Webseite gehackt



  • Hallo Forum,

    wir haben eine .com Webseite, sagen wir zB tollesachen.com. Wenn ich den Seitennamen direkt im Browser eintippe, dann gelange ich auf unsere Webseite so wie es sein soll.

    Wenn ich jedoch die Webseite über Google suchen lasse, zB mit 'Tolle Sachen' dann liefert Google gleich als ersten Treffer tollesachen.com, aber schon mit dem Hinweis "This site may be hacked". Wenn ich dann die Webseite anklicke, dann werde ich auf Busenbilder umgeleitet.

    Ich vermute der Google Link liefert ein Parameter mit, so dass der Schädling erkennt das hier jemand über Google kommt und liefert leitet um auf die Busenangebote. Beim direkten Aufruf wird die normale Webseite ausgeliefert um keine Aufmerksamkeit zu erregen.

    Könnte mir jemand ein paar Stichwort liefern was das für ein Befall ist und wie ich ihn wieder los werde? Mit Webzeugs habe ich normalerweise nichts am Hut.

    Vielen Dank

    Peter


  • Mod

    Die Seite löschen und Backup wieder einspielen.
    Das ist die einzig sinnvolle Lösung. Und dann alle Sicherheitslücken stopfen.

    Als Laie kannst du da jetzt leider wenig anderes tun. Am besten du gibst das deinem Webmaster weiter.



  • Unser Admin hat letzten Monat die Firma verlassen. Ich übernehme übergangsweise diese Aufgabe. Ich habe ein Backup der Joomla HP von vor einem Jahr eingespielt. Das Problem besteht noch immer. Ich frage mal in einem Joomla Forum weiter.



  • Vielleicht mal einen Blick in die üblichen Verdächtigen werfen (index.php und sowas) oder auf verdächtige Änderungsdaten der sourcen achten.
    Vielleicht kannst du den injizierten Code ausfindig machen und dann über Google und co rauskriegen, welche Sicherheitslücke ausgenutzt wurde.



  • Es ist doch mehr als offensichtlich, dass der Admin das selbst eingebaut hat, kurz vor seinem Verlassen. Als Rache, weil er in der Firma unzufrieden war.



  • find /home/httpd/html/ -name "*.php" | xargs grep 'getenv(|system|passthru|eval|`'
    

    So findest du die Verdächtigen.



  • Schreib mir ne Email (test@unlikus.de) und ich kann mich drum kümmern, bin erfahrener Admin und hab auch ein paar Erfahrungen mit Joomla.

    Ansonsten solltest du mal die Konfiguration des Webservers durchsehen, oder genau gucken was der Unterschied zwischen Google und direkt ist (Ctrl+Shift+I im Browser öffenet die Entwicklerkonsole) unter Netzwerk kannst du dann gucken wo der Unterschied in Request ist.



  • Hi,

    es ist möglich, dass der Angreifer, z.B. die .htaccess Datei angepasst hat, sodass je nachdem woher der Besucher kommt (Referer) die Seite unterschiedliche Inhalte liefert.

    Falls noch jemand eine gehackte Webseite hat, habe ich hier mal die Basisschritte zusammen gestellt, die man machen sollte, wenn die eigene Webseite befallen ist: https://www.sixhop.net/blog/webseite-gehackt/

    Viele Grüße
    Andi



  • sixhop schrieb:

    hier mal die Basisschritte zusammen gestellt, die man machen sollte, wenn die eigene Webseite befallen ist: https://www.sixhop.net/blog/webseite-gehackt/

    Haha, hab mir das durchgelesen.
    Wenn es sein muss verpasse ich dir eine shell, die du in 1000 Jahren nicht findest.


Anmelden zum Antworten