Homepage wurde gehacked

Fragen und Diskussionen zu laufenden ConPresso 4.x Projekten werden in diesem Forum diskutiert.
Antworten
ame
ConPresso-Newbie
Beiträge: 5
Registriert: 17.08.2013 11:48

Homepage wurde gehacked

Beitrag von ame »

Hallo zusammen.
Letze Woche wurde die Seite www.bowling-duesseldorf.de gehacked.
Es ist nur ein Kontaktformular online ,um evtl. Schadcode hoch zu laden.
Gibt es Erfahrungen diesbezüglich??
Der Mangel an Wissen ist ein selbstgewähltes Schicksal
Benutzeravatar
MarkusR
Handbuchversteher
Beiträge: 7361
Registriert: 01.01.1970 01:00
Hat sich bedankt: 111 Mal
Danksagung erhalten: 933 Mal
Kontaktdaten:

Beitrag von MarkusR »

Hallo Alfred!

Sack Reis in China umgefallen?

Es werden ständig Server auf tausende von Arten gehackt.
Die Ursachen können die Computer der Benutzer, die verwendeten Programme, der verwendete Server und die dort installierten Programme sein.

Du müsstest also schon deutlich präziser in Deinen Aussagen werden...

War vermutlich ein dummer Hacker, denn normalerweise treten solche Angriffe nicht in den Vordergrund, damit sie ihre Aufgabe über lange Zeit erfüllen können.

Mir wurden auch schon ein paar Auftritte gehackt, das waren aber immer Trojaner auf den Rechnern der User, die einfach die FTP-Zugänge an die Hacker weiterleiteten, die sich dann dort austoben konnten... also immer auf TOP-Virenschutz achten, z.B. Norton Internet Security
Ciao Markus
ConPresso-Module

Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!

Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
ame
ConPresso-Newbie
Beiträge: 5
Registriert: 17.08.2013 11:48

Beitrag von ame »

naja, das ist ja das Problem. Es wurde Schadcode eingeschleust.
Massen Emails von diesem Account verschickt. ZIP-Pakete mit dem Namen Fargo. Meine Frage ist : Kann über das Modul Kontakte Schadcode eingeschleust werden.
Der Mangel an Wissen ist ein selbstgewähltes Schicksal
Benutzeravatar
MarkusR
Handbuchversteher
Beiträge: 7361
Registriert: 01.01.1970 01:00
Hat sich bedankt: 111 Mal
Danksagung erhalten: 933 Mal
Kontaktdaten:

Beitrag von MarkusR »

Grundsätzlich sind alle Versionen <4.0.12 bzw. <4.1.5 durch eine Sicherheitslücke belastet.
War da auch vorher eine 4.1.6 drauf?

Wurde der Schadcode in ConPresso-Dateien eingebaut oder gab es eigene Dateien?
Ciao Markus
ConPresso-Module

Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!

Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
ame
ConPresso-Newbie
Beiträge: 5
Registriert: 17.08.2013 11:48

Beitrag von ame »

Es war eine Version 4.0.3 drauf. Ich habe heute die Aktuelle Version draufgespielt. Es wurden Umleitungsordner Installiert. Conpresso wurde nicht verändert. Nach löschen diverser Dateien konnte die HP vom Provider wieder freigeschaltet werden.
Der Mangel an Wissen ist ein selbstgewähltes Schicksal
Benutzeravatar
MarkusR
Handbuchversteher
Beiträge: 7361
Registriert: 01.01.1970 01:00
Hat sich bedankt: 111 Mal
Danksagung erhalten: 933 Mal
Kontaktdaten:

Beitrag von MarkusR »

Eigentlich ist es für einen Hacker zu umständlich ein spezielles System wie ConPresso anzugreifen (auch wenn es Sicherheitslücken hat).
Vermutlich wurde eher ein FTP oder SSH Zugang benutzt und Passwörter erraten oder ausgespäht. Am besten sind da Hostinpakete, bei denen sich SSH und FTP Zugänge komplett deaktiviert werden, z.B. Strato SiteGuard, aber nur, wenn man nicht dauernd was dran ändern muß.
Man sollte die FTP-Logs kontrollieren, vielleicht findet sich da ja ein Hinweis.
Gab es auf dem Webspace vielleicht noch andere Softwarepakete wie Shops, Gallerien, andere CMS?

Immerhin weißt Du ja jetzt, daß Ihr nicht das Ziel sondern nur Mittel zum Zweck wart, meist werden erst einzelne Server gekapert, die dann wiederum andere Server hacken etc.

Ach ja, noch was:
Nachdem bei mir mehrere Auftritte gehackt wurden, habe ich mod_track entwickelt und lasse mich mindestens täglich über jegliche Änderung informieren!
Ciao Markus
ConPresso-Module

Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!

Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
ame
ConPresso-Newbie
Beiträge: 5
Registriert: 17.08.2013 11:48

Beitrag von ame »

Ja, das hab ich jetzt auch installiert. Ich werde die Seite wohl ein paar Tage intensiv überwachen. Ich habe einen Access log vom Provider bekommen. IP-Adresse und die aufgerufenen Seiten sind mir jetzt bekannt. Ich werde jetzt noch ein Captcha in das Kontakt Modul einarbeiten. Hoffentlich suche die Hacker sich jetzt einen anderen Server :)
Der Mangel an Wissen ist ein selbstgewähltes Schicksal
Antworten