Notfall Attackierende Webseiten

[mimmi]

Hallo ihr Lieben,

ich habe vor ein paar Jahren meiner Freundin eine Seite gemacht.
Heute hat sie mir ein Bild eines Mitarbeiters geschickt, das ausgetauscht werden sollte.

Als ich die Seite übermittel wollte, habe ich die Information Passwort nicht korrekt erhalten.
Als ich nach dem neuen Passwort fragte, sagte man mir es wäre alles beim alten.

Man sagte mir, dass Kunden gemeldet haben, man würde vor der Seite gewarnt.
Erst dachte ich, das wäre ein Witz.
Also habe ich nachgeschaut.

Die Webseite auf boehm-seligenstadt.de wurde als attackierend Seite gemeldet und auf Grund Ihrer Sicherheitseinstellungen blockiert.

Attackierende Webseiten versuchen, Programme zu installieren, die private Informationen stehlen, Ihren Computer verwenden, um andere zu attackieren oder Ihr System beschädigen. Manche Webseiten vertreiben bewusst Viren und ähnlich schädliche Software, aber viele Webseiten sind auch ohne das Wissen oder die Erlaubnis des Betreibers kompromittiert.

Ich habe so etwas noch nie gesehen, geschweige denn erlebt.
Die Seite wurde vor ein paar Jahren in’s Netz gestellt und seit damals ist auch nichts mehr verändert oder aktualisiert worden.

Dummerweise habe ich mich heute auch das erste mal seit Jahren wieder mit Nof beschäftigt, und bin daher auch nicht mehr so fit 

Kann mir jemand weiterhelfen, was ich nun tun muss, oder wo ich mich hinwenden kann.
Für Hilfe bin ich sehr dankbar.

Liebe Grüße
Mimmi

[nettesekel]

Hallo mimmi und willkommen im Forum, 

das klingt sehr danach, dass die Seite/der Server mal gehackt wurde. Wie so Hacker auf einen Server gelangt sind ist meist nicht zu ergründen. Mögliche Wege sind unsichere Scripts. z.B. irgendwelche externe Anwendungen wie Gästebücher von Fremdanbietern, Counter, Newslettersysteme, Upload- funktionen u.s.w. auch für die Scripts der NOF-Komponenten kann man nicht 100%ig die Hand ins Feuer legen, wirklich hackersicher ist glaube ich nichts und wenn, dann ist der Ansporn in dieser Szene um so größer dies zu ändern. 
Es kann auch sein, dass ein CMS z.B. ein WP-Blog mit auf dem Server liegt und dieser gehackt wurde. Habe ich selbst mal vor geraumer Zeit erlebt. Du siehst, die möglichen Schlupflöcher sind vielfältig.

Eine andere Möglichkeit ist, dass Hacker das FTP-Passwort geknackt haben und so Zugang zum Server erhalten haben.

Du solltest also unbedingt alle Zugangsdaten die mit dem Server/der Website zu tun haben ändern. Bei Passwörtern sollte man eine Kombination aus Zahlen, Großbuchstaben, Kleinbuchstaben und wenn möglich Sonderzeichen verwenden. Klebe dir lieber einen Zettel an den Monitor um das Passwort zu behalten, als dass es zu einfach gewählt ist.

Wenn auf dem Server nur eine einzige überschaubare Website liegt und du bist in der Lage diese mit NOF verlustfrei neu hochzuladen, dann ist der einfachste Weg den Server zu leeren und alles neu zu publizieren.

Wenn man mehr als nur eine Website hat und vielleicht gar nicht mehr genau weiß, was wofür gebraucht wird dann ist es etwas komplizierter. Um in so einem Fall die Kuh vom Eis zu bekommen bin ich vor einigen Jahren, als ich selbst betroffen war so vorgegangen...
(du solltest einen aktuellen Virenscanner auf deinem PC haben und aktivieren)

Zuerst habe ich alle Inhalte meines Servers mittels FTP-Programm von meinem Server in einen Ordner auf meinen lokalen PC heruntergeladen.

Dann habe ich den Virenscanner über den Ordner mit dem Serverinhalt laufen lassen. Hierbei wurde ich dann recht schnell fündig.
Es kann sein, dass eine zusätzliche Datei auf deinen Server gelegt wurde (eventuell wird diese bei der Warnmeldung schon namentlich erwähnt(?) dann wäre die Suche einfacher). Wenn man ein wenig darüber auf dem Laufenden ist, was auf den Server gehört und was nicht, erkennt man solch Dateien u.U. auch von allein, deiner Beschreibung nach würde ich allerdings vermuten, dass dir das nicht gelingt. Sollte dein Scanner solch eine Datei finden, muss du diese dann halt löschen.

Es kann aber auch sein, dass ein "Schadcode" in deine (benötigten) "html"-Dateien geschrieben wurde. Dann müsstest du entweder den Schadcode suchen und im Editor von Hand entfernen, oder die betroffenen Dateien/Seiten löschen und neu erstellen.

Ich würde je nach Umfang der betroffenen Dateien entweder den ganzen Serverinhalt löschen und die bereinigte Version vom lokalen PC wieder hochladen. Oder aber wenn es nur 1-2 Dateien betrifft, diese vom Server löschen und bereinigt neu hochladen.

So bin ich bislang vorgegangen wenn ich oder von mir "betreute" Personen in solch einer Situation waren. Eine Erfolgsgarantie kann ich dir allerdings nicht geben.


Ich drück die Daumen... eine Rückmeldung wäre schön.

l.g. nettesekel

[mimmi]

Vielen, vielen Dank für die Informationen,

bin mit den Nerven wirklich runter (da ich meiner Freundin gegenüber ja in der Pflicht stehe)

Muss jetzt mal abwarten, was deren Provider am Montag von sich gibt.

Mein Problem ist ja auch, dass ich die Seite nicht vom Netz nehmen kann und neu lade, da ich kein Passwort mehr habe.
Aber das Passwort angeblich noch das gleiche ist.

Aller ganz schöner Mist!!
Und ich bin auch noch so lange raus aus der Materie

Ich wiederhole mich aber Danke, dass es Euch gibt.

Liebe Grüße
Mimmi

[nettesekel]

Also wenn man den Provider davon in Kenntnis setzt, kann es durchaus sein, dass der die Website lahm legt bis alles i.O. ist. 
Wen hast du denn nach dem Passwort gefragt?

Ich werde bei Aufruf der Seite übrigens auch gewarnt. Die Details zu dieser Warnung schicke ich dir mal per PN. Wie es aussieht verbreitet die Website schon seit mehreren Wochen Malware und hat damit schon verschiedene andere Websites "infiziert".

[mimmi]

Ich habe die Inhaberin der Firma um das „neue Passwort gebeten“ die mir aber gesagt hat es gibt kein neues Passwort.

Wie gesagt die Seite ging vor Jahren online und ist auch nie aktualisiert worden.
Ich habe keine Ahnung was ich falsch gemacht habe.
Ob die Schuld an mir liegt was natürlich schrecklich wäre.

Fakt ist, ich muss irgendwie die Kuh vom Eis bringen.
Doch diese Thematik ist mir völlig fremd

[nettesekel]

Ich denke nicht, dass es deine Schuld ist, oder bist du gewerbliche Webdesignerin die die Website im Auftrag erstellt hat und beauftragt war sie kontinuierlich zu pflegen, warten und überwachen? Dann könnte man dir vielleicht Fratzen schneiden, weil du nicht mal drüber gesehen hast und es nicht früher bemerkt hast.
Wenn du das auf freundschaflicher Basis und vielleicht noch als Hobby-Designer gemacht hast, dann wüßte ich nicht warum du dir Vorwürfe machen solltest. Wenn ich einen Laien mit der Erstellung eines Webauftritts betraue, kann ich nicht das Wissen und Können eines Profis erwarten. Und wie schon gesagt, passieren kann das Jedem, denn vor Hackerangriffen ist niemand gefeit, selbst die "richtig Großen" hat es da schon erwischt... ich denke da nur an die Gema. 

Ich weiß ja nicht, wie es bei deren Provider ist, aber einen FTP-Zugang kann man eigentlich im Kundenmenü einrichten und sollte ihnen der Zugang zum Kundenbereich fehlen, dann sollte es da doch sicher eine Funktion für eine Passworterinnerung oder Ähnliches geben.

[nettesekel]

Ach übrigens... wenn die Hacker sich Zugang zum Passwort verschafft haben sollten, dann ist es durchaus möglich dass sie dies auf dem Rechner deiner Freundin ausgespäht haben. 

[Cadfael]

Ich habe auch aus Gefälligkeit eine Website für jemanden erstellt ...

Der/Die wollte vor ein paar Monaten ein Update (und seitdem warte ich auf genaue Infos) ... 

Jeder weiß, dass jetzt Schluss mit Windows XP ist ...
Trotzdem sind noch Millionen XP Rechner am Netz ...

Vor mehreren Jahren mag man "merkwürdige Komponenten" eingebaut haben; weil man es nicht besser wusste oder weil es üblich war. NE hat bereits einiges aufgezählt ...
Woher soll ich wissen, dass der verlinkte "Bannerdienst" seit Jahren an die Russenmafia verkauft wurde?

Ich kann doch niemanden bitten meine Jacke in den Schrank zu hängen und mich dann 5 Jahre später über die Mottenlöcher beschweren??? 

Am Montag Kontakt mit dem Provider aufnehmen und den Webspace komplett löschen lassen. Völlig neues Passwort und völliger Neuanfang ...

[mimmi]

Ja werde ich vorschlagen. Hoffe es trifft auf Verständnis.

[Cadfael]

Das Wochenende solltest Du für eine "Notfallseite" nutzen ...

Alle externen Links der alten Version überprüfen - oder gnadenlos rausschmeißen.

Besucherzähler? Brauchst Du nicht. Das ist Web-Steinzeit.
Flash? Die Zeiten sind seit dem Einmarsch in den Irak vorbei ...

Du (gemeint: deine Bekannte) hast kein Verständnis?
Dann frag mal Leute, die mit Webdesign ihr Geld verdienen ...

Von uns hast DU auf jeden Fall Verständnis. 

Notfallseite - und dann bitte mit rechtskonformem Impressum (da hat sich in den letztejn Jahren ja auch einiges getan).

[nettesekel]

Wie es aussieht, haben die ihren Mist in verschiedenen js-Dateien platziert.

Hast du das NOF-Projekt eigentlich noch um es neu zu publizieren?

[mimmi]

Ich habe gerade mit meiner Freundin gesprochen, sie bekommt morgen neue Zugansdaten und die Seite wird wohl auf einen anderen Server gelegt. 

Ja, ich habe das NOF-Projekt noch.

Ich dachte mir, dass ich die Seite Morgen lösche und neu publiziere.

[nettesekel]

Wenn da nichts auf dem Server liegt, als das was auch im Projekt enthalten ist, geht das. Der Provider scheint ja die Ruhe weg zu haben. Unter Service verstehe ich ehrlich gesagt etwas Anderes. Wenn ein Server gehackt und mit Malware besudelt wurde sollte es auch im Interesse des Providers sein zügig zu reagieren. 

[mimmi]

Das ist wohl war   

[Karma]

Ich war vor längerer Zeit auch mal mit einer Seite gehackt worden. Fand über das Gästebuch von NOF statt.
Alles gelöscht, dann neues Passwort aufgesetzt, Seite neu raufgeladen und seit dem ist alles in Ordnung.
Kontrolliere aber mind. alle 2 Wochen ob sich auf dem Server was verändert hat.
Es sind meist .php daten. Wenn man sich das Datum der eigenen Aktualisierung aufschreibt, erkennt man anhand des Datums sofort was fremde Dateien sind.