Analyse nach Hacking
Posted: Wed 5. Feb 2025, 11:44
Guten Morgen zusammen,
mein Tag hat heute leider nicht besonders gut begonnen. Beim Überprüfen meiner Webseite ist mir aufgefallen, dass sie einen Error 500 ausgibt. Kein Problem, dachte ich, starte ich einfach den Server neu und rufe die Seite erneut auf – doch wieder Error 500.
Nach weiterer Prüfung stellte ich fest, dass dieses Problem bei mehreren meiner Webseiten auftritt. Zunächst wollte ich ein Ticket im Forum erstellen, habe dann aber vorsichtshalber alle meine Domains durchgetestet. Dabei fiel mir auf, dass der Fehler ausschließlich meinen Benutzeraccount betraf – alle anderen Nutzer hatten keine Probleme.
Besonders erstaunt war ich, als ich entdeckte, dass eine meiner Domains keinen Error 500 ausgab, sondern etwas völlig Unerwartetes:
In jeder index.php meines Accounts fand ich plötzlich kryptischen PHP-Code, der irgendetwas inkludierte. Zudem befand sich in jedem Verzeichnis eine admin.php. Laut Änderungsdatum wurden diese Dateien heute Nacht gegen 4:35 Uhr erstellt oder modifiziert.
Ich habe daraufhin:
Den betroffenen Benutzer gesperrt
Alle zugehörigen Konten (E-Mail, FTP, SQL) mit neuen, sicheren Passwörtern versehen
Den E-Mail-Versand überprüft
Kurz darauf erhielt ich eine interessante E-Mail von meinem Provider: Die Ports 25 & 465 wurden bis auf Weiteres gesperrt. Als ich daraufhin die KeyHelp-Einstellungen überprüfte, stellte ich fest, dass sich noch rund 1.500 ausgehende E-Mails in der Warteschlange befanden. Diese habe ich umgehend gelöscht.
Nun stellt sich mir die Frage: Wie kann ich nachvollziehen, wie sich die Angreifer Zugriff auf meinen Server verschafft haben?
Welche Logs wären dafür besonders relevant?
alle Dateien habe ich bin auf ein paar einzehlheiten noch gesichert, wenn da jemand interesse hat, kann ich die gerne zu verfügung stellen.
Liebe grüße Mattes
mein Tag hat heute leider nicht besonders gut begonnen. Beim Überprüfen meiner Webseite ist mir aufgefallen, dass sie einen Error 500 ausgibt. Kein Problem, dachte ich, starte ich einfach den Server neu und rufe die Seite erneut auf – doch wieder Error 500.
Nach weiterer Prüfung stellte ich fest, dass dieses Problem bei mehreren meiner Webseiten auftritt. Zunächst wollte ich ein Ticket im Forum erstellen, habe dann aber vorsichtshalber alle meine Domains durchgetestet. Dabei fiel mir auf, dass der Fehler ausschließlich meinen Benutzeraccount betraf – alle anderen Nutzer hatten keine Probleme.
Besonders erstaunt war ich, als ich entdeckte, dass eine meiner Domains keinen Error 500 ausgab, sondern etwas völlig Unerwartetes:
Ich habe daraufhin:
Den betroffenen Benutzer gesperrt
Alle zugehörigen Konten (E-Mail, FTP, SQL) mit neuen, sicheren Passwörtern versehen
Den E-Mail-Versand überprüft
Kurz darauf erhielt ich eine interessante E-Mail von meinem Provider: Die Ports 25 & 465 wurden bis auf Weiteres gesperrt. Als ich daraufhin die KeyHelp-Einstellungen überprüfte, stellte ich fest, dass sich noch rund 1.500 ausgehende E-Mails in der Warteschlange befanden. Diese habe ich umgehend gelöscht.
Nun stellt sich mir die Frage: Wie kann ich nachvollziehen, wie sich die Angreifer Zugriff auf meinen Server verschafft haben?
Welche Logs wären dafür besonders relevant?
alle Dateien habe ich bin auf ein paar einzehlheiten noch gesichert, wenn da jemand interesse hat, kann ich die gerne zu verfügung stellen.
Liebe grüße Mattes