Homepage gehackt, wer kennt sich aus?

[e_30]

Hallo,

 

unsere Firmenhomepage ist gehackt worden und da der Typ, der sie eingerichtet hat, keinen Bock mehr hat, was zu machen, wollte ich mal hier die Experten fragen, ob sich jemand auskennt.

Die Seite selbst ist noch vorhanden, lediglich der Zugang ist nicht mehr über die normale URL möglich.

Es ist ein Fehler (falsches Zeichen) in der sogenannten "index.php" gemeldet.

Die müßte man also neu eingeben ohne das Zeichen.

Ich kann mich zwar auf dem Server von variomedia einloggen, aber keine Ahnung, wie es dann weitergeht ...

Besser kann ich es nicht beschreiben.

 

Danke!

 

Grüße Gert

[E30-Heizer]

Sowas passiert meist deshalb, weil die Brechtigungen falsch gesetzt sind mit chmod.

 

Ihr solltet als erstes eure Passwörte FTP und vom Login der Hoster-Website ändern.

 

Am besten wäre es wenn der, der die Seite gemacht hat noch ein Backup der Seite hat und euch dieses zukommen lässt. Das sollte er auch wenn er keinen großen Bock hat ja noch hinbekommen. Dann könnt ihr die Seite löschen und somit auch eventuell befallene Dateien und eine saubere Version aufspielen per FTP.

 

Sollte das mit dem Backup nicht gehen, dann musst du halt sehen die Dateien manuell zu prüfen und zu bearbeiten. Dazu brauchst du ein FTP-Programm wie z.B. FlashFXP. Die FTP-Zugangsdaten sind in der Regel beim Hoster aufgeführt und können auf der Seite wenn man sich eingeloggt hat eingesehen und verändert werden.

 

Hast du die Dateien bearbeitet dann noch mit chmod die richtigen Berechtigungen setzen, damit ein potentieller Angreifer es nicht mehr so einfach hat. Hierbei kommt es darauf an wie die Seite aufgebaut ist. Richte dich da nach folgenden Hinweisen:

 

Für dynamische Inhalte wie Perl- und PHP-Skripte (z.B. .php, .cgi):

 

Benutzer: Lesen / Schreiben / Ausführen

Gruppe: (keine)

Andere: (keine)

entspricht Zahlencode: 700

 

Für von Skripten ausgelesene Dateien wie Konfigurationsdateien (z.B.

config.inc.php):

 

Benutzer: Lesen / Schreiben

Gruppe: (keine)

Andere: (keine)

entspricht Zahlencode: 600

 

Verzeichnisse sind grundsätzlich auf folgende Rechte zu setzen:

 

Benutzer: Lesen / Schreiben / Ausführen

Gruppe: Ausführen

Andere: (keine)

entspricht Zahlencode: 710

[derschwen]

Sowas passiert meist deshalb, weil die Brechtigungen falsch gesetzt sind mit chmod.

 

Nö, falsch. Sowas passiert in der Regel durch Lücken in der eingesetzten Software (z.B. dem CMS, nem Fileuploader, PHP WSYWIG Editor, Forum ... etc. pp.).

 

Vor allem wenn Seiten nicht mehr gewartet werden, geht das mal ganz schnell. Die Dateiberechtigungen haben damit primär nix zu tun.

 

Kann dir gerne mal ne test.htm mit 777 (also rwx für alle) auf nen Webspace legen. Wird dir nicht viel bringen.

 

Ohne ne detailliertere Fehlermeldung bringen solche Posts dem Ersteller meiner Meinung nach erstmal nichts als noch weitere Verwirrung

 

Backup wiederherstellen ist erstmal ne gute Idee - dann sollte aber auch gleich die Lücke geschlossen werden, sonst passiert's immer wieder.

 

 

@Gert: heute würd' ich wahrscheinlich nicht dazu kommen mal nen Blick drüber zu werfen, aber morgen bestimmt. Kannst mir ja per PN mal die URL schicken.

[E30-Heizer]

Nö, falsch. Sowas passiert in der Regel durch Lücken in der eingesetzten Software (z.B. dem CMS, nem Fileuploader, PHP WSYWIG Editor, Forum ... etc. pp.).

 

Auch. Bei simplen html oder auch php-Seiten liegt es meist an den Berechtigungen. Ich hatte erst vor ein paar Monaten einen Fall wo eine Firmenseite jeden 2. Tag mit Schadcode infiziert wurde. Die haben immer wieder das Backup eingespielt und kurz darauf das gleiche. Nachdem dann die Berechtigungen geändert wurden war sofort Ende mit dem Ärger.

[derschwen]

Ne config.php oder sowas in die Richtung sollte natürlich nicht schreibbar sein, das stimmt schon.