Zur Navigation

Webseite defaced - wie ist das möglich?

1 Rudy

Hallo,

mit Entsetzen habe ich heute festgestellt, dass eines der Webs, die ich verwalte, defaced wurde. Und zwar ist die index.html - Seite in index2.html umbenannt worden und stattdessen eine andere index.html auf dem Webspace gelandet. Diese war von irgendeinem indischen Restaurant oder was, völlig seltsam - die darauf verlinkten Bilder waren nicht vorhanden. Entsetzt habe ich die Seite gelöscht, was mir jetzt leid tut - ich hätte sie besser analysieren sollen.

Nun bin ich beunruhigt - die Seite hat keine Upload-Möglichkeit, keine Scripts, alles statische Seiten. Wie kann es sein, dass eine fremde Datei auf dem Server landen kann und eine Datei umbenannt wird? Das Zugangspasswort ist kryptisch, 8 Zeichen lang - praktisch nicht knackbar.

Wie kann ich das Defacing künftig verhindern - kann ich das überhaupt? Ich weiß ja nicht mal, wo ich ansetzen sollte...

Danke,
Rudy

24.01.2007 19:33

2 Jörg

Wenn es noch Nachbarn auf dem Server gibt, kann auch dort eine Lücke ausgenutzt worden sein. In jedem Fall solltest du dann den Hoster kontaktieren.

Dann würde ich noch die Logs analysieren, ob dort Hinweise zu finden sind

Wie hast du auf den Webspace zugegriffen, per FTP? Bei normalem FTP wird das Passwort ja auch unverschlüsselt übertragen

Die Passwörter würde ich alle austauschen - ebenso die Dateien auf dem Webspace

24.01.2007 19:48

3 Rudy

Der Server ist ein Gemeinschaftsserver des Anbieters, den ich immer nutze. An die anderen Webs auf dem Server hatte ich gar nicht gedacht... kA was da sonst noch liegt, man sieht ja seine 'Nachbarn' nicht.

Logs habe ich leider keine zum Analysieren, sowas gibt es hier nicht. Das erste Mal, dass ich solche vermisse.

Das FTP-Passwort ist bereits ausgetauscht, sonst hätte ich keine Ruhe mehr bekommen. Da kann sonst ja weiß gott was oben landen, zum Glück wurde nichts gelöscht und die Reparatur war einfach. Ich werde nun im Supportforum des Hosters schreiben, danke für den Hinweis.

Die Dateien auf dem Webspace soll ich austauschen? Wie meinst Du das? Nochmal raufkopieren?

24.01.2007 19:59

4 Jörg

Ich würde sichr gehen, dass auf dem Web nicht noch etwas anderes ausgetauscht wurde

24.01.2007 20:15

5 Rudy

Ok, habe ich erledigt, kein Ding. Danke für die Hilfe - mal sehen was der Hoster sagt.

24.01.2007 20:19

6 Gustafsson

Moin Rudy, kann man erfahren um welchen Hoster es sich handelt ?

btw - es gab/gibt doch eine Möglichkeit herauszufinden, wer noch alles auf dem Server gehostet ist, mir fällt nur nicht mehr ein wie das ging, irgendwas mit IP Adresse, so fand ich damals heraus, wer sich noch so alles in meiner Server "Nachbarschaft" bei d)f tummelt.

gruß uwe

25.01.2007 09:36

7 Christian

Salve
Was hast Du denn für Servereinstellungen? Insbesondere der safe mode interessiert mich.. Es gibt hier sich widersprechende Aussagen. Die einen (meistens Hoster) sagen, dass wenn der safe mod off ist, jemand auf fremde Webs zugreifen kann. Die andere Fraktion, meist Progger, meinen das sei Humbug.

Nun ist mir da natürlich Deine Auskunft wichtig..... Eine Erfahrung mehr schadet nicht.

Gruss
Christian

---- nix Signatur

25.01.2007 11:02

8 Rudy

@uwe

Den Hoster zu nennen wäre wohl kaum der Sache dienlich - es ist mein italienischer Stammhoster. Bisher habe ich nur gute Erfahrungen gemacht - kein Speicherplatz-Limit, 5 MySQL 5.0 Datenbanken a 50mb, 5 Pops a 30MB für weniger als 50€ / Jahr. Trotz dieses Vorkommnisses würde ich ihn weiterempfehlen.

@Christian

Ich habe mal phpinfo() ausgeführt:

[...]
report_memleaks	On	On
safe_mode	Off	Off
safe_mode_exec_dir	no value	no value
safe_mode_gid	Off	Off
safe_mode_include_dir	no value	no value
[...]

Demnach scheinst Du mit der Vermutung ziemlich richtig zu liegen. Ich dachte bisher, ich würde im Safe-Mode arbeiten, lokal habe ich den auch aktiv. Wenn das wirklich der Grund ist, werde ich den Hoster fragen, weshalb der Safe-Mode deaktiviert ist. Von derartigen Gefahren wusste ich gar nichts - jedenfalls bin ich mir sicher, dass es kein oller Injection-Angriff war.

25.01.2007 19:20 | geändert: 25.01.2007 19:23

9 Gabi

Ist ja wirklich grauenhaft, was alles passieren kann! :-(
(Ich glaube, ich suche mir bald ein anderes Hobby.)

Es beruhigt mich immerhin etwas, dass es sich wenigstens bei diesem Problem jetzt nicht auch noch um 1&1 handelt...

Bei mir ist die Konfiguration wie bei Rudy.

Und ich habe als Altlasten noch hunderte von statischen Seiten in unzähligen unordentlichen Verzeichnissen, alleine bei der Vorstellung, all das Zeug neu hochzuladen und zu kontrollieren, wird mir fast schwarz vor Augen.

Gruß Gabi

25.01.2007 20:04

10 Soulex (Gast)

www.yougetsignal.com
Da kann man sehen welche andere seiten hosten auf dem server.
Noch kann man mit eine phpshell die security abchecken, und sehen ob man genug sicher aufm server ist.
Also wenn man mit einen phpshell andere daten ausführen kann, und verzeichnisse von "Nachbarn" sehen kann, dann weisst du, dass server nicht genug sicher, und dass jeder so über anderen verzeichnes in deinen landen kann..

05.06.2009 12:00

Beitrag schreiben (als Gast)





[BBCode-Hilfe]