bastelmeister.de wurde gehackt

bastelmeister

Kurzstreckenflieger
Hallo,

da will man seine eigene Seite aufrufen und bekommt ne Meldung, dass der Besuch dieser Seite meinen Rechner beschädigen könnte... :unsure:

Nach Überprüfung, stellte ich tatsächlich ein eingefügtes iframe in meiner index.html fest - vermutlich ein Trojaner! (siehe angehängtes Foto vom Text)

Der Hoster ist informiert und hat mir nur empfohlen, ich soll mein Passwort ändern - soweit war ich schon selbst!

Nun hab ich mal in meine Zugriffsstatistiken geschaut und folgende komische Anfragen in den Fehlern gefunden:

2: 0,55%: /(null)
1: 0,28%: /w3c/p3p.xml
1: 0,28%: /null
1: 0,28%: /server-status
1: 0,28%: /server-info
1: 1,72%: /_vti_bin/owssvr.dll
1: 1,72%: /MSOffice/cltreq.asp

Kennt sich wer damit aus, sind das verdächtige Anfragen? Versuchts da einer nochmal?

Kann mir jemand sagen, was der Schadcode angerichtet hat, wenn jemand ungeschützt meine Seite aufgerufen hat? Ich hab mit meinem Mac da so gar keine Ahnung.

Danke
 
Zuletzt bearbeitet:
Nun hab ich mal in meine Zugriffsstatistiken geschaut und folgende komische Anfragen in den Fehlern gefunden:

2: 0,55%: /(null)
1: 0,28%: /w3c/p3p.xml
1: 0,28%: /null
1: 0,28%: /server-status
1: 0,28%: /server-info
1: 1,72%: /_vti_bin/owssvr.dll
1: 1,72%: /MSOffice/cltreq.asp

Kennt sich wer damit aus, sind das verdächtige Anfragen? Versuchts da einer nochmal?

Das ist normal. Du dürftest in den Logs auch sehen, das diese Zugriffe einen 404 hervorgerufen haben. Das sind nur automatisierte Scans, wo Bots prüfen, ob diese URLs erreichbar sind.
Ich würde mir viel mehr Gedanken machen, wie es überhaupt zu dem Hack kam. Kann jemand dein Passwort erraten haben, weil es zu einfach war? Kannst du auf deinem Webspace Scriptsprachen ausführen und hast evtl. unsichere Scripte am laufen?
Möglicherweise ist aber auch der Server selbst betroffen, weil jemand anderes in seinem gehosteten Web neben dir, Mist gebaut hat.
 
Kann jemand dein Passwort erraten haben, weil es zu einfach war? Kannst du auf deinem Webspace Scriptsprachen ausführen und hast evtl. unsichere Scripte am laufen?

Ich dachte eigentlich mein Passwort wäre ganz ordentlich, offensichtlich aber nicht. :unsure: Ok - vermutlich gibts da eh Programme, die das schnell rausfinden?

Das geht alles nicht:

eigene CGIs in PHP und Perl
PHP
Perl
MySQL-Datenbank
Datenbank-Speicherplatz
Sicherer Shell-Zugang über SSH
Sicherer FTP-Zugang über SSH
SSL-Unterstützung
LogFiles (Access- & Error-Log)

Das einzige was geht, sind die vom Hoster selbst zur Verfügung gestellten CGI (Gästebuch, E-Mail-Formular, Counter, Weiterleitung, Newsletter) wovon ein Counter drauf ist. Wie sicher das ist - k.A.?
Ach ja und Frontpageerweiterungen werden unterstützt (FrontPage-Version 2002 (einschl. 98, 2000). Die FrontPage Client-Software ist nicht enthalten.)
Hab ich aber auch nicht.

Was kann das Dingens denn nun bewirkt haben? Was sollte ich noch unternehmen?

Danke
 
Du kannst jetzt erstmal garnichts unternehmen.
Um ganz sicher zu gehen, nimm ein Passwort in der Art:
3KavRQX.vrDM-31b_28d
Da kann dir keiner den Vorwurf machen, es wäre zu unsicher.
Wenn es wieder auftritt, dann ist es ein Problem des Hosters. Dann kannst du aber auch nichts machen, außer jenen darauf hinweisen und zu hoffen.
 
Eben gefunden: 1und1-Server infiziert gehostete Websites - Trojaner-Board
ich bin also nicht allein - nur dass ich bei freenet bin und nicht bei 1&1. Außerdem habe ich nicht die Neuinfektion nach 4-8 Stunden.

Sinnigerweise bin ich gerade am HP Umbau - auf der Seite befindet sich außer der Startseite mit einem Link zur Impressumseite und Counter, den css-Dateien, 3 Bilder, robots text und favicon nichts. In der Impressumsseite ist allerdings eine Amazon-Werbung geschaltet (auch als iframe) kann das die Schwachstelle sein?
 
Oben