Problem mit Hackerangriffen

[p3e]

Wichtig ist, was auf dem Webspace war, als der erste erfolgreiche Zugriff erfolgte. Jeder halbwegs planmäßig vorgehende Hack sieht für den Moment ein paar Backdoors vor, die in dem Moment installiert werden.
In der Regel läuft der gesamte Vorgang von aufspüren bis zu diesem Moment automatisiert durch Bots ab.
Nur für den Fall, dass eine Backdoor erfolgreich eingebaut wurde hinterlässt der Bot eine Nachricht.
Der eigentliche Hacker bekommt dadurch eine Liste mit befallenen Webseiten, die er dann selber nutzen oder den Backdoorlink verkaufen kann. Oft vergeht etwas Zeit, von der Infektion bis zu dem Moment, indem die Backdoor genutzt wird.
Das was ich beschreibe ist die am häufigsten genutzt Angriffsart, die auf bestimmte bekannte oder noch unbekannte Sicherheitslücken abzielt. Es gibt noch weitere mögliche Szenarien, die dann aber in der Regel ein bestimmtes Ziel angehen. Dabei geht es dann meist um Wirtschaftsspionage. Das schließe ich in deinem Fall eher aus, da dein Provider feststellen konnte, dass dein Server für Spam-Mails missbraucht wurde.

Das Thema Hackerangriff ist ein weitgefächertes Themengebiet und ich will nicht unnötig weit ausholen.

Wichtig ist, was die erste Sicherheitslücke war. Ich vermute da eher das von dir erwähnte CMS, da die gewählten Dateinamen und Pfade zum Verschleiern an Joomla angelehnt sind. Wenn du also in den Logs was dazu findest, solltest du auch die Entwickler vom CMS  informieren. Welches CMS war es denn nun?

[ChristianRothe]

Wichtig ist, was auf dem Webspace war, als der erste erfolgreiche Zugriff erfolgte.
[...]
Wichtig ist, was die erste Sicherheitslücke war. Ich vermute da eher das von dir erwähnte CMS, da die gewählten Dateinamen und Pfade zum Verschleiern an Joomla angelehnt sind.
[...] Welches CMS war es denn nun?

Leider bleibt der Threadersteller verwertbare Angaben zu dieser sehr entscheidenden Frage schuldig.

[onlineorange]

Hallöchen,

also ich hatte auf dem Webspace beim ersten Zugriff die folgenden Softwareprodukte installiert:

1. eine alte xt-commerce 3.04 SP2.1
2. CMSimple
3. zum Testen die verschiedensten Systeme in einem
Verzichnis darunter Joomla, Contao, Typo3
4. sowie einen xt-modified 1.05
5. Mysqldumper
6. phpOnline

Habe heute noch einmal die access.log von gestern angeschaut.

Da habe ich gesehen, dass gestern um 13:00 das letzte Mal diese ominöse css.php
angefragt wurde und seitdem bis zum jetzigen Zeitpunkt nicht noch einmal, auch keine andere bekannte .php-datei die der "Freund" auf meinen Speicher gelegt hat.

Ist das die Ruhe vor dem Sturm oder hat er die Lust verloren, weil ich Ihm alle Dateien gelöscht habe und
die Passwörter geändert habe?

Ich brauche ab und an ein wenig länger, das ist nicht böswillig.

Danke.

Lieben Gruß

Andreas

[ChristianRothe]

also ich hatte auf dem Webspace beim ersten Zugriff die folgenden Softwareprodukte installiert:

1. eine alte xt-commerce 3.04 SP2.1
[...]
3. zum Testen die verschiedensten Systeme in einem
Verzichnis darunter Joomla, Contao, Typo3

Damit listest Du bereits mehrere Systeme mit bekannten und von Hackern gerne ausgenutzten Sicherheitslücken auf. Ich gehe nämlich davon aus, dass Du gewiss nicht für jedes System stets alle aktuellen Sicherheits-Patches eingespielt hattest. So kann nur noch Dein Webserver-Access-Log tatsächlich Auskunft geben, wie der Angriff erfolgt ist. Alles andere wäre Lesen im Kaffeesatz.

Meines Erachtens hilft nur ein komplettes Löschen des Webspace und Neuaufsetzen des Shops gemäß der oben genannten und/oder verlinkten Handlungsanleitungen.

[p3e]

.... ich schließe mich ChristianRothes Einschätzung an und möchte nochmal ergänzen, dass du wirklich genau überprüfen musst, dass auch im Template nichts “schlimmes“ versteckt wurde. Zusätzlich empfehle ich dir dem Template einen neuen Namen und damit ein neues Verzeichnis zu geben. Falls da noch eine Backdoor sein sollte, die du übersiehst, funktioniert zumindest deren Backdoorlink nicht mehr und du kannst regelmäßig mal in den Log-Dateien nachschauen, ob das alte Verzeichnis von Extern direkt aufgerufen wird und bekommst dadurch Hinweise, ob da jemand nach etwas sucht und vor allem wo genau. Könntest dir sogar ein kleines Script dafür schreiben, dass dir in dem Fall eine Mail schickt.

Denk an den Verzeichnisschutz und denke auch daran, das Verzeichnis für PHPMySQL und SQLdumper und sonstige Hilfsprogramme zu schützen.
Ich denke du hast jetzt gelernt, dass jede Software die du auf dem Webspace liegen hast ein gewisses Risiko birgt, selbst wenn die gar nicht aktiv genutzt wird. Ungenutzt Software hat im öffentlichen Bereich eines Servers nichts verloren! Leider ist das nur wenigen Shopbetreibern bewusst.

[onlineorange]

Hallo,

das mußte ich schmerzlich feststellen, dass auch auf dem Webspace Ordnung herrscht und keine "Leichen" liegen.

Aber aus Fehlern lernt man, ich habe alles entfernt und es liegt nur noch das da was gebraucht wird.

Ich kontrolliere jetzt immer fleißig. Und werde auch das Template noch umbenennen, damit wir da ein
klein wenig sicherer sind um eventuelle Schlußlöcher noch zu finden.

ICh danke Euch noch einmal vielmals und spreche mein Lob für dieses Forum aus.

Danke Danke.

Andreas

[Bonsai]

Das hier:
http://www.modified-shop.org/forum/index.php?topic=3754.0

Ist ruckzuck eingebaut und hilft bei der nächsten Verseuchung.