weißer Bildschirm

1. Wurde das Sicherheitsupdate vom 28.3.2018 SA-CORE-2018-002 und SA-CORE-2018-004 vom 25.4.2018 zeitnahe installiert? Wenn nicht, wurde alleasse.de mit großer Wahrscheinlichkeit gehackt. Nach Bekanntwerden der Einzelheiten wurde der Hack unmittelbar weltweit ausgenutzt. Derartige Angriffsmuster konnte ich bei mehreren ge-pachten Kundenseiten feststellen.
2. Besteht Einsicht in das access_log und error_log?
3. Sind verdächtige Dateien im DocumentRoot (FTP Verzeichnis) erkennbar?
4. Und das wichtigste: Gibt es Datensicherungen?

nei habe ich nicht gemacht
beim letzen Drupal update habe ich deine DB Sicherung gemacht aber keine für die komplette webseite
sag nur ich habe jetzt gelitten?

mein Provider hat mir folgendes geschickt:

wir haben eine Beschwerde erhalten, da Ihr Server anscheinend Daten an Server Dritter sendet, die sich dadurch gestört fühlen (Portscans, Bruteforce-Attacken, Kompromittierungsversuche o.ä.) bzw. die Stabilität unseres Netzes beeinträchtigen. Die uns vorliegenden Daten sind unten angegeben.

In den meisten Fällen entstehen solche Probleme durch unsichere
PHP-Skripte und CGIs. Oft reicht es aus, die eingeschleusten
Applikationen (nach Erstellung einer Kopie!) zu entfernen und die unsicheren Skripte zu löschen oder abzusichern. Sie sollten also zunächst Ihr System nach Schwachstellen durchsuchen und herausfinden, auf welchem Wege schädliche Skripte eingeschleust wurden.

Manchmal tritt dieses Phänomen auch auf, wenn Ihr Rechnern von Angreifern übernommen (vulgo: "gehackt") und root/Administrator-Zugang erlangt wurde. Dies ist z.B. möglich, wenn Sicherheitslücken in Diensten bestehen, die nicht durch Updates behoben wurden.

==================== Excerpt from log for 91.250.119.27 ====================
Note: Local timezone is +0200 (CEST)
Apr 25 05:09:56 shared08 sshd[30946]: Invalid user ubnt from 91.250.119.27
Apr 25 05:09:56 shared08 sshd[30946]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=91.250.119.27
Apr 25 05:09:58 shared08 sshd[30946]: Failed password for invalid user ubnt from 91.250.119.27 port 39432 ssh2
Apr 25 05:09:58 shared08 sshd[30946]: Connection closed by 91.250.119.27 port 39432 [preauth]"

Leider ja, die Seite wurde gehackt. Dein Provider hat Dir dies ja auch bestätigt. Zur Wiederherstellung solltest du auf ein älteres Backup zugreifen, auch wenn bisherige Änderungen verloren gehen. Die Seite muss vollständig neu aufgebaut und dann umgehend auf die neuste Drupal Version aktualisiert werden.

Wie ich hier bereits geschrieben habe empfehle ich erst einmal die Seite offline zu nehmen und genauer zu prüfen.

ich habe 7 Webseiten auf mein Server, wie kann ich feststellen welche Webseite betroffen ist
die wichtigste:alleasse.de habe ich am 27.3 ein update gefahren bei den anderen LEIDER nicht

Das dürfte die betroffene Site sein.

Eine Neuinstallation mit allen verwendeten Modulen wäre ein Anfang.
Wenn du dann die Datensicherung einspielst, solltest du (bis auf die hochgeladenen Dateien) den alten Zustand wieder haben.
Dann kannst du gezielt Dateien aus sites/default/files rüberkopieren.

Aber die erste Maßnahme sollte die Stillegung der aktuellen Site sein.

Überprüfe auch deine Cron-Jobs, ob diese vielleicht irgendwelchen Blödsinn anstellen, der dir schadet.
Ändere auch die FTP- und SSH-Passwörter und das Passwort deines Rechners, mit dem du den Server pflegst.

Oft sind die PCs, mit denen der Server gepflegt wird, die Einfallstore für Angriffe.

Handelt es bei den restlichen Seiten auch um Drupal Seiten? Die zwei wichtigsten Sicherheitsupdates wurden am 28.3 und 25.4 veröffentlicht. Je nach Bekanntheitsgrad deiner Seiten musst du leider davon ausgehen, dass alle Seiten betroffen sind. Vielleicht hast du Glück und "nur" alleasse.de wurde erst einmal angegriffen.

- Können alle anderen Seite problemlos geöffnet werden?
- Wurden verdächtige Benutzer angelegt?
- Wie sieht das Server-Verzeichnis aus? Wurden Dateien hochgeladen, die nicht zu Drupal gehören? Prüfe auch das sites/files Verzeichnis?
- Prüfe die error_logs und access_logs nach Auffälligkeiten