Website gehackt - wie funktioniert das?

[Esmeralda]

Ich habs hier im Herbst mal gepostet, da war die Website meiner Freundin auf einmal von einem Virus befallen, der unsere Rechner dann total lahm gelegt hat. Sie hat dann durch einen Bekannten (der angeblich IT-Fachmann ist) die ganze Seite vom Server holen und neu aufspielen lassen - das Ganze war wenige Tage sauber, dann war wieder ein Virus drauf. Das Spiel hat sich zweimal wiederholt, inzwischen hatte sie neue Zugangsdaten von 1und1, aber das Problem konnte nicht gelöst werden.
Hilfe von 1und1 gabs nicht, die Firma hat sich geweigert die Seite komplett zu löschen, auf Hilfe-Anfragen kam nur die Antwort, sie solle auf ihr Passwort aufpassen .

Gut, Notbremse gezogen, die Seite bei 1und1 abgemeldet, neuen Provider, SEite neu raufgeladen, statt der Endung *.com jetzt *.de. Diese SEite ist nun - noch - sauber.

Aber die alte Seite, die ja schon seit vier Wochen mindestens bei 1und1 abgemeldet ist, wird auf einmal auf eine Hardcore-Porno-Seite umgeleitet!!!! Das ist natürlich extrem peinlich , vor allem, weil ihre Website auf zahlreichen anderen Seiten verlinkt ist.

1und1 hilft, wie gesagt, nicht, sondern wirft ihr nur vor, sie wäre leichtsinnig mit ihren Zugangsdaten umgegangen und darum sei die Seite gehackt worden.

Sie hat die Zugangsdaten anfangs an eine Freundin gegeben, die ihr die erste Website gemacht hat - selber hat sie keine Ahnung davon. Dann nur noch an diesen IT-Menschen, der jetzt die neue Seite gemacht hat. Beide sind nach ihrer Ansicht absolut vertrauenswürdig und zumindestens die erste hat vermutlich auch zu wenig Kenntnisse um Viren in Websites zu verankern - sie hätte auch keinen Grund dazu, es gab keinen Streit oder so.

Ich mache ja auch öfter für andere kleine WEbsites, natürlich mit deren Zugangsdaten , bin zum Glück aber auch noch nie in solch eine Situation gekommen.

Weiß jemand, wie so etwas funktioniert - kann man eine Seite hacken ohne die Zugangsdaten zu haben? Es gibt ja Programme die Kennwörter würfeln können, das müßte bei sowas wohl auch funktionieren - aber wer kann ein Interesse dran haben, die Website einer Pudelzüchterin zu manipulieren? Meine Freundin fühlt sich inzwischen persönlich verfolgt und denkt, daß jemand sie persönlich ärgern will, wobei sie aber niemanden in Verdacht hat.

Kann man so etwas verhindern und wenn ja wie, und ist 1und1 vielleicht als besonders kundenunfreundlich bekannt? Bei denen müßten doch die Alarmglocken schrillen wenn man ihnen mitteilt, daß von ihrem Server aus ein Virus verteilt wird - oder?

Anneke

[Antaris]

Antivirus Software ist aber installiert und aktuell gehalten worden ?

ansonsten ist das wie eine offene Haustür,
mit Antivir kann auch eine Spysoftware installiert sein,
die Benutzerdaten abgreift - manchmal reicht ein Tracking cookie
(den schickt mir regelmäßig z.b. der Internethändler Amaz...)

Ansonsten, wie du es sagst " das Würfelspiel "

[Thomas_B]

Moin Anke,

klar geht das, fast alles ist hackbar
Über die Motivation dazu kann ich natürlich wenig sagen..logisch

Um den Schutz zu verbessern, sollte man Passwörter grundsätzlich möglichst lang und sinnbefreit, einmal quer durch den Zeichensatz wählen.
Das behindert sog. Brute Force Cracker, die versuchen, dass PW entweder durch das Ausprobieren von Kombinationen oder über Password-Listen zu knacken.

Beispiel: kennt dich der Hacker, wird er evtl. versuchen, dein PW über bekannte Fakten aus deinem Leben zu ermitteln (Name von Mann, Hund, Boot..Hobby, etc).

Grundsätzlich: PW wie 'horst' Mutti' 'werderbremen' sind schlecht.
Besser sind Passwörter wie 'kdjf7889d7fjkdj/*k423', da rechnen derartige Programme ggf. Jahre dran rum.
Im I-net gibts auch Programme, die Passwörter verwalten (weil man sich sowas wie eben kaum merken kann) und welche, die entsprechend 'sichere' Passwörter generieren können.

Gruß,
Thomas

[Esmeralda]

Hallo Axel,

auf unseren Rechnern waren damals aktuelle Virenscanner drauf, bei meiner Freundin Norton und ich hatte Antivir. Aber es geht jetzt ja nicht um unsere Rechner, sondern den SErver bei 1und1, denn von da aus wird die Website jetzt ja umgeleitet

Anneke

[Esmeralda]

Danke Thomas,

aber geht das hacken nur über das Passwort oder auch irgendwie anders? Das Passwort hat sie von 1und1 gekriegt und erstmal nicht verändert, erst nach der nächsten Hackerattacke, und so ein IT-Mensch sollte sowas ja wohl eigentlich wissen .

Auch die jetzige Umleitung der Website, kann die nur über das Passwort installiert worden sein oder gibts auch andere Möglichkeiten?

Anneke

[Thomas_B]

Es gibt mehrere Möglichkeiten, eine Website umzuleiten, die genaue Analyse, wie das in diesem Fall gegangen ist, sollte evtl. der Provider aufklären können. Offizielle Umleitungen gehen i.d.R über die htaccess - Konfigurationsdatei des jeweiligen Servers, es ist aber auch einfach möglich über die gehackten Zugangsdaten die Umleitung direkt in der Website einzubinden.

[Hessi James]

Hallo,

warum hat die Freundin de .com-Namen nicht beim Providerumzug mitgenommen? Man nimmt doch keinen neuen Namen, nur weil man den Provider wechselt. Dann wird man ja nicht mehr gefunden.

War auf dem alten Server ein CMS installiert? Wenn ja, könnte es eine veraltete Version mit einer Sicherheitslücke gewesen sein, die ausgenutzt wird. Wenn nein, ist ein Hacken des Passworts sehr wahrscheinlich. Wenn bereits ein sehr sicheres Passwort verwendet wird, könnte es sein, dass auf dem PC deiner Freundin beispielsweise ein Trojaner oder Keylogger installiert ist, der ständig Kennwörter abgreift.

Grüße,
Frank

[Thomas_B]

Ich hab mir die Seite gerade angesehen, das ist wirklich übler Stoff...
Frank mag recht haben, Keylogger o.ä., auf jeden fall halte ich das für kriminell und bin der Ansicht, dass entsprechende Stellen eingeschaltet werden sollten.

Gruß,
Thomas

[Chili]

Um mal etwas strukturierter an das Thema heranzugehen:

1. Um was für einen "Virus" handelte es sich denn?
2. In Abhängigkeit von 1.: lag dieser "Virus" auf dem Webspace von 1&1?
3. Ich lese raus, dass es eine selbstgebastelte Seite ist/war. Vermutlich statisches HTML. Richtig?
4. Was für Elemente gab es auf dieser Website? Werbebanner? Besucherzähler?

Poste mal die URL.

[Thomas_B]

Zitat:

Zitat von Chili

Poste mal die URL.

Nee...
Schick die mal lieber per PN.

Die wollen wir hier sicher nicht gepostet haben.

[Thomas_B]

zur Ergänzung:

http://safeweb.norton.com/report/sho...super-tube.com

Da gehts hin.

[Esmeralda]

Vielen Dank für Eure schnelle Hilfe - die Seite werde ich sicherlich hier nicht posten. Thomas hat sie ja angesehen und es ist für meine Freundin natürlich megapeinlich.

Die com-Domain ist nicht mitgenommen worden, weil 1und1 sie noch nicht freigegeben hat. Die Frage ist auch, ist es sinnvoll die mitzunehmen oder wird die gleich wieder gehackt?

1und1 ist extrem unfreundlich, ich habe da heute morgen selber angerufen und wollte das melden, die weisen - seit Monaten meine Freundin und heute auch mich - nur darauf hin, daß meine Freundin wohl sorglos mit ihren Zugangsdaten umgegangen sei und sie da nichts mit zu tun hätten. Bei denen werde ich ganz sicherlich nie wieder eine Seite hosten!!!

Anneke

[Thomas_B]

sind das nicht die mit dem Leiter für Kundenzufriedenheit.....Marzel Dingengskirchen
Vielleicht sollte man sich an den wenden.
(Vertrag kommt schließlich von vertragen...gestern noch gehört...)

[Antaris]

Zitat:

Zitat von Anneke

Hallo Axel,

auf unseren Rechnern waren damals aktuelle Virenscanner drauf, bei meiner Freundin Norton und ich hatte Antivir. Aber es geht jetzt ja nicht um unsere Rechner, sondern den SErver bei 1und1, denn von da aus wird die Website jetzt ja umgeleitet

Anneke

doch gehts es, da die Benutzer Daten abgegriffen wurden.

Zitat:

Zitat von Anneke

1und1 ... weisen - seit Monaten meine Freundin und heute auch mich - nur darauf hin, daß meine Freundin wohl sorglos mit ihren Zugangsdaten umgegangen sei und sie da nichts mit zu tun hätten. ..

Anneke

[Antaris]

Anneke,

wenn ich meinen Hausschlüssel offen rumliegen lasse
und es macht sich jemand eine Kopie davon,
dann kann ich mich nicht hinterher beim
Hersteller der Haustür beschweren.

[wolfgang_]

Hallo Anneke,

ich habe mit 1&1 bisher auch oft schlechte Erfahrungen sammeln müssen.
Die werben doch seit einiger Zeit mit ihrem neuen "Zufriedenheits Typen" Marcel Davis. Man wird aufgefordert in solchen Fällen direkt an ihn zu mailen:
davis@1und1.de

versuchs doch einfach mal

[Thomas_B]

Mal abgesehen davon, dass nicht genau klar ist, woher die Zugangsdaten kommen (Site gehackt oder auf dem lokalen Rechner geklaut) gehts hier doch nicht um 'selbst schuld' oder nicht, sondern darum, den Schaden zu beheben.
Und da würde ich zumindest Hilfe(-Stellung) vom Provider erwarten.

[Esmeralda]

Zitat:

Zitat von Thomas_B

sind das nicht die mit dem Leiter für Kundenzufriedenheit.....Marzel Dingengskirchen
Vielleicht sollte man sich an den wenden.
(Vertrag kommt schließlich von vertragen...gestern noch gehört...)

Da habe ich gerade mal angerufen - ohne Kundennummer können die nichts machen angeblich. Die sind nicht mal in der Lage, sich die gehackte Website anzusehen!!! Die können ohne eine Kundennummer nicht ins Internet gehen!!!

Und Schriftverkehr darüber hat meine Freundin ja schon genug. Leiter für Kundenzufriedenheit - ha ha ha.

Anneke

[Thomas_B]

probier doch mal die Mailadresse aus...
Vielleicht geht die ja tatsächlich.

[Esmeralda]

Hab ich gerade gemacht, aber wahrscheinlich muß sie das selber machen - ich habs aber versucht. Vielen Dank Wolfgang für die Mailaddi, ich hatte nur die TelNr. gefunden!!!!

Anneke

[Chili]

Ich habe mal geschaut.

Die com-Adresse ist mit Fehler 403 sowieso gar nicht zu erreichen.
Die de-Adresse ist schlichtes statisches (und schlechtes) html. Erfüllt aber seinen Zweck und funktioniert.
Da KANN sich jedoch kein "Virus"/Schadcode verstecken.

An der Geschichte ist irgendetwas anderes faul!!

[Esmeralda]

Zitat:

Zitat von Chili

Ich habe mal geschaut.

Die com-Adresse ist mit Fehler 403 sowieso gar nicht zu erreichen.
Die de-Adresse ist schlichtes statisches (und schlechtes) html. Erfüllt aber seinen Zweck und funktioniert.
Da KANN sich jedoch kein "Virus"/Schadcode verstecken.

An der Geschichte ist irgendetwas anderes faul!!

Danke Hans,

heute vormittag war die com-Adresse noch zu erreichen und vor ca. zwei Stunden auch noch - und als Thomas geguckt hat ja auch noch - vielleicht haben sie inzwischen ja doch was gemerkt, der IT-Freund von meiner Freundin hat denen mit Anwalt gedroht inzwischen.

[xtw]

Ihr werft hier sehr viele Begriffe und Themen durcheinander, die in diesem Fall nicht zusammengehören... könnte mir sogar vorstellen, dass es dadurch ein Kommunikationsproblem mit 1&1 gibt (deren Hotline aber auch wirklich "billig" ist... aber wenn man sich Strato nicht leisten will... ).

Hat die Freundin die Mitnahme der Seite überhaupt beantragt ? Denic ist bei .com ja nicht zuständig... Wenn sie "weg" und abgemeldet ist bzw jemand anders jetzt der Besitzer, kann der machen was er will - Pech für Deine Freundin !

Einen Virus hat sicher niemand auf den 1&1-Server geschickt, sondern ein Package in die Seitenprogrammierung eingefügt, dass beim Betrachter einen Virus implementiert. Das ist nicht die Schuld von 1&1 !

Aber das ist jetzt fast schon Kaffeesatzleserei, erster Ansatz wäre, herauszufinden, WEM die Seite JETZT gehört.

Gib mal hier : http://www.nic.com/nic/whois/ die Seite ein, wenn Du sie schon geheimhalten willst.

Gibt es einen neuen Besitzer, hat Deine Freundin Pech gehabt. Ist sie noch der Besitzer wurde die Seite gehitchi... entführt. Dann sperren, leerräumen, mit Originaldaten füllen und gerne mehrfach das Passwort ändern. Gehen die Zugangsdaten nicht mehr, wären wir wieder bei der Hotline, dafür muss es aber eine Lösung bei 1&1 geben.

So, Infos bitte !

[Esmeralda]

Zitat:

Zitat von xtw

Ihr werft hier sehr viele Begriffe und Themen durcheinander, die in diesem Fall nicht zusammengehören... könnte mir sogar vorstellen, dass es dadurch ein Kommunikationsproblem mit 1&1 gibt (deren Hotline aber auch wirklich "billig" ist... aber wenn man sich Strato nicht leisten will... ).

Hat die Freundin die Mitnahme der Seite überhaupt beantragt ? Denic ist bei .com ja nicht zuständig... Wenn sie "weg" und abgemeldet ist bzw jemand anders jetzt der Besitzer, kann der machen was er will - Pech für Deine Freundin !

Einen Virus hat sicher niemand auf den 1&1-Server geschickt, sondern ein Package in die Seitenprogrammierung eingefügt, dass beim Betrachter einen Virus implementiert. Das ist nicht die Schuld von 1&1 !

Aber das ist jetzt fast schon Kaffeesatzleserei, erster Ansatz wäre, herauszufinden, WEM die Seite JETZT gehört.

Gib mal hier : http://www.nic.com/nic/whois/ die Seite ein, wenn Du sie schon geheimhalten willst.

Gibt es einen neuen Besitzer, hat Deine Freundin Pech gehabt. Ist sie noch der Besitzer wurde die Seite gehitchi... entführt. Dann sperren, leerräumen, mit Originaldaten füllen und gerne mehrfach das Passwort ändern. Gehen die Zugangsdaten nicht mehr, wären wir wieder bei der Hotline, dafür muss es aber eine Lösung bei 1&1 geben.

So, Infos bitte !

Danke! Da steht sie noch als Inhaber der Seite drin.......

Ich wollte die Adresse hier nicht posten damit sich nicht jemand was auf den Rechner holt dadurch! Thomas und Hans haben ja mal nachgeguckt.

Ich glaube, die Zugangsdaten gehen auch nicht mehr - wie gesagt, es gibt ja schon jede Menge Schriftverkehr mit 1und1 und für die Übernahme der Seite zum neuen Provider mußte sie irgendwie einen Code oder sowas von 1und1 haben - hat sie auch angefordert und dem neuen Provider gegeben, aber dieser Code oder was das war stimmte wohl auch nicht.

Ist es überhaupt sinnvoll, die com-Domain noch mitzunehmen oder besteht nicht die Gefahr, daß die auch wieder gehackt wird? Die de-Seite funktioniert beim neuen Provider ja. Ist nur blöd, weil sie ihre tausend Verlinkungen dann ändern muss.....

Anneke

[xtw]

Die Sicherheit hat überhaupt nichts mit dem TLD zu tun - es liegt vorrangig an der Sorgfalt des Seiteninhabers. Wenn Sie die Kontrolle zurückerlangt hat, Daten im Original übertragen und ein paarmal das PW ändern - fertig und sicher ! Vorausgesetzt, sie hat keinen Keylogger/Trojaner auf dem Rechner, mit dem sie auf die Seitenprogrammierung zugreifft...