Deiner Seite.

Hoffe, Du bekommst es so auf die Reihe.

 

[MaChris]

Ich kann mich meinen Vorrednern nur anschließen.
Du solltest

• Deinen Hoster kontaktieren (Telefon & Mail) und diesen um Unterstützung bitten sowie gemeinsam das weitere Vorgehen abstimmen.
• Anzeige bei der Polizei erstatten und hierfür soviel wie möglich an Dokumentation mitnehmen (z. B. Schriftwechsel mit Hoster, Screenshots der Warnmitteilung sowie der Umleitung auf die russische Adresse etc., ggf. Quellcode Deiner Seite auf Papier, evtl. weitere von der Polizei geforderte Unterlagen)
  Dies zu Deinem eigenen Schutz, falls jemand um die Kurve kommt und behauptet, sich durch den Besuch Deiner Seite Malware eingefangen zu haben. Wäre von Vorteil, wenn Du dann sagen kannst, der Vorfall ist bereits der Polizei bekannt.
• (abgestimmt mit der Polizei, falls die sich den Rechner ansehen möchten) den Quellcode Deiner Seite überprüfen (lassen), z. B. in dem Du den aktuellen Stand mit einer hoffentlich vorhandenen Sicherung vergleichst.
• die Seite vorübergehend vom Netz nehmen (zum Zeitpunkt dieses Posts war sie nämlich noch erreichbar, inkl. Umleitung).
• das oder die FTP-Kennwörter für den Upload beim Hoster sofort ändern (mind. 10 alphanumerische (Sonder-) Zeichen).
• überprüfen, wann Du das letzte Mal von welchem Rechner aus, an der Webseite gearbeitet hast. Eventuell war das auch mal von einem Windows-PC aus, der bereits mit einem Trojanischen Pferd infiziert war, welches die FTP-Zugangsdaten ausspioniert hat.

 

[Gemeinderat]

Eben ... an und für sich müsste es reichen, die betroffnen PHP Dateien zu tauschen und ein datenbank backup einzuspielen.
Sichert man diese sachen alle paar Tage kann der machen was er will.
SO habs ich gemacht (mit MySQLDumper) und dann war ruhe

 

[Mikrolisk]

Ich weiß schon, warum ich für meine Webseite keine SQL-Datenbank verwende, ich bekomme auch jeden Versuch eines SQL-Hacks mit... manche sind da echt hartnäckig! Ich drücke dir zumindest alle Daumen, daß Deine Seite bald wieder "gesäubert" online gehen kann!

Ich würde zumindest in Deinem Fall die Datenbank platt machen und dann das Backup einspielen, so sollte eigentlich erst einmal alles wieder sauber sein. Und die Paßwörter würde ich schnell ändern!

Viele Grüße,
Andreas

 

[Gemeinderat]

Und die Zugriffsrechte (CHMOD) der einzelnen php-dateien auf dem FTP (index.php usw.) was halt da drauf ist, auch abändern, dass da keine schreib/änderungsrechte da sind!

 

[holder10]

1. Ruf bei Goneo an - auf eine E-Mail Stabdardantwort von denen musst Du (erfahrungsgemäß) Tage warten.
2. Laut dem Screenshot besitzt Du eine (vermutlich standardmäßig) MySQL Datenbank - diese ist aber leer. Deine Webseite macht davon also nicht Gebrauch und es kann mit der MySQL Datenbank auch nicht zusammenhängen.
3. Die Datenbank ist eben so wenig/viel wie die Dateien selbst (die Du über FTP erreichen kannst) Sache des Hosters.
4. Da auch die Impressums-Seite verseucht scheint, würde ich ausschließen, dass der Angriff nur auf die index.html/.php erfolgt ist.
5. Generell sollte man Backups machen - am besten täglich, mind. wohl jede Woche. Kommt auch drauf an wie oft der Inhalt aktualisiert wird.
6. Such Dir am besten einen anderen Hoster. Goneo hat einen echten miesen Support und das Preis/Leistungsverhältnis ist auch nicht mehr extrem genial. All-Inkl.com ist sehr zu empfehlen - wirst Du von vielen Leuten hören. Kompetente E-Mail Antworten an Weihnachten um 2 Uhr morgens innerhalb von 15 Minuten sind da normal. Sie helfen Dir vermutlich auch mit dem umziehen.
7. Es kann eventuell sein, dass sich der Virus auf Deinem Mac befindet - allerdings "funktioniert" er nicht, da er auf Windows-Systeme ausgelegt ist. Es kann aber trotzdem gut sein, dass Du den Virus (unwissentlich) an Windows-Computer weitergeben kannst, zum Beispiel via USB-Stick. Ist mir persönlich letztens passiert, genaueres kann ich dazu aber auch nicht sagen. Eine Testversion von einem Virenschutzprogramm wie Kaspersky würde ich mir also mal holen.
8. Du solltest sofort alle mit dem Webspace in Verbindung stehenden Kennwörter ändern. Kundenbereich, FTP, MySQL Datenbanken - alles, wo eines generiert wurde oder Du eines angegeben hast. Aktuell weiß man schließlich nicht, wie der Hacker Zugriff bekommen hat. Solltest Du die Passwörter noch auf anderen Seiten verwenden, würde ich sie sicherheitshalber auch dort ändern. Kann schließlich sein, dass er Dein Kennwort kennt - und damit ggf. auch Dein PayPal Account nutzen kann oder was weiß ich. Sicher ist sicher.
9. Zugriffsrechte/CHMod auch überprüfen, wer auf die Dateien Zugriff hat.

Grüße,
holder10

 

[PabbaApfel]

Ich verstehe leider den ganzen Zusammenhang von Datenbank und meiner Homepage nicht so wirklich... (Sorry)
Bin mir aber sicher, dass diese Datenbank zuvor nicht existiert hat...
Ich habe meine Homepage sofort als ich es bemerkt habe vom Netz genommen, jedoch wird immer noch auf diese sche*ß Seite umgeleitet.
Bin mir jetzt aber ziemlich sicher, dass es nicht an mir liegt, dass die Seite gehackt wurde, sondern an goneo.
Wie man im Internet lesen kann, hatten sie im Januar erhebliche Sicherheitsprobleme.

Das mit dem Anrufen bei goneo wir leider nicht wirklich was. Die Nummer ist eine 01805 Nummer und als Student fehlt mir leider das nötige Kleingeld, dass sie mich für Stunden in der Warteschleife hängen lassen.
Ich hoffe auch, dass sie mir endlich auf meine e-mail antworten. Der Service ist echt nicht gerade das Gelbe vom Ei!

 

[palt]

Wer meint, eine Homepage betreiben zu können muss in so einem Fall auch Bereit sein, den Support schnellstmöglich(!) zu kontakieren. Wer sich dabei einen Hoster aussucht, der nur per 01805 zu erreichen ist muss dann eben zahlen.

Bei solchen Sachen verstehe ich absolut keinen Spaß und hier würde ich am liebsten rechtlich einschreiten. Das kann einfach nicht sein!

Und wer den Zusammenhang von Datenbank und Homepage nicht versteht, diese dennoch nutzt handelt aus meiner Sicht grob Fahrlässig. Bitte das nächste mal ein gehostetes System benutzen.

 

[MaChris]

PabbaApfel ich kann Dir gerade vor dem Hintergrund der angegebenen knappen finanziellen Mittel nur eindringlich anraten, die Webseite unverzüglich vom Netz zu nehmen. Noch immer (Uhrzeit dieses Posts) erfolgt die Umleitung.

Mach' Dir bitte bewußt, sollte einem Besucher Deiner Seite ein Schaden entstehen, der darauf zurückzuführen ist, dass er sich die Malware bei einem Besuch Deiner Seite geladen hat, können sehr schnell Ersatzansprüche auf Dich zu kommen, welche die Kosten eines Anrufs bei der kostenpflichtigen Hotline Deines Hosters aussehen lassen, wie der Schmutz unter dem Fingernagel.

Werde also bitte unverzüglich tätig und unternimm' etwas - Hinweise hast Du ausreichend erhalten - bevor jemand einen Dispute/Abuse stellt oder Schlimmers passiert.

 

[PabbaApfel]

So... Die Seite sollte jetzt endlich komplett vom Netz genommen worden sein.
Die Weiterleitung erfolgt also nun nicht mehr!

@palt:
An goneo habe ich vor nun schon 2 Tagen eine email geschrieben auf welche nicht geantwortet wird und wenn man versuch bei der Hotline durchzukommen ist das vergebene Liebesmühe. Sie lassen einen einfach in dieser Telefonschleife hängen (ich habe auch nicht schon nach 15 min. aufgelegt.).. So langsam frage ich mich, ob eigentlich ein Telefonsupport betrieben wird oder ob dort nur eine Endlosschleife abläuft!
Außerdem ist eine email im rechtlichen Sinne genau so ein unmittelbares/mittelbares Handeln wie ein Telefonanruf. Der unterscheid besteht nur in der Interaktion.
Und wie gesagt habe ich schon versucht bei der goneo-hotline jemanden zu erreichen, nur ist es unmöglich durch die Warteschlange zu kommen.

Die Anzeige gegen unbekannt werde ich morgen bei der örtlichen Polizeidienststelle erstatten.
Hoffentlich bewirkt dies wenigsten etwas...
Werde auch gleich nochmals versuchen den Support von Goneo zu erreichen, sehe aber jetzt schon schwarz bei diesem Unterfangen.
Die Kündigung an den Webhoster ist nun auch schon geschrieben.

Dank an alle für eure Hilfe!

 

[Gemeinderat]

Nur damit du es vll "einfach" verstehst für die Zukunft:

in der Datenbank werden Dateien von dynamischen Webseiten (zb. php dateien wie bei Foren usw.) gespeichert.
Hier im Forum musst du dich ja auch anmelden bzw. registrieren.
Diese daten müssen aber irgendwo abgelegt werden und die Seite muss darauf zugriff haben.
Genau das geschieht bei dir auch.
Die Datenkbank ist quasi das Gedächtnis aller Vorgänge, auf deiner Homepage.

Machst du nur eine statische seite, die du selbst veränderst und wo Benutzerdaten usw. nicht angelegt werden, dann reicht HTML auch und du brauchst keine datenbank.

Aber bereits bei ASP-Dateien ist eine Datenbank sehr wichtig.
zb. Wenn du mithilfe einer ASP Seite ein Suchfeld programmierst (sozusagen wie bei google nur einfach^^) greift diese suchmaske bzw. der befehl / das script das sich dahinter verbirgt, auf eine datenbank zu.

Heißt also im Klartext: Ohne Datenbanken keine benutzerspezifischen Daten wie Login für Benutzer, Registrierungen für Foren und noch vieles mehr.
Da gibts dann noch viel mehr sachen (Tables usw.), mit denen du dich aber eh nicht beschäftigst.

Frag deinen neuen Hoster, ob er eine bessere Lösung für dich hat, bei der du keine Verantwortung für die Datenkbank usw. trägst (bzw. keine Arbeit hast).

Es gibt ja auch gute CMS (content management system) im Netz zb. Joomla.

 

[palt]

Aber bitte dann Jommla und Konsorten nicht selbst installieren, dann geht der ganze Hickhack wieder von vorne los wenn man die Updates nicht einspielt. Es gibt auch genug gehostete Angebote, da kümmert sich dann Dein Anbieter drum dass alles aktuell ist und Du musst Dir um nichts einen Kopf machen.