Website gehackt

server-daten schickt mir da ab und an so niedliche Mails: Heute wieder stapelweise:

Man sieht: Da wird versucht, ein Gif nachzuladen, da kommt dann ein Ladebefehl ran. Und dann ist der Server meiner.

Wordpress, PHPAdmin, Xmlrpc - alles, was es so an niedlichen Softwareprodukten alles gibt.

PS: Die IP-Nummer habe ich rausgenommen. Das cmd.gif enthält PHP-Code, eine ganze Bibliothek. Das cback, das heruntergeladen wird, ist ein Exe-Programm, macht wohl gleich eine Backdoor auf.

Man sieht: Man muß nicht bloß alle Scripte, sondern den gesamten Server kontrollieren - alle Prozesse, die automatisch gestartet werden.

Danke Spaceman!

Hi zusammen

Ist dieses Problem nur bei Server-Inhabern vorhanden oder auch bei Hosting-Paketen bzw. kümmert sich da der Hoster darum?

Ich bedanke mich bei euch für die Unterstützung und Tipps

Vom kleinen Script "CrawlTrack" bin ich begeistert. http://www.crawltrack.fr
Es hat in nicht mal 24 Stunden 7 Angriffe (code injection) abgewehrt.

Ich denke das spielt keine Rolle ob eigener Server oder nicht. Es geht um die diversen Scripte, die Lecks haben. Deshalb ist es ja auch so wichtig, das immer auf die neuste Version geupdatet wird.

Gruss space

Hi Spacefun

Bei meiner Software viscacha.org gibt´s eine Spider-Verwaltung, wo einzelne Spider gesperrt werden können, sieht ähnlich aus wie im Link. Ist das dasselbe oder muss man hier die "Angreifer" nicht mal kennen?

Hallo Lynn

Beim Script "CrawlTrack geht alles vollautomatisch. Man muss nur ab und zu die Crawler und Angreiferliste updaten.

Gruss space

Das ist so nicht ganz richtig.
Ebenso wie die Scripte Lücken haben können ist es möglich Schwachstellen in der Server-Konfiguration auszunutzen um Schadcode einzuschleusen.

Darüber ist es z.B. möglich Scripte auszutauschen. Da hilft dann auch deine Kontrolle vorher nichts mehr.

Daher ist es genau so wichtig auch seinen Server entsprechend abzusichern.
Bei hostingpaketen übernimmt das (mehr oder weniger gut) der Provider, bei einem eigenen Server must du dich selber bemühen.

Das ist schon klar. Aber ich gehe davon aus das die gängigen Sicherheitseinstellungen in der php.ini und auf dem Server aktiviert sind.

Auch dann kann ja ein unsicheres Script für Angriffe die Hintertür öffnen. Bei mir ist ein Reseller-Account betroffen. Ich habe die eigenen Server aufgegeben. Die dauernenden notwendigen Updates machten zuviel Arbeit welche ich lieber in neue Projekte investiere.


Gruss space

Das kann ich gut verstehen.
Ich wollte das nur nochmal klarstellen. Deine Antwort oben hätte man nämlich auch lesen können ala "Ne, brauchst dich um deinen eigenen Server nicht kümmern, da kann nix passieren."
Und das kann dann sehr schnell gefährlich werden...

Das Crawl Track Tool arbeitet gut.

In zwei Tagen schon über hundert Angriffe abgewehrt.

Hier einer der harmloseren:
http://www.servicesbrazil.net/ - so zugedröhnt scheinen sie nicht zu sein

Das fehlerhafte Script habe ich auch entdeckt - ein Postkarten Script.

gruss space