Phishing Seite wurde von außen eingebunden
Eingetragen von 1000 (764)am 23.03.2014 - 05:00 Uhr in
Hallo, Ich habe festgestellt, dass auf meiner d7 Webseite eine Phishing Website eingebunden wurde. Die Seite sieht aus wie paypal. Aber konnte das geschehen und wie kann ich die Seite wieder entfernen. Und wie kann ich diese Sicherheitslücke wieder schließen?
- Anmelden oder Registrieren um Kommentare zu schreiben
Kannst du das ein bißchen
am 23.03.2014 - 08:28 Uhr
Kannst du das ein bißchen genauer beschreiben ?
Was verstehst du unter "wurde von außen eingebunden" ?
Was passiert genau und bei welchen Urls ?
sepp68 schrieb Kannst du das
am 23.03.2014 - 11:17 Uhr
Kannst du das ein bißchen genauer beschreiben ?
Was verstehst du unter "wurde von außen eingebunden" ?
Was passiert genau und bei welchen Urls ?
Das würde mich jetzt aber auch interessieren!
also ich habe die Seite
am 23.03.2014 - 21:35 Uhr
also ich habe die Seite momentan in den Wartungsmodus versetzt. Ich habe gestern eine E-Mail von google erhalten, dass eine Seite wegen des Verdachts auf Phishing gesperrt wurde. Diese Seite habe ich mir dann angeschaut. Die Seite sah genau gleich aus wie paypal. Der Service ist nun offline, damit keiner zu Schaden kommt.. Es handelt sich um mail4nature.org. Kann mir jemand verraten wie das passieren konnte und wie ich es verhindern kann?
Mich würde interessieren ob
am 23.03.2014 - 21:34 Uhr
Mich würde interessieren ob du eigene Module geschrieben hast oder externen Code/ Scripte eingebunden hast die so eine Sicherheitslücke ermöglichen?
Sind deine Module und Core auf dem neuesten Stand, bekommst du die Security News?
Ich habe die ganzen Infolinks zu Security News bei mir gespeichert (alle der letzten 10 Monate), falls du die abgleichen möchtest schick mir eine PN, dann maile ich dir meine Sammlung.
Grüße Jenna
Bevor man hier die Pferde
am 24.03.2014 - 12:54 Uhr
Bevor man hier die Pferde scheu macht: Hat das Problem überhaupt mit Drupal zu tun, und wurde nicht eher Dein Server (z.B FTP-Zugang) gehackt? Wenn dem so wäre, wäre das nicht das richtige Forum...
Gruß
Christian
Ja Tatsache! Es hat nichts
am 29.03.2014 - 23:24 Uhr
Ja Tatsache! Es hat nichts mit Drupal zu tun aller Wahrscheinlichkeit nach. Das war auch nur als Ursachenforschung gedacht und nicht als Angriff auf Drupal. Außerdem kann nahezu jedes System gehackt werden. Dazu sind die Möglichkeiten einfach zu groß.
Ich habe auf dem Server Plesk 9 installiert. Das bietet meiner Meinung nach keine Sicherheitsupdates mehr. Aber bin mir auch nicht so sicher. Ich hatte vor einigen Monaten mal einen Server Administrator beauftragt dort einen Fehler zu beheben. Kann auch sein, dass der einen User mit root Rechten eingerichtet hat.
Ich habe einen Server Experten beauftragt, um herauszufinden, wo die Lücke war. Er sagte, es sei nahezu unmöglich dies rauszufinden, da der Angreifer root Rechte hatte.
Gibt es so eine Art Server Monitoring 2.0 also dass ich auch sehen kann wenn etwas auf dem Server geändert wird? Ist ja nur so dass ich fast ausschließlich Drupal Seiten habe. Deshalb möchte ich die Hürde bzgl. der Sicherheit besonders hoch legen. Falls es dort Module ect. gibt wäre ich für entsprechende Empfehlungen dankbar.
Ich hatte auch schon
am 30.03.2014 - 07:00 Uhr
glücklicherweise nicht bei mir selbst, ähnlich abstruse Angriffe beobachtet.
In allen mir bekannten Fällen ware Trojaner auf dem Client des Betreibers schuld an der Misere.
Der Trojaner späht den FTP oder sogar SSH-Shell-Zugang aus, und greift damit den Server an.
Auf dem Server ist nichts zu finden, weil der Zugang mit den Credentials des Betreibers hergestellt wurde.
Davor kann man sich nur schützen, indem man seinen Client gut pflegt, und die Passwörter regelmäßig ändert.
Ein komplexes Passwort nützt nichts, wenn es ausgespäht wird.