Himmel nochmal!

Habe soeben mal kurz meine Website checken wollen, und da sehe ich, dass die Seite gehackt wurde! Na sowas...
Naja, immerhin scheint alles noch zu existieren, nur die Startseite wurde verändert... :-/

http://www.josh.ch

Zum Glück kein Beinbruch, wollte sowieso alles mal überarbeiten... und mein Respekt gebührt dem Hacker, der (nach gutem Hacker Pathos) nichts kaputt gemacht hat.

Hat jemand anderes von euch dasselbe erfahren? Habe einen Shared Hosting bei Hostpoint...

Naja, wenigstens mal Passwort ändern... ;-)

Grüsse
Josh

Was hast du für eine Forum-Software benutzt?
Welcher Hacker-Clan war es? (Hattest du ein Logo oder so dort?)

Keine Forensoftware, alles selber geschrieben (naja, das uralte phpMyWebmin Script ist absolut nicht sicher...).

Logo: http://www.josh.ch/n4n0bit.gif

Tja, da war wieder mal ein Defacer am Werk
josh.ch Mirror
andere Defacements von n4n0bit

Himmel nochmal was ist denn ein Defacer?

hey josh, das interssiert mich. die domain gehört einem kollegen von mir, die spendenaktion für den tsunami haben wir vor einem jahr gemacht. aber mit hakking hat der nie und hatte nie was am hut.

werde ihm gleich mal diesen link mailen. shocked...

ric

Hallo Josh,

siehe Link. ;-)

http://de.wikipedia.org/wiki/Defacement



MfG Sascha Ahlers

Alle meine Domains / Websites (ca. 7) sind seit einer Woche offline wegen Hackern.

Dienstag: Meine index.html ist ersetzt. Zum dritten mal von A1TS gehackt (Anomaly 1n The System).
Mittwoch: Hoster sperrt mir den Account. Über den Account wird spam verschickt.
Donnerstag: Ich frag den Hoster ob er mir den Account wieder aufschaltet, ich hab das Forum gelöscht, da ich Sicherheitslücken vermutet habe ..
Wieder wird Spam über meinen Account verschickt und nochmals gesperrt ...
Ich wechsle mehrmals die Nameserver für meine Domain um auf einen neuen Hoster umzuziehen ... Hoster will mir den Account endgültig sperren ...
Konnte nicht auf die Backups zugreiffen um die Seite dann auf den neuen Hoster laden (Account gesperrt). Meine Mail-Adressen gehen seit letzter Woche nicht mehr ....

Schade dass man alles 100% absichern muss, und das Script-Kiddies mit Sicherheitslücken in Foren 100'000enden Seiten Hacken können, viel Spam verschicken und nicht bestraft werden weil sie über 8 Proxies arbeiten ....

Aber easy, wird schon. Eines der wenigen PC-Problemen, welches man nicht Microsoft zuschieben kann .

Greets,
Joel

Hallo zusammen,

ich bin der Inhaber der Domain www.suedasien.com
Man kann mir glauben, dass ich mit den Attacken nichts am Hut habe,
kann technisch nicht mal eine ordentliche HTML Seite hochzuschieben.

Dennoch hoffe ich, dass euch hier nichts verloren gegangen ist und dass alle Daten
wieder hochgespielt werden koennen.

Interessieren tut es mich dennoch, was fuer eine Intention so ein Hacker hat....
geht nicht in mein Kopf

Gruss
Daniel

Danke für die Antworten. Da es meine private HP ist, die gehackt wurde, und da keine Daten zerstört wurden, kann ich die amüsante Seite der Aktion sehen. Geht halt um Status und Ehre von Scriptkiddies, die nichts Anderes zu tun haben den lieben langen Tag.
Hab dem Hacker jetzt eine E-Mail geschrieben, da es mich interessiert, welche Methode er verwendet hat (und ob es meine Unvorsichtigkeit war oder die des Hosters).

das find ich ne geile ideee

ric

@Josh:
Wieso versuchst du nicht einfach selber, bei dir einzubrechen?
Vielleicht kommst du so sehr schnell zu einem Ergebnis.

mich stören die Aussagen, dass der Hacker bestimmt nichts anderes gemacht hat, als die Startseite zu verändern.

Wie kannst du sicher sein, dass keine Backdoors auf dem System zurückbleiben oder dass der Server nicht in ein Warez oder Pornofilm-Server verwandelt wurde?

@ Ansgar: Faulheit. Da ich mit PHP momentan nicht viel am Hut habe, bin ich etwas fahrlässig und lasse alles laufen so wie es ist... Sollte es schlimmer kommen, werde ich handeln müssen. ;-)

@ PH: gute Frage... Da ich aber nur einen Shared Hosting mit 500MB habe und kaum mehr Platz frei ist, glaube ich nicht, dass da irgendwo noch Pornos drauf sein sollen. ;-) Und von wegen Backdoors: möglich, ja... Aber momentan habe ich andere Sorgen.

Und wenn dein "Besucher" Platz macht?

Ich hatte vor ein paar Jahren mal einen "Einbrecher" auf dem Server. Zuerst hatten wir nichts bemerkt, ausser dass der Platz immer knapper wurde. Und erst eine detailierte Analyse der syslog Files hat den Täter enlarvt.

Er war über einen unzureichen geschützten FTP Account reingekommen. Hat dann Directories mit so komoschen Punkt-Punkt-Namen angelegt, welche Unix nicht auflistete. In den Directories hat er gecrackte Software und Pornobildchen abgelegt. Nur war er auf den Kopf gefallen und hat das ganze vom Geschäft aus gemacht. Wir konnten über seine IP Adresse den Provider ausfindig machen und der wiederum über seine Logfiles den Kunden. Etwa 6 Monate später habe ich vom Provider erfahren, dass der böse Bube von seinem Arbeitgeber auf die Strasse gesetzt wurde.

Bitte also deinen Hoster die syslog Files zu analysieren und/oder dir eine Kopie zuzustellen. Dann kannst du auf die Jagd gehen. Halali oder so was...

Cheers, René

Da hast du wohl Recht, danke.

Was mich Intressiert, ist wie das "Hacken" überhaupt geht also wie kommen die an das passwort oder so ran?
außerdem hab ich das gefunden http://koeln.ccc.de/prozesse/writing/artik...r-howto-esr.xml
dort steht das ein hacker alles aufbaut und ein cracker der ist der alles zerstört. also müßte man doch sagen, meine seite wurde gecrackt anstatt gehackt oder?

und dann noch eine frage. wie kann ich schauen ob meine seite sicher ist vor solchen angriffen? lg brian

Meistens werden Sicherheitslücken von installierter Software ausgenutzt. Dadurch können dann zusätzliche Exploits, Hacker-Software, etc. raufgeladen werden.

Wenn du vor Angriffen sicher sein willst:
- Deine Software (Foren, Gästebücher, Scripts, etc.) überprüfen. Sind sie auf dem neusten Stand? Falls nicht: Gab es Sicherheitslücken?
- Deine (PHP)-Einstellungen sollten angemessen sein (z.B. überprüfen ob RegisterGlobals ausgeschaltet ist)

Wenn nur die Startseite ersetzt wurde, ist ja nicht wirklich Schaden entstanden, darum hat er wohl "gehackt" gesagt.

so nun schreibt ja Ansgar Berhorn das josh doch selbst versuchen soll auf seiner seite einzubrechen. das würde ich gerne mal auf meiner seite versuchen aber wie? mensch das lässt mir keine ruhe will meine seite schön sicher machen. lg brian

1. Beispiel wenn du ein File-Upload hast (z.B. für Bilder), versuche ein PHP-File hochzuladen und auszuführen.
2. Wenn du SQL direkt von Formulardaten ausfüllst, versuche zusätzliche Statements einzupflanzen. Wenn dein SQL so aussieht:

.. kannst du versuchen das Statement so zu verändern, dass zusätzliches SQL ausgeführt wird.
3. Liste deiner Software durchgehen, vielleicht findest du etwas mit Sicherheitslücken. Auf der offiziellen seite der Software (z.B. phpBB) steht meistens, welche Versionen noch sicherheitslücken beinhalten. Du findest dann sicher auch schnell heraus wie du diese ausnützen kannst.

...