Webseite dauernd gehackt

Hallo,

seit fast 2 Monaten wird meine Homepage andauernd gehackt, bzw. umleitungen auf andere Seiten eingefügt.

Die Umleitungen bzw. durch den Besucher ungewollten und auch unsichtbaren Links beinhalten nur Spionageprogramme oder weiterleitungen auf die üblichen Tabletten und Sex - Seiten.

Erkennen kann ich es daran daß beim Internetexplorer unten Links in der Statusleiste nicht " Fertig " steht sondern " Done " oder ein linkk angezeigt wird der noch nicht angeklickt wurde. Desweiteren ist es zu erkennen wenn man mit der Maus über die Bilder fährt, sofort in der Statusleiste Links angezeigt werden.

Bisher bin ich alle 2 Tage auf meine Webseite und habe notfalls den Index neu überschrieben.

Die Frage wäre, wie kann ich diesem Befall vorbeugen, bzw. das ganze abstellen.

 

Das ist sinnfrei.

Momentan ist mir noch nicht eindeutig klar, ob es wirklich deine Webseite ist oder nur du Ungeziefer auf dem Rechner hast. Letzteres solltest du erst mal abklären und ggf. ein frisches System benutzen. Zum Thema: Dazu lässt sich ohne weitere Angaben überhaupt nichts sagen. Was für Webspace hast du? Benutzt du einen Homepagebaukasten - wenn ja: welcher? Ist es ein eigener Server - wenn ja: welches System, welche Dienste laufen, was sagen die Logfiles? Welche Scripts sind installiert? Sind diese aktuell? Sind diese von dir geändert? Haben andere User Zugang zum System oder einzelnen Funktionen? Fragen über Fragen...

 

Hallo,

erst mal danke für Deine Antwort.

Die Webseite wurde nicht mit einem Baukasten gebaut, sondern selbst erstellt. Meinen eigenen Rechner habe ich bereits mehrmals mit Norton und auch anderen Virenprogrammen durchsucht, ohne ergebnis.

Meine Webseite ist bei web.de, andere haben hierauf keinen zugriff.

Mit den Logdaten kann ich leider nichts anfangen, weil ich nicht weis, wonach ich suchen soll.

Auffallend war nur dass meine Index-seite immer morgens gegen 09.00 Uhr verändert wurde, ab und an war auch mal mein alter index als Bak - datei abgelegt.

Ein Anruf beim Provider brachte leider gar nichts, das wäre kein Problem von web.de.


Gruß
Istrier

 

Auf blauen Dunst tippe ich auf geklaute(probierte) Zugangsdaten für den FTP Zugang. Mal das Kennwort durch ein hinreichend langes und kompliziertes ersetzt?

 

Hallo Kalweit,

daran hatte ich auch schon gedacht und das Passwort bereits 4 - 5 mal verändert, leider ebenfalls ohne resultat.

Die HP ist zwar im moment sauber, ich rechne aber spätestens inner halb der nächsten 2 Tage mit erneutem Befall.


Vieleicht liegts ja an dem Namen, kann ich mir aber kaum vorstellen.

 

Nimm doch einfach testweise die Seite für mehrere Tage komplett vom Netz und überprüfe, was dann passiert (also alles löschen, auch die index.html).

Um ein paar Fragen von kalweit aufzugreifem:

1. Bestehen die Seiten aus reinen HTML-Seiten oder sind das z.B. PHP-Seiten?
2. Gibt es externe Scripte, die Du einbindest?
3. Und hast Du das Ganze von einem anderen PC mal ausprobiert?

 

Danke für den Vorschlag, werde ich mal ausprobieren.

Die HP besteht aus reinem HTML, der einzige PHP - Teil besteht aus dem Besucher - Zähler.

Eine Sicherungskopie hatte ich auch schon von meinem Laptop kopiert und raufgeladen, der nicht am Netz hängt und Virenfrei ist.

Bemerken möchte ich noch, ist die Seite gehackt, zeigt Norton dies ebenfalls sofort an und will die Seite schließen.

Ich werde Trotzdem mal die HP für die nächsten 3 Tage entfernen.

Gibt es eine möglichkeit Dateien auf dem Server, z.B. mit PHP, den Index automatisch z.B. aus einem Unterverzeichnis heraus alle 24 Stunden neu zu überschreiben ? Das würde zwar das Grundproblem nicht lösen, doch zumindest auch Besucher vor Spam schützen.

 

Nachtigall i .... - häng mal den Quelltext von dem Zähler hier an. Zudem baue ihn mal aus der Seite aus.

 

Hallo,

hier der Quelltext des Zählers, ist ein freeware tool.


/* -----------------------------------------------
PrimaWebtools.de Counter v. 5.20
www.PrimaWebtools.de
------------------------------------------------ */
v = navigator.appName; c=0; var ce=""; var je=""; var plugin=""; var f=""; var za=1;
if (v != "Netscape") c = screen.colorDepth; else c = screen.pixelDepth; s = screen.width+"x"+screen.height; ah = screen.availHeight; aw = screen.availWidth; t = escape(document.title);
if (v == "Netscape" || v == "Opera") { for (i = 0; i < navigator.plugins.length; ++i) plugin += navigator.plugins.name + ';'; plugin = escape(plugin); }
if(navigator.cookieEnabled == true) ce="Y"; else if(navigator.cookieEnabled == false) ce="N"; else ce="U";
if(navigator.javaEnabled()) je="Y"; else je="N";
ur = escape(document.URL);
if(navigator.language) { sprache = navigator.language;} else { sprache = navigator.userLanguage; }
if(sprache == "undefined") { sprache = "na"; } else { sprache = escape(sprache); }
if (document.referrer != "") f = document.referrer;
else f = parent.location.href;
f = escape(f);
r="?encid=98286&referer="+f+"&r="+s+"&c="+c+"&title="+t+"&co="+ce+"&ja="+je+"&plugin="+plugin+"&spra="+sprache+"&ah="+ah+"&aw="+aw+"&st=js&url="+ur;
document.open();
document.write("<script language=\"JavaScript\" type=\"text/javascript\" src=\"http://count.primawebtools.de/pphlogger.php"+r+"\"></script>");
document.close();[/COLOR]

 

Der Code ist reines JavaScript. Kann aber sein, dass der Counter nicht dicht ist und über diesen das Dokument überschrieben wird. Das wäre dann aber rein anzeigentechnisch und würde keine Dateien auf dem Server selbst austauschen.

PS: du solltest vielleicht deine ID aus dem geposteten Quelltext nehmen

 

Danke für Deine Mühe, aber es bleibt mir zunächst nur Dein Vorschlag den Zähler zu entfernen und mal abwarten.

Mir ist es auch unerklärlich wie man den Index ohne FTP zugangsdaten Bearbeiten kann, aber scheinbar geht es ja.

Ich warte nochmal 1 - 2 tage und kopiere nochmal den veränderten index runter, vieleicht findest Du ja eine Ursache bzw. einen Fehler, der bereits im HTML - Code ist.

trotzdem nochmals vielen Dank, vieleicht ergibt sich ja noch was, ich suche imer noch ständig im Internet rum.

 

Hallo Kalweit,

nach 2 Wochen ist die HP noch IO.

Dane nochmals für Deinen Vorschlag das Passwort nochmals abzuändern, ich habe seit dem ruhe.


Vielen Dank

 

hat sich erledigt :-)