Haben wir hier einen Serverprofi?

[wernerw]

all-inkl.com kann ich auch empfehlen. Lippi hat recht. Die sind richtig gut und man hat Support. Ein Fakt der bei vielen fehlt. Emails werden innerhalb von Minuten beantwortet, Probleme sind schnell mit dem Support gelöst.

Die Migration zu einem anderen Hoster läuft in mehreren Schritten ab. Erst sicherst du deine Datenbanken (gibts tools für) und Emailkonten. Für Forensoftware gibt es Anleitungen wie man die sichert...... für den Umzug der Domain brauchst du dann den Auth Code.
Auf dem neuen Webserver kannst du vorab alles einrichten und testen, erst wenn das funktioniert zieht man final um.

Wer fummelt an den htaccess und index Dateien? Habt ihr das rausgefunden?

[Totti-Amun]

Nein, man konnte bisher nur das Datum herausfinden.
Derzeit nicht, ob die Dateien schon früher (vor x Tagen, Wochen, Monaten) vermurkst wurden.

Ich brüte aktuell über mehreren Szenarien, dazu zählt natürlich auch ein Serverwechsel.
Der löst aber mein Problem nicht. Infizierte Seiten umzuziehen geht halt nicht.

Allerhöchste Priorität hat nur das Surf-Forum und der Windsurf-Onlineshop.
Ob dann ein Neuaufsetzen auf anderem Server und Import der Nutzer und Beiträge und Import der Artikel/Kunden das Problem löst, muss ich gleich besprechen.
Ich weiss es nicht, auch nicht ob mein Programmierer dazu gesundheitlich aktuell in der Lage ist.

Wahrscheinlich versuchen wir erst mal einen Restore des Servers auf einen Zeitpunkt vor dem Ereignis.

Ich habe noch jemanden im Dunstkreis bei einem der größten Anbieter, der dort für gehackte Kundenseiten zuständig ist und die vom Netz nimmt. Es ist aber keinesfalls ein Thema zu diesem Anbieter zu wechseln und ich weiss nicht, ob er noch Side-Aufträge übernimmt. Er hatte mal erfolgreich bei meinen damals gehackten vB Forum geschafft, den gesamten Schade-Code zu entfernen.

Gruß

Totti

[Totti-Amun]

An einen Hack glaube ich persönlich immer noch nicht so ganz. Aber ich habe eben auch keine große Ahnung, man kann nicht alles wissen.

Wie geschrieben, hatte ich ein gehacktes Forum mal bei meinem früheren Provider Hosteurope beim vB Forum (vB und Woltlab sind die Software Entwickler, das Boote-Forum ist ein vB), lange her. Deutlich über 10 Jahre. HE hat damals meine Seiten ohne Vorankündigung sofort vom Netz genommen, was hier bisher seitens DF nicht geschehen ist.
Würden die wohl sofort machen wenn was wäre, weil auf dem Server an sich ja nicht nur ich liege als Kunde, sondern noch andere Kunden.

Grüße

Totti

[Sigi S.]

Zitat:

Zitat von Totti-Amun

An einen Hack glaube ich persönlich immer noch nicht so ganz. Aber ich habe eben auch keine große Ahnung, man kann nicht alles wissen.

Wie geschrieben, hatte ich ein gehacktes Forum mal bei meinem früheren Provider Hosteurope beim vB Forum (vB und Woltlab sind die Software Entwickler, das Boote-Forum ist ein vB), lange her. Deutlich über 10 Jahre. HE hat damals meine Seiten ohne Vorankündigung sofort vom Netz genommen, was hier bisher seitens DF nicht geschehen ist.
Würden die wohl sofort machen wenn was wäre, weil auf dem Server an sich ja nicht nur ich liege als Kunde, sondern noch andere Kunden.

Grüße

Totti

Das muss nicht unbedingt so sein.
Ich verwende XCP-NG Server auf der Hardware, darauf laufen mehrere Debian Server mit jeweils eigener Software. Wird einer dieser Server gehackt ist das für die anderen kein Problem, da isoliert.
Wenn da was ist, kann ich sofort eine Maschine auf einen anderen Server ziehen und eine Backup hochfahren.
Habe natürlich bei mir den Vorteil das alle Server bei mir im Keller stehen

[Totti-Amun]

Wir werden jetzt erstmal zum Testen das Autoscooter-Forum.com zurücksetzen, jeweils um einen Tag.
Da gab es in den letzten Tagen vor dem "Ereignis" eh keine Beiträge...

Gruß

Totti

[maxo]

Hallo Totti,
hast du bei deinem Provider ein übergeordnetes Controlpanel für deinen Account (Plex o.ä.)?

Dort könnte es einen Menüpunkt "Sicherheit" oder ähnlich geben. Evtl. fällt dir dort eine Einstellung auf, die die Zugriffe begrenzt hat.
Auch gibt es oft die Möglichkeit die PHP Version zu ändern. Zumindest einen Versuch wert, dort einen Blick reinzuwerfen.

Viele Grüße

[Totti-Amun]

Ich bin bei Domainfactory, so sieht das Panel aus:

[wernerw]

Die PHP Einstellungen zu den Versionen muss stimmen und dein Webseitenkonstrukt muss die Version dann auch unterstützen. Das wäre meine erste Aktion das zu prüfen.
Viel Erfolg!

[Totti-Amun]

Zitat:

Zitat von wernerw

Die PHP Einstellungen zu den Versionen muss stimmen und dein Webseitenkonstrukt muss die Version dann auch unterstützen. Das wäre meine erste Aktion das zu prüfen.
Viel Erfolg!

Da gibt es keine Konflikte, es wurde nichts geändert.
Es sind ja nicht nur die beiden Foren betroffen.

Grüße

Totti

[coffeemuc]

Zitat:

Zitat von Totti-Amun

Hat jemand eine schlüssige Erklärung, warum auf die Minute genau alle Webseiten auf diesem Server in meinem Paket die selben Symptome aufweisen?

Von den Kollegen gab es ja schon Beiträge dazu.
Ich versuchs auch noch mal:
Die "Webseiten" bestehen aus 2 Komponenten, dem Code den du hochlädst und dem Code den der Provider bereitstellt.
Beides muss zusammenpassen und das ist eben hier nicht mehr der Fall wenn der Provider bei sich eine Aktualisierung vorgenommen hat.

[Lippi]

Aus meiner geringen Erfahrung heraus ist mir allerdings unklar, warum ein Update des Webservers die htacess Datei ändert.
Ein php Update, was öfters passiert, dürfte doch nur fehlerhafte Darstellung von Seiten mit älteren php Befehlen erzeugen....

[coffeemuc]

Zitat:

Zitat von Lippi

Aus meiner geringen Erfahrung heraus ist mir allerdings unklar, warum ein Update des Webservers die htacess Datei ändert.

Die htacess Datei wird nicht verändert. Aber die Art wie der Inhalt verarbeitet wird.

Im vorliegenden Fall könnte es so gewesen sein, dass mache Seiten (login.php) als Ausnahme von der htacess für alle "offen" waren. Wenn eine Änderung dazu führt, dass die Ausnahme wegfällt, kommt es genau zum beobachten Fehler.

Dann hat man ein Henne/Ei Problem: Nur angemeldete User haben Rechte, aber sie können sich gar nicht anmelden.

[Lippi]

Ok. Aber bei seiner HP geht ja kein Link zu Unterseiten... das sollte ohne Anmeldung gehen, vermute ich...

[coffeemuc]

Zitat:

Zitat von Lippi

Ok. Aber bei seiner HP geht ja kein Link zu Unterseiten... das sollte ohne Anmeldung gehen, vermute ich...

Aus #1: So ist in dieser Datei der generelle Aufruf von php-Dateien untersagt (“Deny from all”)


Wenn alles verboten ist, kommt man nirgends hin. Das ist der Sinn dieses Eintrags, aber eben nicht das gewünschte Ergebnis.

[Totti-Amun]

Also, es gibt eine weitere unerfreuliche Meldung, obschon ich zunächst Hoffnung hatte:

Wir haben heute vormittag das Autoscooter-Forum mit der Datensicherung aus der Nacht zuvor (also 5-6h von vor dem Ereignis) einspielen lassen.

Die .htaccess-Dateien sind jetzt in Ordnung und die Dateien schallfuns.php hat mein Foren-Programmierer nicht mehr gefunden.
Aber: Es gibt immer noch eine Datei index.php im Hauptverzeichnis mit Zeitstempel von heute (sollte aber eigentlich 08.09.25 sein), die ganz offensichtlich manipuliert ist.
Es gibt auch eine 'fremde' Bilddatei toggige-arrow.jpg mit heutigem Zeitstempel, die gemäß Internet-Suche verseucht sei und die bei Bedarf wohl immer wieder automatisch neu erstellt wird.
Das Problem ist also mit dem Einspielen des Backups wohl nicht gelöst.

Sieht also doch nach einem gehackten Server aus.

Gruß

Totti

[coffeemuc]

Zitat:

Zitat von Totti-Amun

Sieht also doch nach einem gehackten Server aus.

Bleibt die Frage: Wurde der Server gehackt oder dein Account?

[Totti-Amun]

Das weiss ich nicht.

Bearbeiten / Löschen der Dateien war nicht erfolgreich.
Die toggige-arrow.jpg wurde z.B. nach kurzer Zeit wieder erzeugt.

Jetzt mal einen Restore vom 07.09. beauftragt, denn aktuell ist auch die Startseite weiss.

Gruß

Totti

[wernerw]

Die Zugängsdaten und -konten habt ihr bislang nicht geändert???? Dann braucht ihr erstmal nicht weiter machen. Das wird wieder überschrieben werden. Die Datenbankpasswörter müssen auch geändert werden, die config dateien müssen anschließend angepasst werden. Könnte auch über SQL Injection erfolgt sein, so das ihr den Fuchs in der Datenbank sitzen habt.

[Totti-Amun]

Zitat:

Zitat von wernerw

Die Zugängsdaten und -konten habt ihr bislang nicht geändert???? Dann braucht ihr erstmal nicht weiter machen. Das wird wieder überschrieben werden. Die Datenbankpasswörter müssen auch geändert werden, die config dateien müssen anschließend angepasst werden. Könnte auch über SQL Injection erfolgt sein, so das ihr den Fuchs in der Datenbank sitzen habt.

Sämtliche FTP Zugänge wurden gelöscht, einer dafür neu angelegt.
Das Passwort zu DF wurde geändert.
Datenbank macht gerade keinen Sinn, wenn man eh zurücksetzt.

Das Autoscooterforum wurde soeben erneut zurückgesetzt nun auf den Stand 07.09., mein Programmierer schaut nachher rein.

Ist auch die Frage, ob der Hack evtl. nur einen Auslösetag hatte und damit jetzt ruht.
Wird man in den nächsten Stunden sehen, bzw. ggfs. dann morgen vormittag.
Aktuell können wir eh sonst nichts machen, ausser zurücksetzen.

Ich werde morgen ein Kundenkonto bei all-inkl. anlegen und meine ungenutzten Domains übertragen, dass man da ein Forum parallel neu installiert und versucht die User und Beiträge zu übertragen.

Ggfs. auch einen neuen Shop, aber das ist wirklich ein Problem.
Ich würde evtl. auch direkt zu JTL wechseln, aber irgendwie müssen ja die Kundenkonten und Artikel mit.

Gruß

Totti

[Sigi S.]

Leider scheint das die gleiche vorgangsweise wie bei meinem Server zu sein.
Immer wieder manipulierte Dateien und neu angelegte Dateien. Bei mir auch über mehrer virtuelle Serverinstanzen.
Seiten habe eine Zeit lang mit den Backups funktioniert, dann ging es wieder los.
Testweise habe ich einen CRON erstellt der jede Minute die relevanten Dateien wiederherstellte. Damit haben zwar die Seiten funktioniert, aber den Eindringling ist man dadurch nicht los.
Backup auf einen neuen Server, mit neuen Zugangsdaten, dann war Ruhe

[gbeck]

Scheinbar hat sich der Mist auch auf den Server des BF übertragen….

( siehe Themensname von „wo ist das in Kroatien“ )

[Totti-Amun]

Zitat:

Zitat von gbeck

Scheinbar hat sich der Mist auch auf den Server des BF übertragen….

( siehe Themensname von „wo ist das in Kroatien“ )

Das ist nur der vB Code im Topic, das hat eigentlich nichts zu bedeuten. Der wird in der Überschrift einfach nicht funktionieren und das möglicherweise auch noch nie.

Grüße

Totti

[Lippi]

Zitat:

Zitat von Totti-Amun

Das ist nur der vB Code im Topic, das hat eigentlich nichts zu bedeuten. Der wird in der Überschrift einfach nicht funktionieren und das möglicherweise auch noch nie.

Grüße

Totti

Dass der style Befehl aber nicht ausgeführt wird, ist definitiv seit heute....

[Oldskipper]

Ich bin froh, dass ich mich nicht mehr um Server kümmern muss. Ich habe 20 Jahre lang zwei eigene Server gehabt. Komplett mit eigener Verwaltung, ohne Hoster.
Mein Sicherheitskozept sah so aus:
Ein Server war der Produktionsserver. Der zweite Server war Backup. Da ich auch das DNS verwaltet habe, konnte ich jederzeit zwischen den Servern hin und her switchen.
Ich habe das mehrfach gebraucht. Es gab 2 Hardwaredefekte in dieser Zeit. Ich hab dann einfach umgeswitcht, bis der Server wieder lief. Einmal ist das Rechenzentrum komplett ausgefallen. Kein Problem, die Server lagen in unterschiedlichen Zentren
Beide Server haben taglich Backups gemacht. Die Backups lagen in einem dritten Rechenzentrum und jeweils über Kreuz auf den beiden anderen Rechenzentren.
Das hatte auch noch andere Vorteile Ich habe mehrfach den Shop umprogrammieren müssen, weil PHP von 4.x auf 8.3 hochging, was nicht immer kompatibel war. Besonders 8.2 war kompliziert.
Es gab jeden Tag Hackerangriffe. Meistens auf bekannte Schwachstellen in WordPress usw.
Da ich aber einen komplett selbst geschrieben Shop ohne Standardsoftware hatte, ist nie etwas passiert. Der war schon sicher, weil es keine bekannten Schwachstellen gab. Er hatte bestimmt Schwachstellen, aber die waren halt unbekannt. Die größte Gefahr waren MySQL Injektions.
Das hilft jetzt nicht unbedingt weiter, aber ich vermute, es läuft Standardsoftware, was einfach ein Risiko ist. Da muss man jedes Update machen und selbst dann bleibt ein Risiko.

Ich drücke die Daumen, dass es bald wieder läuft. Bei mir wäre ein längerer Ausfall ein existenzielles Problem gewesen. Das war meine einzige Einnahmequelle. Mal abgeeshen von dem ganzen Ärger mit den Kunden. Wir haben am Tag bis zu 300 Bestellungen abgewickelt. Und zwar jeden Tag.
Ein Business auf Internetbasis mit Shop. Ist immer ein Hochrisikogeschäft. So hab ich es jedenfalls empfunden.