Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge

Mist, man hat meine Seite gehackt.

Sawasdee / 24 Antworten / Baumansicht Nickles

Hallo,

ich habe ein Problem und hoffe, ihr könnt mir ein paar Ratschläge geben. Meine Seite wurde offensichtlich gehackt. Unter meinem Footer befinden sich seit ein paar Tagen hunderte von Links, die da partout nicht hingehören.
Hier kann man sich den Schaden mal ansehen: http://phuket-rental.bplaced.net . Ich benutze Firefox 3.0 sowie das Add-On NoScript. Lasse ich Scripts zu, sind die Links nicht zu sehen.
Die erste Reihe verweist auf freshmp3world.com dann folgen hunderte von Zeilen, die auf von mir nicht erstellte html Seiten verweisen.
Ich habe inzwischen den aktuellen FTP-Account gelöscht, mit gleichen Namen einen neuen erstellt aber cleverer Weise das Passwort geändert. Ich habe sämtlichen Content gelöscht, so dass nur noch ein ..-Folder als auch die Datei .ftpquota übrig blieb. Dann habe ich den gesamten Content wieder hochgeladen, die Links sind aber hartnäckig immer noch da.
Ich wäre für Anregungen, was ich machen könnte echt sehr dankbar. Allerdings hier noch eine Warnung: Ich besitze kein Fachwissen, d.h. mögliche Ratschläge sollten auch Nullchecker wie ich nachvollziehen können.

Danke schon mal, dass ihr euch nen Kopf über meine Probleme macht. Falls ihr mehr Infos braucht, liefere ich die gerne nach.

bei Antwort benachrichtigen
gelöscht_23570 Sawasdee „Mist, man hat meine Seite gehackt.“
Optionen

Ich sehe keine Links und schon garnicht hunderte. Auch im Quelltext ist nach dem Copyright nix mehr.

Kann es sein, daß Du auf dem eigenen Rechner ein Problem hast?

Oder soll es nur Werbung "durch die Blume" sein?



Gruß Alois


bei Antwort benachrichtigen
Sawasdee gelöscht_23570 „Ich sehe keine Links und schon garnicht hunderte. Auch im Quelltext ist nach dem...“
Optionen

Hallo Alois,

ich hab mir das auch auf einem anderen Rechner angesehen, auch Firefox 3.0 mit NoScript, da ich auch die Möglichkeit in betracht gezogen habe, dass eventuell mein Rechner Probleme hat. Ich gehe aber eher nicht davon aus, da bei meiner ersten Löschaktion durch mein FTP-Programm jede Menge Links gelöscht wurden, unter anderem auch ein Unterordner, den ich nicht erstellt habe. Hier mal ein Screenshot von einem Bruchteil der Links direkt unter dem Footer:
[URL=http://www.file-upload.net/view-960171/webpage.jpg.html][IMG]http://www8.file-upload.net/thumb/06.07.08/lnp6vd.jpg[/IMG][/URL]
Das du Werbung vermutest, ist legitim, ist aber nicht der Fall. So dreist bin ich nicht veranlagt. Trotzdem danke, dass du dir das mal angeschaut hast.

bei Antwort benachrichtigen
Till3 Sawasdee „Hallo Alois, ich hab mir das auch auf einem anderen Rechner angesehen, auch...“
Optionen

Hallo,
kann mit Firefox 3 weder mit noch ohne NoScript irgendwelche Links entdecken...
Gruß,
Till

„We don’t make mistakes here, just happy little accidents“ (Bob Ross)
bei Antwort benachrichtigen
gelöscht_23570 Till3 „Hallo, kann mit Firefox 3 weder mit noch ohne NoScript irgendwelche Links...“
Optionen

Kann ich bestätigen, vorhin unter XP mit IE7 - nichts
Jetzt mit Firefox 3 unter Windows 2000 - auch nix


Gruß Alois

bei Antwort benachrichtigen
Sawasdee Nachtrag zu: „Hallo Alois, ich hab mir das auch auf einem anderen Rechner angesehen, auch...“
Optionen

Hmm, danke erstmal, dass ihr euch damit beschäftigt. Auf der einen Seite sehr beruhigend, dass ihr nichts entdecken könnt. Auf der anderen Seite frage ich mich natürlich, warum ich diese Links immer noch sehe. Habe eben auch mal Opera ausprobiert, gleiches Resultat. Ich bin recht viel im Netz unterwegs, habe das aber bei keiner anderen Seite beobachten können, nur bei dieser. Wie gesagt, bei der Löschaktion war reichlich "komisches Zeug" auf meinem Webspace. Ich habe nicht getrunken und sehe Dinge, die andere Leute nicht sehen :) Hat jemand eine Theorie, was das sein kann?

Edit: Vielleicht sollte ich noch erwähnen, dass ich schon darauf bedacht bin, meinen Rechner sauber zu halten. Ich habe Avast, den ich auch tatsächlich desöfteren scannen lasse, zudem scanne ich regelmäßig mit a-squared, malwarebytes anti-malware, spyware terminator und spybot. Selbst vor einem Online-Scan mit Housecall schrecke ich von Zeit zu Zeit nicht zurück. Und das, obwohl ich mich eher weniger in obskuren Ecken des Netzes rumtreibe...

bei Antwort benachrichtigen
gelöscht_23570 Sawasdee „Hmm, danke erstmal, dass ihr euch damit beschäftigt. Auf der einen Seite sehr...“
Optionen

Was mir so spontan noch einfällt:

eingetragener Proxy
manipulierte HOSTS-Datei

Evtl. den Cache des Browsers löschen.

Gruß Alois



bei Antwort benachrichtigen
Sawasdee gelöscht_23570 „Was mir so spontan noch einfällt: eingetragener Proxy manipulierte HOSTS-Datei...“
Optionen

Hallo Alois,

einen Proxyserver habe ich nicht eingetragen, den Browsercache habe ich selbstredend geleert. Quasi ständig. Allerdings: wenn ich der URL /?clear hinzufüge, sind die Links verschwunden. Wenn ich die URL ohne /?clear wieder aufrufe, sind sie wieder da. Mit HOSTS-Dateien kenne ich mich nicht aus, habe aber eben mal gegoogelt. Im Verzeichnis Windows/System32/driver/etc habe ich eine relativ frische (21.6.2008 / 65 KB) hosts.idx gefunden, die eine bunte Mixtur aus koreanischen und chinesischen Schriftzeichen enthält. Alle anderen Dateien im etc-Ordner habe ich mit Notepad geöffnet und die scheinen mir unverdächtig. Allerdings weiß ich auch gar nicht so genau, worauf ich achten muss.
Leider muss ich jetzt mal etwas schlafen, hier (Thailand) ist es schon recht spät. Ich werde mich morgen mal mit HOSTS-Dateien auseinandersetzen. Danke für die Anregung.

bei Antwort benachrichtigen
Data Junkey Sawasdee „Hallo Alois, einen Proxyserver habe ich nicht eingetragen, den Browsercache habe...“
Optionen

Hi, Sawasdee

ich habe bei meinem WinXp keine hosts.idx. Unter Windows kommt mir die ziemlich verdächtig vor.

Ich fand in Google 170 Einträge zu hosts.idx.

Wenn du englisch kannst, findest du evtl. etwas brauchbares dazu. Ohne englisch, schlechte Karten. ..

Vielleicht kannst du mal probieren, diese hosts.idx umzubenennen, und dann sehen, ob du die Links immernoch siehst.

Damit das wirkt, musst du allerdings Win neu starten.

Viel Erfolg, Thomas

bei Antwort benachrichtigen
Sawasdee Data Junkey „Hi, Sawasdee ich habe bei meinem WinXp keine hosts.idx. Unter Windows kommt mir...“
Optionen

So, ich habe jetzt kurzerhand die hosts.idx Datei in hosts.idx.old umbenannt. Rechner neu gestartet und die Problemseite geöffnet. Siehe da, meine digitalen Halluzinationen sind geheilt, keine Links zu sehen.
Damit sind meine Helden des Tages: Alois und Data Junkey

Danke!

bei Antwort benachrichtigen
Data Junkey Sawasdee „So, ich habe jetzt kurzerhand die hosts.idx Datei in hosts.idx.old umbenannt....“
Optionen

Ok, freut uns sicher Alle, dass wir helfen konnten. :-)

..Stellt sich nur noch die Frage, wo diese ominöse hosts.idx her kam? Ob du jetzt endgültig aus dem Schneider bist, wage ich mal zu bezweifeln. Denn wenn ein Schädling auf dem Rechner ist, sind die meistens nicht soo leicht zu entfernen.
Du hast evtl. nur momentan die unmittelbare Auswirkung bekämpft, aber nicht die Ursache. ..

Ich würde dir raten, dein System gründlich zu prüfen, mit verschiedenen Programmen; die sicherste Methode, einen PC wieder "clean" zu bekommen, ist nach wie vor alle Partitionen löschen, und neu installieren.

Viel Glück, Thomas

bei Antwort benachrichtigen
Sawasdee Data Junkey „Ok, freut uns sicher Alle, dass wir helfen konnten. :- ..Stellt sich nur noch...“
Optionen

Die Frage stellt sich in der Tat. Ich wohne hier in einer Gated Community mit Wifi, in der auch drei PCs den Gästen zur freien Verfügung stehen. Ich habe mich gestern an einen gesetzt und mal ein wenig rumgescannt und wie nicht anders zu erwarten, war das Ergebnis katastrophal. Zudem sind Port 23 und 80 offen. Außerdem habe ich mich vor einiger Zeit auf einem dieser Rechner bei meinem FTP-Account eingeloggt, was sicher nicht so clever war. Was mich jetzt alles auflauern könnte, weil ich in dem Netzwerk hänge, möchte ich vielleicht so genau gar nicht wissen...=)

bei Antwort benachrichtigen
Data Junkey Sawasdee „Die Frage stellt sich in der Tat. Ich wohne hier in einer Gated Community mit...“
Optionen

Oh wei, du Ärmster(e).

Naja, in so einer Rechnerumgebung ist eigentlich klar, dass sich da Ungeziefer einnistet. Hier hilft wohl nur alles Komplett neu aufspielen, und dann gut Administrieren.

Ohne fachkompetenten Administrator sehe ich da kaum eine Chance, dies auf die Dauer sauber zu halten. Und wenn du mit diesen Systemen noch Web-Sites administrierst, sind die Löcher natürlich in beide Richtungen offen wie ein Scheunentor.

Wie dem auch sei, viel Glück, Thomas

bei Antwort benachrichtigen
gelöscht_23570 Data Junkey „Oh wei, du Ärmster e . Naja, in so einer Rechnerumgebung ist eigentlich klar,...“
Optionen

Und vor allem ist eine "saubere" HOSTS-Datei nicht 65kB groß, die hat normalerweise nur ein paar hundert Bytes.

@Sawasdee: So sieht die leere HOSTS aus, hat übrigens keinen Punkt und keine Erweiterung am Ende.


# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost

127.0.0.1 localhost



Gruß Alois



bei Antwort benachrichtigen
dff gelöscht_23570 „Und vor allem ist eine saubere HOSTS-Datei nicht 65kB groß, die hat...“
Optionen

hallo Alois,

du hast recht, dass die orinale Hosts so ist.
Aber was hältst du von dieser?

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost

127.0.0.1 localhost
# Start of entries inserted by Spybot - Search & Destroy
# This list is Copyright 2000-2008 Safer Networking Limited
127.0.0.1 007guard.com
127.0.0.1 www.007guard.com
127.0.0.1 008i.com
127.0.0.1 008k.com
127.0.0.1 www.008k.com
127.0.0.1 00hq.com
127.0.0.1 www.00hq.com
127.0.0.1 010402.com
127.0.0.1 032439.com
127.0.0.1 www.032439.com
127.0.0.1 1001-search.info
127.0.0.1 www.1001-search.info
127.0.0.1 100888290cs.com
127.0.0.1 www.100888290cs.com
127.0.0.1 100sexlinks.com
127.0.0.1
.
.
.
.
127.0.0.1 www.sexmovsonline.com
127.0.0.1 www.spybot-free-scan.com
127.0.0.1 spybot-free-scan.com
127.0.0.1 www.webloyalty.com
# End of entries inserted by Spybot - Search & Destroy

So würde ich behaupten, dass dine Aussage nur bedingt stimmt, oder ich hätte ein Problem

Gruß
Gerald

bei Antwort benachrichtigen
Data Junkey dff „hallo Alois, du hast recht, dass die orinale Hosts so ist. Aber was hältst du...“
Optionen

127.0.0.1 www.sexmovsonline.com
127.0.0.1 100sexlinks.com
...

Hfff, Buddy

bist du dir da wirklich sicher, dass du kein Problem hat?

.. Wenn das in Ordnung ist, weiß ich warum ich Kaspersky IS habe. ...

Mann o mann ... :-)

bei Antwort benachrichtigen
gelöscht_23570 Data Junkey „127.0.0.1 www.sexmovsonline.com 127.0.0.1 100sexlinks.com ... Hfff, Buddy bist...“
Optionen

Wenn das gefährlich wäre, gäben solche Listen keinen Sinn:

http://www.mvps.org/winhelp2002/hosts.htm

Zu Problem wird das Ganze erst, wenn IP-Adresse und Domäne nicht mehr zusammenpassen.


Gruß Alois


bei Antwort benachrichtigen
Data Junkey gelöscht_23570 „Wenn das gefährlich wäre, gäben solche Listen keinen Sinn:...“
Optionen

Deine Seite habe ich mir gerade mal Gebookmarked Onkel. :-)
Hast du vielleicht sowas in deutsch auf Lager?

Danke, Thomas

bei Antwort benachrichtigen
GarfTermy Sawasdee „Mist, man hat meine Seite gehackt.“
Optionen

die site an sich scheint schon bei einem seltsamen hoster zu liegen:

You have tried to access a web page which is in violation of your internet usage policy.

URL: phuket-rental.bplaced.net/
Category: Spam URL

das sagt meine firewall dazu.

vielleicht suchst du dir zunächst einen vernünftigen hoster und verwendest starke passwörter um deinen zugang zu sichern.

;-)

The two basic principles of Windows system administration: For minor problems, reboot For major problems, reinstall
bei Antwort benachrichtigen
Sawasdee GarfTermy „die site an sich scheint schon bei einem seltsamen hoster zu liegen: You have...“
Optionen

Hallo GarfTermy,

nun, ich habe einen werbefreien Freehoster gesucht und bin auf bplaced gestossen. Ob das die beste Wahl war, sei mal dahingestellt. Ich habe die Seite für einen thailändischen Bekannten erstellt und meine Zeit lässt es eher nicht zu, jetzt nochmal diverse Webkataloge zu bestücken. Mit dem Passwort hast du offensichtlich recht. Deshalb wäre ich für Tipps dankbar, diese Seite wieder flott zu bekommen.

bei Antwort benachrichtigen
Prosseco Sawasdee „Hallo GarfTermy, nun, ich habe einen werbefreien Freehoster gesucht und bin auf...“
Optionen

Hallo Sawasdee.

was heisst Host/Hosting.

Im Systran Translator, heisst es BEWIRTUNG.

Wieso muss du dich drum kuemmern.

Aber Egal, die Seite Funktioniert. Nur irgendwas von Ferien Orten in Thailand zu Zeigen. COOL.

Aber hier:

http://www.yogimichael.de

Gruesse
Sascha

Das ist keine Signatur. Sondern ich putz hier nur
bei Antwort benachrichtigen
Starfly Sawasdee „Mist, man hat meine Seite gehackt.“
Optionen

lol ich hielts zuerst fürn billigen Fake, denn ich las nur http://phuket-rental.bplaced.net was sich für mich hart nach "fucked rektal" anhört :-D

bei Antwort benachrichtigen
marcomist2003 Starfly „lol ich hielts zuerst fürn billigen Fake, denn ich las nur...“
Optionen

Welches CMS (Conent Magnament System) hast du den? Wenn du ein alte version von Joomla hast kann es gut sein dass es wieder passiert.

Mein Computer redet klar: Il dump dello stato è costituito da un dump del registro.
bei Antwort benachrichtigen
Sawasdee marcomist2003 „Welches CMS Conent Magnament System hast du den? Wenn du ein alte version von...“
Optionen

Hi marcomist2003,

Ich hab gar kein CMS. Sollte ich eins haben? Die Seite besteht ja nur aus ein paar simplen html-Seiten und dem php-Script für das Kontaktformular und muss nicht groß verwaltet werden.

bei Antwort benachrichtigen
marcomist2003 Sawasdee „Hi marcomist2003, Ich hab gar kein CMS. Sollte ich eins haben? Die Seite besteht...“
Optionen

Ein CMS kann viel sicherer sein wenn es akualisiert ist. Das CMS stellt automatisch die rechte fùr die ordner ein und sagt dir wenn etwas ist.

Mein Computer redet klar: Il dump dello stato è costituito da un dump del registro.
bei Antwort benachrichtigen