[gelöst] Seite wiederholt gehackt

Mal so ganz doof gefragt - Bist du dir sicher, dass es an deiner Installation liegt, oder an Drupal? Nicht selten nutzen die "Hacker" (was man so nennt) auch Schwachstellen beim Hoster, am Server, oder anderweitige Hintertüren. Dein hoster macht es sich ja erst einmal leicht, dass er dir die Seite nun klemmt, aber eventuell solltest du dich mal mit ihm in Verbindung setzen, und mit ihm klären, wie es genau zu den Problemen gekommen ist. Es ist nun leicht Drupal verantwortlich zu machen, aber du kannst dir da auch nen Ast bauen, und am Ende bleibt das Problem trotzdem.

Will nicht sagen, dass Drupal nicht das Problem sein könnte, aber das sollte man abklären. Eventuell auch schauen woher etwaige Eindringlinge kamen und IPs oder IP-Ranges blacklisten. Ich habe einige Drupal-Seiten am Laufen, und obgleich wir selbst auf dedizierten Servern hosten, hatten wir bisher keine Probleme. Für Hoster ist es recht normal, dass es mal Versuche und DDOS und was weiß ich gibt, das gehört zum Alltag, aber das ist nicht Problem des Seiten-Betreibers.

Mein Tipp daher - Kläre erst mal ab wo die Lücke ist, und dann schau weiter. Du kannst nun 10 Drupal-Module installieren, was aber das Problem nicht lösen muss.

Wer ist dein Hoster?

Mit Blick aufs Datum des Beitrags (also heute) ist das schon ein Widerspruch in sich, wir sind mittlerweile bei 7.17 angekommen. Und ja, da waren auch sicherheitsrelevante Updates mit dabei.

STRATO

...das habe ich mir auch gedacht. Aber ich kann Strato ja nicht nachweisen, dass sie eine Lücke auf den eigenen Servern haben und solange sagt der Hoster immer erstmal, dass der kleine Webmaster schuld ist.

Irrtum vom Amt, meine Version ist die 7.16

Auch die ist veraltet. Wir sind bei 7.17. Ich habe mir die 7.17 am 08.11.12 gedownloaded. Davon ab gibt es doch das Mollom-Modul auch für Drupal 7. Das ist ein guter Spamschutz und wird vom Drupal-"Erfinder" Dries Buytaert betreut. Meiner Meinung nach eine gute Empfehlung :-)

Gruß 2be

dass du dir einen Trojaner auf deiner likalen Maschine eingefangen hast, der deine geänderten Passwörter mit Freude an den Hacker meldet.

Nach der gegebenen Beschreibung erscheint mir das am wahrscheinlichsten.

Hm, nee. Auch wenn Strato in mancher Hinsicht nervt, ist es doch ein solider Hoster. Ich wollte mit meiner Frage darauf hinaus, ob du vielleicht bei einem Reseller bist. Da hab ich es schon zweimal bei Kunden- Projekten erlebt, dass die Server schlecht administriert waren und es nicht allzu schwierig war, da einzudringen. Dem einen ist das gleiche passiert wie dir jetzt. Bei Strato würd ich das eher ausschließen, wenn du managed Webspace oder managed Server hast. Ich würde auch am ehesten darauf tippen, dass du dir lokal was gefangen hast, was die Zugangsdaten übermittelt. Wissen kanns von hier aus natürlich niemand wirklich....

für die vielen Hinweise. Ich werde erstmal die Version 7.17 einspielen. Über einen lokalen Virenscan wurde mir die Datei toolbar.dll als gefährlich angezeigt. Könnte das so ein Keylogger-Programm beinhalten? Das Virenschutzprogramm konnte die Datei allerdings nicht löschen, sie ist angeblich nicht auffindbar :-(
Die Logfiles zeigen wiederholte (vergebliche) Versuche eines gewissen shadowkf beim Einzuloggen. Die dazugehörige IP 91.236.74.135 wurde in Spam-Foren schon gemeldet. Ich habe diese und andere IPs des Users gesperrt, alle Passworte geändert (von einem nichtverseuchten PC aus) und hoffe, dass der Spuk damit ein Ende hat.
Mollom werde ich mir auf jeden Fall auch mal anschauen!

Vielen Dank für Eure Hilfe!

Tina

Toolbar.dll kann durchaus ein Hinweis auf Spyware oder einen Trojaner sein, aber das lässt sich so pauschal nicht sein. Die BHQs sind gern eine Andockmöglichkeit für solche Schadsoftware, darauf setzt z.B. auch diese nervige ASK-Toolbar. Dennoch sollte man mit dem Löschen vorsichtig sein, da es davon auch ein Original gibt.

Gibt nun zwei Möglichkeiten - Hilfe in einem Forum suchen, dass sich diesem Thema widmet, weil man dir hier nur bedingt weiter helfen kann.

Ansonsten bleibt noch das System neu aufzusetzen. Meine ganz persönliche Erfahrung ist, dass es meist deutlich einfacher und schneller ist ein System sauber und neu aufzusetzen, als zu versuchen etwaige Spyware und Konsorten aus dem System zu bekommen. Dann lieber neu aufsetzen und direkt alle Sicherheitsmechanismen mit dazu.

Ich will dir da aber nichts falsches raten. Am Ende ist das hier drupalcenter, und die Einblicke sind da gewiss limitiert. :)

Ich würde auf die Antwort von ronald tippen. Also einen Trojaner, der Passwörter klaut (kann aus den Einstellungen des FTP-Programms gelesen werden - oder direkt bei der Eingabe passieren)
Dann darf man nicht vergessen alle Rechner, die FTP-Zugang haben, zu checken. Auch eventuell beim Kunden.