Heute Nacht wurde mal wieder eine Webseite übernommen.
Die Angreifer sind wahrscheinlich über eine Lücke im Confixx des Anbieters www.all-inclusive-webspace.de eingedrungen.
Da ich für den Betreiber der Seite öfters kleine Aufgaben am Shop übernehme (und ich ihm bereits sagte, dass www.all-inclusive-webspace.de schon öfters Sicherheitsprobleme hatte), trifft mich das ganze nicht ganz unerwartet.
Die Hacker gingen hierbei auch ganz gentlemanlike vor (man hätte auch weit mehr Schaden anrichten – vielleicht sogar die Existens des Shopbetreibers zerstören können – der Frau und 2 Kinder zu ernähren hat).
Ich denke also, es sind keine eingefleischten Blackhats, sondern eher Leute die ein wenig Spass wollten.
Da offensichtlich ist, dass die Angreifer über hoos Area auf die Seite aufmerksam wurden – vielleicht melden sich die Hacker bei mir – vielleicht auch mit Hintergrundinfos zur Lücke und wie man diese behebt (sofern dies überhaupt in dem Webspacepaket möglich ist).
Kontaktieren könnt ihr mich über meinen mailer.
Um Trittbrettfahrer fern zu halten, schreibt bitte was Ihr verändert habt.
Mit dem Betreiber der Seite habe ich mich bereits in Verbindung gesetzt und ihm mitgeteilt, dass er sich eine Anzeige sparen soll, da diese eh ins Leere laufen würde (Proxy etc.) – zudem sieht er es nach einigem an Aufklärungsarbeit recht sportlich.
Also meldet euch, wenn ihr keine eingefleischten Blackhats seid.
Update:
Der hack wurde nicht wie angenommen über das Confixx, sondern über eine SQL Injection durchgeführt.
Irgend wie macht es ja Spass Logfiles zu durchforsten, zu testen, zu googlen etc.
Würde mich nach wie vor trotzdem freuen, wenn sich die Hacker bei mir melden würden.
Update2:
Gerade eben meine emails gecheckt, werde mich heute Abend bei Dir melden.
Gruß hoo
Jag mir doch keine Angst ein xD
dachte gerade die rede wäre von all-inkl.com (name ist auch verdammt ähnlich^^)
Wenn es wirklich am Confixx lag, würde ich vorschlagen eine Confixx update durchzuführen.
Am besten, ihr schaut auf dem Rootserver in die access log rein. Wenn die ein Exploit verwendet haben, dann wird das dort aufgelistet sein.
Zudem nochmal die komplette software auf dem Server updaten und vlt mal beim rechner vom admin nach trojanern schauen
Fairerweise solltest du jetzt vielleicht auch das Shopsystem nennen, und auch ob es mit diesem Shopsystem auch früher schon Probleme gab.
Oder wer den angreifbaren SQL Request geschrieben hat?
Hatte vor ca. 4 Wochen auch schon 2 mal das Problem. Ich hab im Netz diese Seite gefunden. http://www.infected-web.de
Die hab ich einfach angeschrieben. Die haben mir sogar per Email geholfen ohne das ich was gekauft habe. Die haben die Lücke gleich gefunden und mir gesagt was ich tun soll. Allerdings mussten die keinen Sicherheitsscan bei mir machen weil die Lücke für die so offensichtlich war.