ComputerBase Menü
Aktuelles

Hackerangriff - kein Info vom Provider

M

MissC

Cadet 2nd Year
Registriert
Apr. 2019
Beiträge
17
Hallo allerseits,

ich habe mehrere Webseiten bei einem Provider mit Plesk Verwaltung.
Nun stellte ich am Samstag fest, dass auf meiner einen Webseite ein anderer Inhalt war.
Sofort meldete ich bei dem Provider mit angeblichem 24 Stunden Support 365 Tage im Jahr das Problem und fragte, ob ich zB das Backup die im Plesk liegen hochladen kann. Es war Wochenende.
ftp verwende ich überhaupt nicht.
Ich verwende Drupal, welches per Plesk installiert und aktualisiert wird. Das CMS war auf dem neusten Stand. Per SSL verschlüsselt, https://
Nun stellte ich fest, obwohl das Drupal noch unter Anwendungen aufgeführt wird, es offenbar nun ein WordPress Index drauf war auf der Domain.
Im Unterordner auf meiner Webseite waren nun Listen mit Webseitendomains zB, die offenbar alle bei dem selben Provider liegen.
zb: xxx.de, abxxx.de, yz.de,
Also vermutete ich, dass der Server gehackt wurde, weil woher kommen diese dort gehosteten Domainnamen her? Weil der Provider gehackt wurde und man so an solche Daten kam??
Dann habe ich die Webseite gesperrt und nun wird eine Fehlerseite 503 angezeigt und wartete immer noch auf eine hilfreiche Rückmeldung vom Provider.
Am 3. Tag, also heute eine knappe Info vom Provider, "dass die Applikation gehackt wurde und ich
leider haben Sie Ihren Account nicht bereinigt noch diesen für die Öffentlichkeit gesperrt hätte."
- Hä?

Nun kann ich mit der Antwort vom sog. Support gar nichts anfangen. Weil ich ja den dritten Tag auf irgendeine Hilfe und Erklärung warte.
Insbesondere, ob sie ein Datenschutzproblem haben, weil ja auf meiner Seite andere Kunden-Domains genannt werden, was ja merkwürdig ist.

Übrigens, als ich erstmals in die HTTPdocs schaute, waren die Daten von Drupal nicht mehr da aber mit alten Datumsangaben.
Kurz danach am selben Tag, waren die neuen Inhalte auf einmal mit neuen Daten auch versehen, also zB 0.5.04.19
- wie kann das?

So sah das aus auf der Webseiten-Unterseite (hab die Webadressen und Namen ge-xt):

Unterseite:
Index of /FallaXXXXX
[ICO] Name Last modified Size Description
[PARENTDIR] Parent Directory -
[TXT] xxx.de-wp13-wordpress.txt 2018-03-07 13:31 3.4K / Die Webseiten von anderen Kunden aufgelistet, aber von mir hier ge-xt.
[TXT] xxx.de-wp13.txt 2018-04-27 01:07 3.4K
[TXT] xxx.de-wp13-wordpress.txt 2018-03-07 13:06 3.5K
[TXT] xxx.de-wp13.txt 2018-03-07 13:08 3.1K
[TXT] xxx.de-wp13-wordpress.txt 2018-04-27 00:55 3.4K
[TXT] xxx.de-wp13.txt 2018-03-07 06:03 3.8K
[ ] xxx.cin 2019-04-05 03:25 12K
[TXT] xxx.de-wp13.txt 2018-04-27 01:31 4.1K
[TXT] xxx.de-wp13-wordpress.txt 2018-03-06 19:14 3.4K
[TXT] xxx.de-wp13-wp.txt 2018-03-06 18:56 3.1K
(...)

Ich habe ja extra gefragt, ob das ein Serverangriff ist oder was da los ist und was ich tun kann und soll. Keine Rückmeldung!
Offenbar hätte ich die Sicherung aufspielen können wie ich online nachlas nun, nun geht das aber nicht mehr, da ich keinen Zugriff mehr auf das Paket habe!

Ich bekomme keinerlei Info, was das für ein Hack war, wo der ansetzte, beim Server? Woher die anderen Kundenwebseitedaten kommen etc.
Nun würde ich gern wissen, ob ihr euch mit sowas auskennt, denn ich habe nicht den Eindruck, dass das so wie bei dem Provider ablaufen sollte und weiß nicht, was ich nun tun soll und kann und was ich vom Provider erwarten können sollte.

Nur das Paket sperren ist ja keine Lösung. Zumal ich die Webseite gesperrt habe. Und ich weiß auch nicht, wie ich das Paket hätte sperren sollen oder was mit der Ansage gemeint sein soll, dass ich nichts bereinigt habe?!?!
Ich wollte ja eben wissen, ob ich eine Sicherung aufspielen soll. Nur leider bekam ich vom angeblichen 24/24 h Support keine Antwort!

Worauf kann der Hacker denn Zugriff gehabt haben nach diesem "Bild"?
Übrigens verwende ich kein FTP und habe auch nirgends demzufolge FTP Daten gespeichert.

Kennt sich jemand aus? Was soll und ich nun tun?
Es ist übrigens nur diese Webseite betroffen.
Bin für jeden Tipp dankbar.
Ergänzung ()

Provider heute:
Grund der Sperrung: Ihre Seite wurde gehacked daher haben wir diese gesperrt.

- Nun ist es so, dass meine Seite bzw. die 503 Fehlerseite, die ich einrichtete, weiterhin angezeigt wird.

Die Seite wurde also nicht vom Provider gesperrt, sondern von mir.

Jedoch wurde das Paket gesperrt (bzw. der Zugang), wo die Domain drin liegt und ich komme nicht mehr in die Administration jetzt und kann weder eine Komplettsicherung einspielen noch ins Plesk kommen.
 
Zuletzt bearbeitet:
bei einem so miesen Support... nimm deine Seiten und ziehe um.

Ansonsten, ruf den Support doch mal an, dann werden die mit dir reden müssen.
 
771257


So ist das mit dem Support und vielem anderen auch. Wenn die tatsächlich 365 Tage / 24/7 anbieten... Warum Mails schicken und nicht anrufen? Wochenende? Ist dann doch egal.
 
  • Gefällt mir
Reaktionen: [ChAoZ], lafi08, MissC und 4 andere
So richtig schlau werde ich zu deiner Beschreibung des Problems nicht. Wenn plötzlich eine andere Seite angezeigt wird, weil sie gehackt wurde, dann erkennt man das in der Regel sofort. Der Hacker oder die Hackergruppe hinterlässt meist eine eindeutige Meldung, damit jeder sehen kann, vom wem sie gehackt wurde.

So wie ich das von dir herauslese, sieht das eher nach einem gewaltigen Problem des Provider aus. Da scheint einiges durcheinander gekommen zu sein. Das tatsächlich ein Angriff dahinter steckt, kann man aber nicht ausschließen.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: lafi08, MissC und Hayda Ministral
kann auch einfach sein das die Domain nicht mehr an dich vermietet wurde und daher die Werbeadressen aufgezeigt werden... ( sowas kann auch fälschlicherweise passieren )

Was normal ist.
 
Hallo, danke für die Antworten erstmal. Den Support erreicht man am WE nur übers Ticket, aber nicht per Telefon.
Ich habe auch schon vermutet, dass der Webspace auf ein falsches Verzeichnis verlinkt ist, aber die einzige Info ist, dass die Application gesperrt wurde.
Allerdings klärt das ja nix und auch nicht, wieso auf meiner Domain dann Listen von beim Hoster gehosteten Domain ist.
Es erschien nur ein WP Index in Listenform, also kein Hinweis, was das sein soll, in einem Unterverzeichnis, dann die Liste mit den Domainnamen...
Vielleicht soll das symbolisieren, dass der Provider gehackt wurde - oder woher sollen diese Infos kommen, wer alles bei dem Provider Domains gehostet hat.
Manche der Webseiten haben halt die Providerseite Hier entsteht, daher weiß ich, dass sie dort gehostet werden.
Hm, kann natürlich auch irgendwie sein, wenn ich das da oben lese, dass der Provider ein Chaos hat und oder selber gehackt wurde und deshalb in meinem http verzeichnis fremde Dateien gelandet sind (nicht von einem Hacker) mit eigenen Datenlisten... ?
Die Frage ist, was soll ich tun?
Der Provider meldet sich nicht weiter komischerweise, er könnte ja einfach das Backup hochladen, was ich normal auch könnte, aber jetzt keinen Zugang mehr habe, ich nehme an, dann wäre ja zumindest die Seite "rein". Allerdings noch nicht geklärt, woher der Angriff kam und was alles zB beim Provider betroffen ist.
Wie kann man denn überhaupt fremde Dateien hochladen in der Form. Der Provider müsste das doch sehen, ob es zB über ftp geschah oder ob die eingeloggt waren dort.
Wenn sie direkt beim Server eingeloggt waren, wäre aber nicht nur diese Domain gesperrt, da ich mit meinem Zugang ja an alle Domain komme. ;-)
Anscheinend kümmert sich da nur ein einziger Typ drum und der scheint nicht in der Lage oder willens mir etwas zu sagen hierzu.
So einfach mal mit vielen Webseiten den Provider wechseln ist auch nicht so einfach möglich...
Und extrem ärgerlich.
 
Das ein Umzug arbeit macht und nicht einfach ist, ist mir klar. Aber von dem was du bisher hier geschrieben hast, entnehme ich, dass du nicht mehr zufrieden bist mit dem Provider und auch das Vertrauen nicht mehr vorhanden ist. Daher hatte ich einen Umzug angedacht.
 
Ich glaub hier wird dir jeder bestätigen, ein Webhoster ist nur so viel wert, wie der Support kann. Und bei günstigen Anbietern ist der einfach nicht vorhanden. Mein erster Webspace war zwar günstig, aber auch nur so ein Nebenprojekt von ein paar Stundenten damals. Der Support war furchtbar.
Geh zu einem der "großen Anbieter". Da zahlst du zwar mehr, aber du hast einfach im Notfall entsprechend Ansprechpartner.

PS:
Gewöhn dir den FTP-Zugang auch an. Du musst Ihn ja nicht aktiv nutzen aber als Notfall Zugriff im Restore-Fall ist das schon von Vorteil.
 
  • Gefällt mir
Reaktionen: MissC und areiland
Im Bing Cache, jedoch nicht im Google Cache beindet sich ein oberhalb der Webseite etwas, das ich nicht deuten kann.
Im google Cache erscheint meine Seite normal bis Ende März ohne diese frame oder was das ist...
Also ich kopiere den Cache mal herein, üben drüber, nicht mitkopiert erscheint auf der Seite noch:
Uname:
User:
Php:
Hdd:
Cwd:		Linux ha01s003.org-dns.com 3.16.0-7-amd64 #1 SMP Debian 3.16.59-1 (2018-10-03) x86_64 [exploit-db.com]
also als Uname: Linux, wird hier nur verzerrt dargestellt..
Weiß jemand was da ggfs. schon gewesen war?

Das was auf dem Bild ist erscheint oberhalb der normalen Webseite, die darunter normal steht, also im Cache!
 

Anhänge

  • bincach.JPG
    bincach.JPG
    69,5 KB · Aufrufe: 452
Naja, jetzt mal eine Rückmeldung dazu, es ist so, dass es so aussieht, dass ich die Website auf komplett frischen Webspace neu machen soll, weil man nicht genau sagen kann, wann etwas verändert wurde, bzw. seit wann man Zugriff auf die Installation hatte. Das ist natürlich sehr viel Arbeit...
Offenbar konnten die Angreifer aber zumindest wohl Domainlisten sehen, aber den Rest nicht angreifen.
Also der Server wurde versucht zu hacken, was aber nicht gelang.
Die Fehlerseite einzurichten war übrigens doch richtig von mir.
Ich werd in Zukunft auch eigene Sicherungen anlegen, da die online Sicherungen in der Vergangenheit auch schon mal "weg" waren. Und wenn das mit dem ftp nötig ist, mach ich das auch wieder.
Es kann auch sein, dass bestimmte Provider häufiger angegriffen werden(?), bei diesem hatte ich öfters was mit ominösen Hackern, bei anderen Anbeitern eigentlich nichts, bzw. nur einmal. Und niemals auf einer Installation, die komplett auf dem neuesten Stand ist.
Ich finde es sehr schwierig den richtigen Anbieter zu finden und kenne auch etliche, aber nicht alles ist Gold was glänzt.
Aber ich muss mich irgendwie besser wappnen. Dazu müßte ich nur wissen, wie die mich angreifen konnten...
Ist ja nicht so einfach, das wirklich zu wissen.
 
Ich für meinen Teil mache ein Backup via FTP und das sogar manuell. Aufschalten via FTP, Daten in einen Ordner auf dem PC kopieren und den Ordner gut weglegen. Da bei mir nichts kritisches läuft ...wäre es im schlimmsten Fall auch egal. Zumindest könntest du die erste Sicherung mal so machen. Was man hat, hat man...
 
ehm... würdet ihr das genauso machen oder lieber ein Backup nehmen und gucken, was passiert oder ob etwas auffälliges auf der Installation passiert oder zu finden ist?
Die Frage ist ja leider, wann und wo kam man rein... Wie würdet ihr da vorgehen?
 
da man schon mal rein gekommen ist und keiner weiß wann und auch nicht, was dort veranstaltet wurde... neu machen! So blöd es sich auch anhört...
 
  • Gefällt mir
Reaktionen: MissC
ok, das hieße ja quasi, bei jedem Hack weiß man (fast) nie, wie weit man zurück gehen müsste, ärgerlich.
Ich frag mich was die davon haben, nur zu schaden... Man merkt es und hat die Arbeit. Die haben vermutlich gar nix davon gehabt.

Danke schön an alle,
falls noch jemand was dazu weiß: immer gern. :-))
Ergänzung ()

Helge01 schrieb:
So wie ich das von dir herauslese, sieht das eher nach einem gewaltigen Problem des Provider aus.
Zum Vergrößern anklicken....
Ich wollte das nochmal aufgreifen. Der Provider sagt, es liegt nicht an dem Provider, sondern die Seite wurde vermutlich von meiner Webseite aus gehackt. Allerdings hab ich sowas seit Jahren nur bei diesem Provider.
Und hab schon zuviel dadurch verloren.
Warum vermutest du, dass es am Provider liegt? Meinst du dass der zuwenig Sicherheitsvorkehrungen getroffen hat?
Welcher Provider ist denn so richtig empfehlenswert im Hinblick auf sowas?
 
Zuletzt bearbeitet:
MissC schrieb:
Und niemals auf einer Installation, die komplett auf dem neuesten Stand ist.
Zum Vergrößern anklicken....

Merkste selbst, oder? Wenn Du Deine Software nicht aktuell hältst, ist das ganze Deine Schuld und nicht die eines anderen. Backups sind auch Deine Verantwortung, sowas schiebt man nicht auf seinen Hoster.

Eine nicht aktuelle Software zu finden um ein entsprechendes Script für den Angriff einzusetzen ist einfacher, als die meisten denken. Was bei so was ungemein hilft, ist es jemanden drüber schauen zu lassen, der so richtig Ahnung davon hat. Dem muss man natürlich auch vertrauen. Eine nicht aktuelle oder nicht abgesicherte Software zu hosten ist unverantwortlich. Erinnert mich etwas an die joomla-Zeit. Offen wie ein Scheunentor, aber die Leute haben nicht aufgehört, den Kram zu installieren. Und dann beschweren, wenn man sich mal "umschaut". :D

Schlussendlich liegt die Verantwortung eines Hostings beim Admin und zwar mit allem was dazugehört. Auch wenn Hoster da gerne mal helfen, sollte man sich besser nicht darauf verlassen. Siehst ja, was dann passiert.

Was Kiddies davon haben, irgendwelche Seiten sinnlos auseinander zunehmen lässt sich leicht mit einer Gegenfrage beantworten: Warum leckt sich der Hund an den Eiern? Weil er es kann.

Empfehlen kann man gar keinen Hoster, wenn man nicht zumindest ungefähr weiß, was Du überhaupt betreibst.
 
OMG
onesworld schrieb:
Offen wie ein Scheunentor, aber die Leute haben nicht aufgehört, den Kram zu installieren. Und dann beschweren, wenn man sich mal "umschaut".
Zum Vergrößern anklicken....
Manche Leute leben auch in einem anderen Film und dann kommt sowas eben... Ich habe doch geschrieben, dass die Installation auf dem neuen Stand war und das nur bei diesem Provider bisher geschah, OBWOHL die Installationen aktuell waren.

Ich hatte tatsächlich mal Jahre lang ganz woanders eine nicht aktualisierte, die nie gehackt wurde. Daher vermutete ich, dass der Server ggfs. ein Problemchen haben könnte, da immer dort etwas auftrat, trotz neuestem Stand, capito?

Am besten erst lesen, am besten mehrfach, bis man den Inhalt auf verstanden hat, dann kommen auch keine solchen unangebrachten und unsachdienlichen peinlichen Kommentare. Manche Leute haben ja öfters Verständnisprobleme und sollten dann bevor sie zu einem Urteil kommen einfach mehrfach lesen, ob sie den Inhalt überhaupt wahrgenommen haben, um nicht vorschnell irgendeinen unsachlichen und despektierlichen Unsinn rauszuhauen.
Dito:
MissC schrieb:
Ich verwende Drupal, welches per Plesk installiert und aktualisiert wird. Das CMS war auf dem neusten Stand. Per SSL verschlüsselt, https://
Zum Vergrößern anklicken....
Wer lesen kann ist klar im Vorteil!
 
Zuletzt bearbeitet:
Wenn Du meinst, das sei Unsinn, Deine Sache, Viel Spaß noch mit Deinem Problem. Bin raus.
 
  • Gefällt mir
Reaktionen: rocketworm
@TE
Du bist nach eigener Auskunft schon mehrmals bei diesem bislang für uns anonymen, vermutlich ausländischen hoster, gehacked worden. Du hast bislang noch nie Hilfe von denen bekommen. Bei anderen hostern, mit anscheinend vergleichbarem gehosteten Inhalt, ist Dir das noch nie passiert.
Du gehst davon aus, dass das Leck beim Hosting und nicht in Deinen Seiten/Deinem PC liegt.

Du möchtest jetzt vom hoster eine detaillierte Fehlerbeschreibung des hacks beim hoster (seinem routing u.ä.).
Was willst Du damit?
Du kannst doch selbst mit diesen angeforderten Angaben, sofern sie erteilt würden, keine Abhilfe schaffen!
Das kann nur der hoster selbst.
Es ist übrigens auch absolut unüblich, dass die Art und Weise eines hacks beim hoster öffentlich gemacht werden. Deine Forderung würde bei keinem mir bekannten hoster erfüllt werden!

Ich weis nicht was noch alles bei diesem hoster passieren soll, bevor Du dort kündigst?
 
hm, ich bin schon mal gehackt worden, da waren dann die Sicherungen "verschwunden", also die man über Plesk machen kann.
Also seitdem gibt es diese Webseite nicht mehr.
Traurig aber wahr. Der Provider meinte, dass er nichts damit zu tun hat, wenn die im Plesk verschwinden.
Ich konnte bisher nicht in Erfahrung bringen, wer für verschwundene Sicherungen zuständig ist, wenn nicht der Provider. Jedenfalls was das schon ein Knaller dort.
Zuvor gab es dort auch einen Inhaberwechsel. Also möglicherweise ging bei der Übergabe was verloren.
Mir fehlt leider das Providerwissen, so dass ich nicht sagen kann, ob es nun an Drupal oder dem Provider liegt, bzw. an Plesk usw. Mittlerweile gibt es wieder einen neuen Inhaber.
So wie es nach meinem jetzigen Kenntnisstand aussieht, kann der Hacker auch von anderen Webseiten kommen, über die er den Server angreift. Also kanns auch an Sicherheitslücken aufm Server liegen.
Ich tapp da leider im dunkeln noch.

Jedenfalls wurde der Server auch angegriffen über meine gehackte Drupalseite laut Support und konnte so an die Domainliste der dort auf dem Server gehosteten Seiten, die dort dann ja auch öffentlich standen. Also die webseiten, die mit mir noch dort liegen. Jedoch konnten die Hacker vom Server wohl nicht mehr abgreifen.
Komisch nur, dass die mir kein Bescheid gaben, hätten die dann ja bemerken müssen oder wie, ist aber nicht so, da der Hack wohl schon ein paar Tage zurückliegt und ich es nicht sofort bemerkte.
Sollte ein Server sowas merken ?

Was ich erwarte? Dass ich zB eine Info bekomme, woher der Hack zB kam. Bzw. gar nix, da ich ja alles neu mach.
Aber eigentlich habe ich den Thread aufgemacht, siehe oben, weil sich der Support nicht meldete und ich wissen wollte, wie ihr das einschätzt. Wenn ich das richtig verstehe, denkt ihr der Server sei auch Mitschuld oder definitiv zu mau.

Tja, ich würd schon gern wissen, was Sache ist, damit ich Handeln kann. Das würde ja jeder wissen wollen und müssen.
Ist Drupal so Sch.. oder ist es der Server, weil die ein Sicherheitsproblem haben und keinen informieren.
Kann man Plesk ggfs. vergessen.
Oder am besten gleich back to html.🐍
Ist so ein CMS das wert?
Gibt es bei Dreamweaver eigentlich auch solche Sicherheitsproblemchen?
Mal eben zig Seiten umziehen geht sowieso nur langfristig.

Tja, ich bräuchte wohl Hackerwissen.

Wenn ich wieder alles neu mach und demnächst wieder gehackt werde, zweifele ich ehr an Drupal.

🔑Oder würdest du als erstes am provider zweifeln. Ich weiß es ja eben nicht richtig.
So richtig geil find ich alles neu machen und dann wieder bibbern auch nicht.
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Raucherdackel!
  • Gesperrt
Lycamobile von Hackerangriff betroffen.
Antworten
1
Aufrufe
1.231
Markchen
Markchen
Gepi87
Facebook nach Hackerangriff nicht mehr erreichbar
Antworten
19
Aufrufe
2.101
Gepi87
Gepi87
S
Nach Hackerangriff, vor der Neuinstallation. Was beachten?
Antworten
11
Aufrufe
2.008
chrigu
chrigu
M
News Western Digital: Zahlreiche Online-Dienste nach Hackerangriff abgeschaltet
3 4 5
Antworten
81
Aufrufe
8.905
Abe81
Abe81
PC-Nutzer5423
Welche Linux-Distributionen sind sicherer und welche weniger sicher, wenn jemand einen Hackerangriff auf einen Rechner startet?
Antworten
17
Aufrufe
1.545
sedot
sedot
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz