Problem mit ungebetenen Gästen ("Hackern") - Doch was tun?

Hallöchen zusammen,

ich habe vor knapp einem Jahr mein (2.) größtes Hobby (mein Vereinsleben - natürlich nach meiner Freundin :-) ) mit meinem Interessengebiet Internet verbunden und mich bereit erklärt die Vereins Homepage meines Sportclubs zu "administrieren". Mein Know-How ist allerdings nicht soooo sehr ausgprägt, als das ich mich meiner aktuellen Lage gewachsen fühle.

Und zwar bin ich nun, gemeinsam mit einem Freund aus dem Verein der mich in meiner Arbeit unterstützt, Opfer eines ungebetenen Besuchers geworden. Ungebetenen Besucher nenne ich ihn deshalb, da ich weiß, dass oftmals viel zu schnell von einem "Hacker" ausgegangen wird und es sich dabei einfach nur um die eigene Unachtsamkeit handelt.

Nun aber näher zu meinem Problem:
Vergangene Woche (Dienstag) erschien auf der Homepage plötzlich in meinem News-Frame, auf der Startseite, eine veränderte Seite. Jemand hatte dort seine geistigen Ergüsse hinterlassen und mir war sehr schnell klar, dass es sich hierbei um irgendjemanden handelt, der scheinbar Spaß daran hatte seine "Signatur" im Netz zu verbreiten. Sehr erschrocken, dachte ich zuerst an meinen eigenen Fehler, ein zu schlecht gewähltes Passwort oder irgend etwas anderes musste falsch gelaufen sein. Doch als ich die Seite löschte und alles zum Ursprung zurück drehte, fiel mir ca. 12 Std. später erneut eine Fehlermeldung auf, die direkt nach der aktualisierung nicht vorhanden war. [...]
Um das an dieser Stelle abzukürzen: Ich hatte also erneuten Besuch, trotz Löschung und aller abgeänderten Passwörter. Mittlerweile scheint es fast schon in einem kleinen Kampf ausgeartet und ich lösche konstant (nahezu tägl.) irgendwelche fremden Dateien die man mir auf den FTP-Server legte.
Bis Dato ist es bereits 5-7 Mal zum hinzufügen von Dateien in allen möglichen Ordnern gekommen, die ich nahezu jedes Mal gelöscht habe.

Doch nun bin ich an einem Punkt der mich zur Kapitulation zwingt. Ich habe schon vier Mal alle Passwörter abgeändert und unzählige Male fremde Dateien (php-Dateien) gelöscht.

Nähres zum Typ dieser Dateien. Natürlich wollte ich auch mal wissen was das für PHP-Dateien sind die man auf meinem Server hinterlässt und ich sehe dass 90% aller Dateien irgendwelche "Tools" sind mit denen ich unteranderem, neben unzähligen weiteren Funktionen (wie ***** Force Tools, MySQL-Ansichten, E-Mail-Verteiler, etc.) ohne Passworteingabe auf meinen FTP-Server schauen kann. Da war mir natürlich klar woher man so leichtes Spiel hat und ich muss mich ganz ehrlich geschlagen geben.


Vorgestern habe ich dann aufgehört diese Dateien zu löschen mit der Einsicht, dass ich nichts "wertvolles" auf dem Webserver habe und mit dem Hintergrund der Strafanzeige. Ich habe auch schonmal über einen Anruf beim Provider nachgedacht, dass der bitte einmal alles platt macht und ich ein BackUp einspiele, aber da mir noch der Gedanke einer Strafanzeige durch den Kopf schwirrt und ich mir denke, dass es nicht so gut wäre zuvor alles zu löschen lasse ich nunmehr die Dateien bis zur Entscheidungsfindung auf dem Webspace. Doch nun endlich zu meiner eigentlichen Fragen:
Wie habe ich eine Strafanzeige überhaupt anzugehen? Schließlich kann ich ja nicht zu der Polizeidienststelle meiner Wahl gehen und sagen: "Hör'n sie mal, ich wurd' gehackt!".
Wie nennt sich meine Anzeige denn dann überhaupt? (Störung der Privatsphäre, oder gar Hausfriedensbruch, o.ä.?)
Was kann denn dann mein Ziel mit dieser Anzeige sein, mit Ausnahme dessen, das mein Verursacher gefasst wird? (Sind Schadensersatzforderungen möglich?)
Und die wichtigste Frage: Wie wahrscheinlich ist es denn, dass so eine Anzeige überhaupt etwas ergibt? Dh. dass es nicht eventuell zum Einstellen eines Verfahrens kommen wird? (Vielleicht gibt es da ja gute Quoten, an denen man sich ggf. dran orientieren kann)

Davon unabhängig eventuell noch die Frage, was kann ich allg. gegen soetwas tun und was kann ich speziell in meinem Fall mehr tun als löschen und Passwörter alle Nase lang abändern?

Viele viele Fragen auf die ich leider keine Antworten habe.

Ich würde mich sehr freuen wenn einer von euch mir dabei eventuell weiterhelfen könnte.

Liebe Grüße,
M4c0b

 

1. Solltest du Serverlogs einsehen können. Falls du das nicht kannst wende dich an deinen Provider und bitte um diese Logs. Anhand der Logs kannst du sehen von welcher IP aus was wann gemacht wurde. Diese IP lässt sich mit einfachen Mitteln wie z.B. einem IP Whois einem Provider zuordnen. Damit hast du schonmal einen Ansatzpunkt. Man könnte dann z.B. einzelne IP's oder bestimmte IP Bereiche zumindest zeitweiße sperren.

2. Würde ich eine Strafanzeige stellen. Das kannst du auf jeder x beliebigen Polizeidienststelle machen. Der entsprechende Paragraph dazu ist §202a bzw. §202b Strafgesetzbuch.

3. Würde ich den Provider über die Tatsache informieren, das a) ein Angriff auf dein System stattgefunden hat und das du b) eine Strafanzeige gestellt hast und deshalb um Aufbewahrung der Logdateien bittest. Denn diese Logdateien sind für spätere Ermittlungen wichtig.

4. Würde ich mich sowohl bei Polizei wie auch beim Provider informieren, wie ich mich weiter verhalten soll, bevor ich leichtsinnig etwas ändere oder lösche.

 

Ferndiagnose: Du setzt auf dem Server unsichere Scripte ein - z.B. irgendein nicht aktuelles CMS. Die Polizei wird dir wenig helfen, da die Sicherheit deiner Seiten erst mal grundsätzlich dir obliegt. Sollte wirklich ein von dir installiertes Script schuld sein, kann dir dein Hoster sogar von jetzt auf gleich die Freundschaft kündigen. Ich würde mir so schnell wie möglich einen Fachmann organsieren, der offenlegen kann, wie und was bei dir manipuliert wurde. Wenn du das "wie" kennst, kannst du dann effektiv etwas dagegen tun. Alles andere ist Augenwischerei und hilft dir letztlich nicht weiter.

 

Hallo ihr beiden und alle interessierten Mitleser,

ich bin mir nicht ganz sicher was du mit CMS meinst (ich kannte die Abkürzung nicht), aber ich habe mal Wiki befragt. Content-Management-System ergab meine Suche und wenn ich die Erläuterung richtig verstanden habe, dann könnte es also gut auf ein von mir neulich erst eingeführtes "News-System" zurückzuführen sein?
Diesen Aspekt habe ich in meiner Erzählung absichtlich bei Seite gelassen um niemanden hier in eine Richtung zu fokusieren, aber ich habe wirklich kurz zu vor (ca. 2-3 Tage) ein neues News-System eingebaut und als wäre es Zufall, waren zu Beginn auch nahezu ausschließlich im News-Ordner diese Dateien zufinden. Bis heute haben die sich allerdings ausgebreitet!

Du meinst also, dass man sich durch eines dieser Programme einen Zugang zu meiner Website verschaffen kann (auch wenn nur durch einen Scriptfehler)?

Was ich aber noch nicht verstanden habe ist das mit dem: "Ich hätte schuld". Nun gut, wenn die Open-Source-Scripts fehlerhaft sein sollten, was durchaus mal passiert, dann ist das doch nicht mein Verschulden, sollte im Anschluss daran jemand auf meinen Webspace unberechtigter Weise zugreifen, oder etwa doch? Bleibt es nicht dabei, dass er unberechtiger Weise sich Zugriff verschafft hat? Und weshalb sollte mir mein Provider kündigen?

 

Ja.

Nunja, das mit der "Schuld" ist immer eine Einzelfallentscheidung. Dein Provider schreibt schlicht in seine AGB, dass du dafür gerade stehst, wenn du die Server durch von dir installierte Software gefährdest. Im konkreten Fall wird zudem kein Hacker persönlich am Werk sein, sondern ein automatisches Programm klopft Millionen von IP Adressen und Domains nach bekannten Sicherheitslücken von Scripten ab und nutzt diese mit automatischen Vorgängen aus. Erst dann wird versucht, deine Seite auch tatsächlich zu übernehmen , Daten zu stehlen oder Illegales zu installieren. Den eigentlichen Tätern wird man so gut wie nie habhaft, so dass dir die Schuldzuweisung letztlich auch nicht weiterhilft. Die Programmierer der Scripte die du einsetzt, schließen ebenfalls jegliche Haftung aus - das ist Teil der Lizenzbedingungen (auch bei Open-Source). Wer bleibt nun am Ende übrig, den man "fassen" kann? Richtig: DU

 

Das Problem liegt im Newsscript der Seite. Es ist möglich über einen manipulierten Link ohne Userlogin das Newssystem zu missbrauchen. Daher habe ich angeraten dringend das Newssystem zu wechseln.

 

Ich werde mich morgen mittag direkt an die Arbeit machen alles eingebaute schnellstens wieder auszuarbeiten und dann auch eventuell durch etwas neues zu ersetzen.

Habt ihr da eventuell News-systeme die ihr pers. empfehlen würdet?

Und meint ihr, eine Löschung aller unerwünschten Daten würde dann ausreichen?

 

Das hängt davon ab, wie der Server konfiguriert ist. Das lässt sich pauschal nicht sagen.