Hallo

letzte Nacht wurde eine meiner Websites gehackt und eine fremde index.html als Starttseite geladen.

Nun meine Frage: Was würdet ihr tun um solche Überraschungen für die Zukunft zu unterbinden.

Gruss space

Autsch!

Hast die Server Logs? Falls ja würde ich mich sehr dafür interessieren um den Angriff zu analysieren.

Cheers, René

Hallo René

diese Seiten habe ich noch nicht auf dem eigenen Server - die liegen bei einem Schweizer Reseller Hoster.

eventuell erfolgte der Zugriff über eine ältere Version der "Coopermine Gallery". Es wurden vom Hacker Rar-Dateien in die Gallery geladen.

Ich schliesse vorsichtshalber die Zugänge zu den Coopermine Galerien auf den Websites die auf diesem Server liegen.


Gruss space

Aber du kannst sicher die Logfiles, welche deine Site betreffen bei deinem Hoster mittels FT runterladen. Ich mach das jeden Tag, da mir die Webalizer.config meines Hosters nicht enspricht. Ich lasse dan die Logs durch meinen Webalizer laufen.

Ich will dich nicht drängen, aber es wäre fein, wenn wir die Logfiles analysieren könnten. Ich weiss zwar (noch) nicht, ob man in den Access und Error Logs etwas finden würde. Aber gerade diese Erkenntnis wäre schon etwas wert. Und wenn man etwas finden würde, dann könnte man davon lernen. Ich glaube kaum, dass dir der Hoster den Syslog hergibt (zu intim). Aber fragen kostet ja bekanntlich nichts.

Ich bin im Algemeinen erstaunt, wie wenig sich die Leute hier im Forum um Informationssicherheit kümmern.

Die einen finden, es sei des Hosters Auftrag sich um die Sicherheit zu kümmern und die anderen werden bleich, wenn bei ihnen eingebrochen wird. Aber sich selbst darum kümmern, nope!

Halt, Ausnahme! Das Ayom Forum selbst ist gut bis sehr gut gesichert. Wir (meine CISSP Kollegen und ich) haben ein paar kleine aber feine Attacken auf Ayom versucht und sind nicht durchgekommen. "Fein" heistt: keine DoS und keine brute Force, sonder SQL Games und so.

Cheers, René

Hallo René

Es gibt in den Access und Error Logs nichts ungewöhnliches.

Ich denke aber, das ich dem Hacker einen Riegel vorgeschoben habe und keine Attacke mehr zu befürchten habe.

Ansonsten zügle ich die ganzen Projekte auf meinen eigenene Server - der ist zwar auch nicht sicherer, aber wenigstens bin ich dann selber schuld

Ein paar Infos zum Hacker gibt es hier


Gruss space

schau mal ob bei dir allow_url_fopen auf on steht

Hallo cybermax

Die allow_url_fopen ist auf on.

Ich lasse das auf "on" - allerdings werde ich die fehlerhaften Scripts updaten.

Danke für den Tip

Gruss space