Server gehackt?

[the_zoker_09]

Hallo zusammen,

Habe heute diese Datei mir r0.html auf meinem Server gefunden:

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"><html xmlns="http://www.w3.org/1999/xhtml"><head><meta http-equiv="Content-Type" content="text/html; charset=utf-8" /><title>Hacked by returnz[zero] Legatus Pilipinas</title></head>
<body style="background: #000;"><div style="width: 500px;margin: 0px auto;"><img src="http://i.imgur.com/3vXOn.jpg" /><h1 style="color: #fff; text-align:center;font-weight: lighter; color: #777;">Hacked by <br>return[zero] @ Legatus Pilipinas</h1><em style="color: #fff;font-size: 13px;color: #333;">    We protect the citizens of the Cyber World. We will fight for the people's freedom. We will humiliate the corrupt. We will weaken the oppressors and we will strengthen the oppressed. We will never tire. We will persist. We will seek for the truth.    <br /><br />	Also, we are eagerly helping websites to heighten their securities to serve at it's best. We will do it first, and buzz you at any means necessary. Some bad guys from the other side maybe lurking your website's door step.	<br /><br />    We are the people's freedom fighters. We are the allies of the oppressed. We are against the corrupt. We abhor the unjust. We are Anonymous. We are Legion. We do not forgive. We do not forget. Expect us.</em><p style="color: #333;margin-top: 30px;font-size: 13px;">	To the site's admin, do not take this seriously. Patch your system :)<br /><br /><br />	Legatus Pilipinas, Anonymous, Anonymous Philippines<br /><br />	        hydr06enX, return[zero], Asymptomatic Bacteriuria, k0nd0r1ll4        <span style="color: #252525">http://http://www.facebook.com/LegatusPilipinas</span><br />	</p></div></body></html>

Wie genau soll ich damit umgehen?

Vielen Dank
Zoker

 

[Dominic28]

Naja wie es schon in der Nachricht gesagt wird:

To the site's admin, do not take this seriously. Patch your system :)

Ohne irgendwelche Daten zu deiner Website kann man dir aber kaum helfen.
Grob gesehen hast du ne Sicherheitslücke und die muss geschlossen werden...

 

[the_zoker_09]

Ich nutze eine einfache Joomla Installation :/

 

[threadi]

Wenn Du den Eindruck hast, dass Du gehackt wurdest, dann sorge schleunigst dafür, dass alle Daten vom Webspace verschwinden. Nicht runterladen - direkt löschen wäre das effektivste. Dann solltest Du auch ein Backup der MySQL-Datenbank machen und diese auch entfernen. Ändere außerdem alle Zugangsdaten zu deinem Webspace - Passwörter für Webzugriffe und auch FTP und E-Mail.

Wenn Du das erledigt hast, dann kannst Du evtl. vorhandene Backups wieder einspielen. Joomla solltest Du neu installieren und sofort die neueste Version nutzen. Die gesicherte Datenbank müsstest Du dann irgendwie in Joomla wieder verwenden können - Details dazu sollte die Joomla-Community sagen können.

 

[sysop]

....Dann solltest Du auch ein Backup der MySQL-Datenbank machen und diese auch entfernen.....

Sorry, wenn ich widerspreche, aber ein Backup von gehackten Daten ist wohl nicht die beste Idee.
Schmeiss alles weg und spiel das Backup von gestern wieder ein.
Ignoriere die Meldung

To the site's admin, do not take this seriously. Patch your system

und stampf alles ein.
Wenn dir ein Einbracher einen Zettel hinlegt, auf dem steht, er habe nichts gemacht, bleibst du dann ruhig.

Wer weiss, was da alles gemacht wurde und was dein Rechner nun für Aufgaben erfüllt.

 

[scbawik]

Das Backup von gestern wird womöglich nicht viel nützen. Woher weißt du wie lange die Seite schon infiziert ist? Schließlich durchsucht man nicht jeden Tag alle Server nach fremden Dateien.

Ich hatte vor kurzem so einen ähnlichen Fall -> der 'alte' Programmierer der Site hatte eine uralte phpMyAdmin-Version tief verschachtelt irgendwo mal reingepackt. Keine Ahnung aus welchem Grund. Über diese sind die Angreifer dann reingekommen und haben alle Index, Footer, Header, etc Dateien mit einem 'getarnten' Code infiziert, der es ermöglichte die Website - nur bei Bedarf - fernzusteuern.

Getarnt insofern, dass es kommentierter Code wie zB:

// Detect Search Engines
...

In Wirklichkeit ging es natürlich nicht darum SEO vorzunehmen sondern dass der Code vom Programmierer als vertrauenswürdig eingestuft wird. Da ich die Seite nicht programmiert habe und wäre da auch kein 'base64_decode()' enthalten gewesen, wäre mir wahrscheinlich auch nichts aufgefallen beim überfliegen des Codes.

Da der Einbruch auch schon einige Zeit zurück lag, war ein Backup nicht mehr möglich.

Deshalb bin ich folgendermaßen vorgegangen:

1. Infizierte Website downloaden
2. Seite vom Netz nehmen (Alle Daten vom Server löschen)
3. Infizierte Website-Dateien mit Suchen & Ersetzen nach 'base64', 'curl' (und anderen verdächtigen Befehlen durchsuchen)
4. Alle Dateien öffnen und in mühseliger Handarbeit alle gefundenen, verdächtigen Dateien durchsuchen und ggf den Schadcode löschen.
5. Datenbanken exportieren, löschen, kontrollieren.
6. Webhost bescheid geben (War ihm aber vollkommen egal)
7. ALLE (Sicher ist sicher) Passwörter UND Benutzer daher in Eigenarbeit ändern.
8. Website-Dateien habe ich anschließend nochmal durch alle möglichen Virenscanner geschickt.
9. Da nichts gefunden wurde habe ich alles wieder hochgeladen und jeden Tag kontrolliert ob die Dateien wieder infiziert wurden. Bis jetzt ist nichts wieder gekommen.

Und natürlich habe ich phpMyAdmin gelöscht.

Da man sehr oft hört dass Wordpress und Joomla gehackt werden (Im Gegensatz zu anderen System wirklich sehr oft) ist bei diesen beiden wirklich zu empfehlen jedes Update mitzumachen und auch so schnell wie möglich. Spätestens nach einem halben Jahr kannst du diese nämlich als offenes Tor sehen.

Achtung Halbwissen:

Und dann würde ich mir überlegen mit der Zeit auf ein weniger bekanntes bzw. sicherers System umzusteigen. Wenn man nämlich eine Lücke bei Joomla entdeckt bieten sich nämlich gleich 100000.. Seiten auf einmal an. Ich denke jede Seite einzeln zu hacken ist für den Hacker (oder eigentlich ja Cracker) nicht so lukrativ. Wenn dieser nun noch einen Crawler hat, der Joomla-Seiten etc auf Sicherheitslücken überprüft, lassen sich natürlich etliche Websites auf einmal angreifen und übernehmen.

PS: Die Botschaft vom Hacker wie bereits gesagt ignorieren. Eventuell wars wirklich jemand der sich nur beweisen wollte, oder aber er will auch verhindern dass du bemerkst dass er Änderungen an deinem Programmcode vorgenommen hat. Da du das gesamte Joomla-Verzeichnis aber nicht von Hand durchsuchen und Schadcode finden kannst, bleibt dir nichts anderes übrig als das System neu aufzusetzen.

Achja, ich habe das ganze natürlich auf meinen Mac heruntergeladen, nicht auf den Windows PC ;) (Ich weiß, Mac ist nicht 100% sicher aber doch noch mehr als Windows)

 

[threadi]

Sorry, wenn ich widerspreche, aber ein Backup von gehackten Daten ist wohl nicht die beste Idee.

Zugegeben, hast Du durchaus recht. Ich mache dennoch gerne von den Daten ein Backup um diese dann noch zu prüfen damit man doch irgendwie herausfindet was die Ursache sein könnte und auch um die darin stehenden echten Inhalte zu sichern. Es ist immer ärgerlich wenn man eine große Webseite mit vielen Inhalten aus so einem Grund verliert.

 

[sysop]

Da stimme ich zu, verwenden sollte man es dann nicht.