Gestern hat mir der Anblick der obigen Seite denn doch den Tag verhagelt. Wollte gerade noch einen kurzen Blick in mein Privat-Blog werfen, da sprang mir dieses Bild entgegen. Erster Gedanke: „Scheiße, Seite gehackt“. Zweiter Gedanke, schnell noch die anderen Präsenzen auf dem Server abklopfen. Übel, selbst mein stillgelegtes Greymatter-Blog hatte es erwischt. Weiter ging’s zur nächsten Site. Shit, auch nicht besser, meine Goggle-Spielwiese war ebenfalls betroffen, ebenso wie zwei weitere englische Projekte.
Als erstes kam mir der russische Kopierkünstler von gestern in Verdacht, so als kleines Dankeschön für das an den Pranger stellen seiner Seite. Aber russisch sah der Angriff eher nicht aus. Zudem ergab eine weitere Überprüfung via Reverse-IP mit Domaintools, dass auf dem Server meines amerikanischen Providers noch 740 weitere Domains lagen. Ein kleine Stichprobe von einem Dutzend Seiten auf dem Server brachte eine 100-prozentige Trefferquote, was das Hacker-Intro anging. Na schönen Dank, da haben die die ganze Maschine flachgeschossen.
Bei meiner sofort eingeleiteten Rettungsaktion wurde dann auch klar, woran gedreht wurde. Ausnahmslos alle Dateien mit dem Wort index am Anfang, selbst Bilder, wurden bei dem Hack-Angriff gegen die Hackerseite ausgetauscht. Na schönen Dank. Da hat ein Script anscheinend die ganze Maschine abgefräst und alle indexe umgelegt. Tödlich. Mindestens 741 Opfer, wahrscheinlich noch ein paar mehr. Mein pappnasiger amerikanischer Provider hat es bis jetzt nicht für notwendig erachtet, mich über den Angriff zu informieren.
Update 3.09.2006: Die Seuche ist noch im Gange, zwar anderer Provider und mit etwas anderer Fassade, aber mit dem selben Hack. Diesmal waren es 630 Webseiten auf einen Streich.
Mein Beileid. Du solltest dich unbedingt nach einem fähigen Hoster umschauen und auf eigene Hardware umsteigen. Ich bin für den englischen Kram mit zufrieden. Aber wie ich sehe hattest du zumindest alle Backups, ist ja nicht so selbstverständlich ;-)
Oliver, ich glaube du hast recht. Noch keine Info vom Provider, aber er hat alles gebackupt. Alle Änderungen die ich gestern gemacht hatte sind weg. Uploaden, ändern oder korrigieren is auch nicht möglich dank toller Fehlermeldungen:
553 Disk full – please upload later
550 Can’t create directory: No space left on device
Da fällt mir leider nix mehr zu ein. Die haben wahrscheinlich Murphy im Support-Team eingestellt.
Mein Forum http://www.mda-treff.de wurde auch neulich gehackt … Spaß müssen diese Leute haben …
Kam der Kram aus .tr? Wirst Du aber wahrscheinlich nicht wissen, da der Angriff nicht bei Dir stattgefunden hat. Ich hatte solche Jungs auch letztens bei mir, die via Google kamen und nach inurl: p*wered by phpbb suchten. Interesanterweise suchten die nach Version .10 … Sowas ist ja nun schon uralt.
Gott sei Dank war aber alles up to date so dass nix passiert ist – bis jetzt. Wenn so ein Server angeriffen wird, hat man ja fast keine Chance. Da helfen in der Tat nur Backups.
Ich frag mich immer, ob solche Leute echt nichts besseres zu tun haben…
Den Schock stelle ich mir ziemlich heftig vor. Ich werde meine Daten auch mal wieder sichern. Es wird Zeit.
Claudia, gute Idee. Generell ist jeder gut beraten, der regelmäßig seine Daten sichert. Das Übel mit/bei dem Provider ist auch noch nicht ausgestanden, die ganze Nummer ist heute noch mal passiert. Diesmal habe ich es noch zeitnäher bemerkt. Auch schon alles wieder repariert. Aber was hilft’s, zur Zeit ist die Kiste fast unerreichbar. Der Transfer für die ersten 2 Domains zu einem anderen Registrar läuft schon. Schaun mer mal.
Hi
unsere Seite wurde auch 2mal gehackt von den lieben netten .tr Scrippt kiddies.
Aber immer nur ein „Zusatztool“ den ich in der HP eingebaut habe.
Letzendlich mußte ich die Seite neu erstellen und Zusätze weglassen.
Die Kiddies suchen gezielt nach älteren, „nicht sicheren“ Seiten und gezielt auch auf zusatztools.
Nun wurde aber vorgestern unsere Seite wieder gehackt.
Ich hab sofort mein ftp zugang kontrolliert und kam nicht rauf.
Nach einem blick auf der seite vom hoster war mir klar das nicht ich sondern er gehackt wurde.
Mein Hoster ist ein webspce, Teamspeak und Gameserver anbieter.
Is alles futsch(Datenbank und html) und das ist schon der 2te Tag :(
Ich machte auch noch den fehler und Hab mein Teamspeak und HP bei dem, somit kann ich keinen der Mitglieder informieren.
Mein Update ist locker 2 Wochen alt aber ich hab eins ^^
Was will ich damit sagen
Kann jedem passieren und wenn man denkt man ist „sicher“ dann wird eine Ebene höher gehackt.
Immer schön die Passwörter wechseln, Neueste Updates haben, und die Zugriffrechte kontrollieren.
Am wichtigsten sind die Backups.
Gruß
Kain
Ich bin jeden Tag auf der suche nach schlechten websites! womit ich schwach geschützte meinte. leider finde ich viel zu viele davon! ja ich hacke diese Seiten aber ich zerstöre sie nicht! sondern setze ein kleines Bild auf die Website mit dem Titel deine Seite ist nicht sicher. zugleich bekommt der inhaber eine Mail von mir mit dem genauen vorgehn wie ich die seite gehackt habe und wo seine schwachstelle ist! so und nicht anders darf es sein!
Gruß BlackMister