it-swarm.com.de

Schwarze Index- / Standardseite mit "Hacked by ..." in jedem Ordner

Ich habe mehrere Domains bei diesem sehr beliebten Hosting-Anbieter gehostet und bin einfach auf eine meiner Websites gegangen und ... Ich sehe eine schwarze Seite mit der Meldung "Hacked by ...". Ich habe es überprüft und alle meine Websites mit dem Anbieter zeigen dieselbe Seite an.

Innerhalb des Dateisystems hat der Hacker alle default.*- und index.* -Dateien mit dieser Meldung abgelegt. Also hat der Hacker alle Indexseiten überschrieben, neue Seiten platziert und das ist unter jedem, sage ich nochmal, jedem Ordner. Das aufzuräumen wird fast eine schreckliche Aufgabe sein.

(Im Moment warte ich auf die Wiederherstellung der Dateien vom Hosting-Anbieter.) Was ist zu tun? Wie kann man das verhindern? Wen schuld?

5
Vad

Was ist zu tun (im Moment warte ich auf die Wiederherstellung der Dateien vom Hosting-Anbieter)?

  • Korrigieren Sie die Löcher, durch die Sie zuerst gehackt wurden. Wenn dies auf die Vernachlässigung des Webhosts zurückzuführen ist, suchen Sie einen neuen Host.

  • Bewahren Sie Backups Ihrer Site auf, damit Sie nicht auf Ihren Host angewiesen sind.

Wie kann man das verhindern?

  • Wenn Sie Ihren eigenen Code schreiben, müssen Sie ihn sicher schreiben und über die neuesten Web-Sicherheitsnachrichten auf dem Laufenden bleiben

  • Wenn Sie Software von Drittanbietern verwenden, müssen Sie mit deren Releases Schritt halten, insbesondere wenn diese Sicherheitsupdates enthalten.

  • Stellen Sie sicher, dass Ihr Host mit den Software-Patches des Servers Schritt hält.

Wen schuld?

  • Wenn es Ihr Code war, der ausgenutzt wurde, beschuldigen Sie sich.

  • Wenn es der Server des Hosting-Unternehmens war, der gehackt wurde, geben Sie ihnen die Schuld.

  • Wenn die Software eines Drittanbieters ausgenutzt wurde, geben Sie sich selbst die Schuld (es liegt an Ihnen, sie auf dem neuesten Stand zu halten).

8
John Conde

Um Ihre Frage zu beantworten, wie jemand neue Dateien in meine Hosts schreiben kann, gibt es drei Möglichkeiten, wie ich dies gesehen habe.

Erstens, FTP-Account-Hijacking. Der schlimmste Fall, mit dem ich mich auf meinen Websites befassen musste, war, als ein Hacker Zugriff auf ein Root-Konto oder ein High-Level-Konto erhielt, mit dem er die Indexseiten aller Websites auf diesem gemeinsam genutzten Host-Server überschreiben konnte. Brute-Force-Angriffe, Botnets und andere solche Techniken sind die Mittel, um dies zu erreichen. Sobald sie drin sind, können sie tun, was sie wollen.

Der zweite, der ebenfalls mit FTP zusammenhängt, lässt einen öffentlichen, anonymen FTP-Bereich mit vollen Rechten offen. Auf diese Weise kann der Hacker ein Skript hochladen und ausführen. Das Skript könnte dann Dateien kopieren oder andere Arten von Unheil anrichten. In der Regel werden die Dateien nach dem Ausführen gelöscht, sodass die Beweise nicht angezeigt werden. Einige Hosts sind schlecht darin, den anonymen FTP-Zugang nicht zu sperren.

Das letzte, mit dem ich mich befassen musste, ist die SQL-Injection auf WordPress Sites. In diesem Fall greift der Hacker mithilfe von Injection auf das Administrationsfenster WordPress zu und ersetzt das aktive Design durch die gehackte Version. Es gibt verschiedene Möglichkeiten, um die Installation von WordPress zu sperren. Schauen Sie sich um und finden Sie eine, die gut zu Ihren Bedürfnissen passt.

4
jfrankcarr

Die Antwort von John Conde ist ausgezeichnet und sollte als die richtige akzeptiert werden, aber ich wollte etwas ansprechen, das Sie in Ihrem Beitrag erwähnt haben und das vielleicht mehr als einen Kommentar verdient.

Um die Bereinigung zu vereinfachen, können Sie unter Linux Befehle ausführen, mit denen nur bestimmte Dateinamen und Typen gelöscht werden. (Sie können zum Beispiel rm mit Parametern ausführen)

Ich möchte hier kein Code-Snippet veröffentlichen, da jeder Server etwas anders eingerichtet ist und ich Ihre Websites nicht noch mehr nerven möchte, aber Ihre Hosts sollten dies sehr schnell tun können.

0
Toby