Mein Webseite wurde gehackt.....große Not!
Eingetragen von p408014 (88)am 22.12.2012 - 15:43 Uhr in
Hallo zusammen,
hier nun meine verweifelten Hilferufe. Irgendwie wurde meine Seite verseucht. Mein Serverbetreiber hat mir die freundliche Miteilung gemacht, meine Seite Spamt ohne Ende und sie fürs erste gesperrt. Das tut weh !!!!
Nun bin ich auf Virensuche. Aber wahrscheinlich eine unlösbare Aufgabe. Lt. Protokol versucht gerade wieder (alles 2 Minuten) eine Datei "ckeckoutJnDz.php" im file-ordner irgedwaqs zu machen. Im Moment sind die Dateirechte eingeschränkt uns kommt die Meldung
temporary://file42fgyL konnte nicht kopiert werden, da das Zielverzeichnis public://js nicht korrekt konfiguriert ist
Aber wenn die Schreibrechte wieder drin sind, dann....
Wahrscheinlich ist die beste Lösung, alle löschen incl. Datenbank und dann komplett neu zusammenbasteln.
Oder hat jemand eine andere Idee
- Anmelden oder Registrieren um Kommentare zu schreiben
Erste Maßnahme wäre zunächst
am 22.12.2012 - 16:05 Uhr
Erste Maßnahme wäre zunächst alle Passwörter zu ändern. Datenbank, Webseite, Accounts, usw. - Das aber nicht ohne vorher den oder die PCs zu prüfen, welche Zugriff auf die Seite, bzw. FTP und Administration haben. Es ist zwar nicht unwahrscheinlich, dass auch mal ein FTP-Zugang, Server oder eine DB gehackt wird, aber in +-99% der Fälle wurden Passwörter und Zugangsdaten vom PC "gefischt". Das würde ich auch ganz gründlich machen, denn es bringt nichts Passwörter, usw. zu ändern, wenn diese direkt wieder entwendet werden.
Danach würde ich mir die Daten, DB und FTP mal vom Server ziehen und eine lokale Kopie machen, z.B. via Wamp oder Xampp. Eventuell auch den Zugriff von dort aus aufs Netz verbieten, z.B. via Firewall. Jetzt würde ich sämtliche Core-Datein löschen, z.B. wie bei einem Update, und dann saubere Core-Daten einspielen, natürlich von der Version die zuletzt aktiv war. Dabei dürfte ja eigentlich nur der Ordner Sites übrig bleiben. Danach wird es etwas knifflig, da du jetzt im Grunde sämtliche Dateien prüfen musst die dann noch übrig bleiben, z.B. Module und Themes, dein Theme. Das ist etwas Sisyphus-Arbeit. Ich würde mir aber die Zeit nehmen und jede Datei öffnen und schauen ob man etwas ungewöhnliches entdeckt. Eventuell sogar saubere Versionen der Module ziehen und ein Backup vom eigenen Theme einspielen.
Wenn DB-Backups vorhanden sind, dann diese einspielen, ansonsten die DB entsprechend überprüfen, wobei das Problem wohl eher in den Dateien sitzt.
Abschließend entsprechende Maßnahmen treffen. Eventuell beim Hoster nachfragen ob es Zugriff von entsprechenden IPs oder IP-Ranges gab, z.B. China, usw. Eventuell entsprechende Module installieren und nicht benötigte IP-Bereiche blacklisten. Alles auf Sicherheit prüfen und wenn nötig verstärken. Ich würde den Hoster auch im Mithilfe bitten, wenn es nur Webspace ist, eventuell kann er am Server sehen was passiert. Bei VPS oder Root-Server selbst schauen.
Neu machen muss man da erst mal nichts, aber ich sage es noch mal - Oftmals sitzt die Ursache im eigenen PC, z.B. Trojaner oder KeyLogger. Daher bringt es erst was aktiv zu werden, wenn da alles sauber ist. Sonst sitzt du in ein paar Tagen wieder da.
Volltextsuche in Dateien möglich ?
am 23.12.2012 - 14:48 Uhr
Auf der Suche nach meinem Problem bin ich auf eine PHP-Datei mit dem Namen checkoutJnDz und eine htm-Datei mit dem namen Mail. gestoßen.
Diese habe ich gelöscht.
Im Berichtsprotokoll werden die o.g. Dateien aller 2 Minuten angesprochen (mit der Fehlermeldung page not found).
Ich gehe davon aus, das diese dauernden Aufrufe auch aus irgend einer Datei in meinem Sites-Ordner kommt. Aber wie finde ich die?
Gibt es evtl. die Möglichkeit einer Volltextsuche oder ähnliches ?
Danke
Alexander
Volltextsuche ist eigentlich
am 23.12.2012 - 14:52 Uhr
Volltextsuche ist eigentlich mit allen gängigen Editoren möglich. Als Beispiel - Mit Dreamweaver kann man via strg + f das Fenster zur Suche öffnen, und dort kann man dann auch Ordner durchsuchen, wobei auch die Inhalte der Dateien gelesen werden. Ich gehe davon aus, dass das in den meisten Editoren ähnlich funktioniert.
Ich würde ja erstmal beim Theme ansetzen, z.B. in der html.php, oder der page.tpl.php, oder ähnlichen. Da kann sich der "Hacker" sicher sein, dass die Dateien aufgerufen werden. Hast du mal versucht das Theme zu wechseln, und ob die Aufrufe dann immer noch auftauchen? So kann man das Problem ja schon mal langsam eingrenzen.
Das Theme könnte es sein...
am 26.12.2012 - 00:03 Uhr
Ich benutze Garland und habe es deaktiviert und auf batik umgestellt.
Es scheint so, als hätte es geholfen. Aber wo steckt das Problem ? Ich benutze Garland und hab auch die aktuelle Drupal 7.18 drauf. In welchem Ordner oder Datei könnte nach dem Eindringling ich suchen?
Und die 100-Punkte-Frage: woran erkenne ich den Schädling?
Gruß
Alex
sollte der Schädlich im Template sein
am 26.12.2012 - 08:15 Uhr
hilft der Austausch des Templates wahrscheinlich weiter.
Ich hoffe 'mal, du hast eine Datensicherung - möglichst vom Zustand vor dem Befall.
Ansonsten bleibt die Hoffnung, dass der Schädling sich nicht in die Datenbank eingenistet hat.
Mache auf jeden Fall eine Sicherung der Datenbank.
Sichere alle Dateien des Servers.
Lösche alle Dateien auf dem Server.
Spiele eine aktuelle Version von Drupal mit den aktuellen Versionen der verwendeten Module ein.
Spiele die settings.php aus der Sicherung ein.
Spiele die Datenbank neu ein.
Jetzt solltest du eine wieder funktionsfähige und saubere Version haben.