Ist meine Website gehackt?
Bastian
- php
Hallo!
Gerade als ich versuchte auf meine Webseite http://parkouraachen.de zuzugreifen, wurde ich auf http://dresen.co.cc/in.cgi?9 weitergeleitet.
Allerdings wird diese Webseite bei mir aus dem Uninetz automatisch geblockt und als Malware eingestuft.
Eigentlich sollte diese Weiterleitung nicht passieren. Kennt irgendjemand diese Webseite oder kann mir einen Tip geben, was ich jetzt machen soll?
Beste Gruesse,
Bastian
Ah, falscher Alarm. An meinem Code scheint nichts veraendert worden zu sein, aber die URL dresen.co.cc wird wohl vom Provider aufgerufen.
Keine Ahnung ob die zum Provider gehoert oder ob es da andere Probleme gibt.
Moin!
Ah, falscher Alarm.
Nein. Korrekter Alarm.
fastix@fastix:~> wget -d -O /dev/null http://parkouraachen.de
Setting --output-document (outputdocument) to /dev/null
DEBUG output created by Wget 1.11.4 on linux-gnu.
--2010-12-19 17:38:36-- http://parkouraachen.de/
Auflösen des Hostnamen »parkouraachen.de«.... 85.190.10.60
Caching parkouraachen.de => 85.190.10.60
Verbindungsaufbau zu parkouraachen.de|85.190.10.60|:80... verbunden.
Created socket 4.
Releasing 0x0000000000649930 (new refcount 1).
---request begin---
GET / HTTP/1.0
User-Agent: Wget/1.11.4
Accept: */*
Host: parkouraachen.de
Connection: Keep-Alive
Accept-Language: de
---request end---
HTTP Anforderung gesendet, warte auf Antwort...
---response begin---
HTTP/1.1 301 Moved Permanently
Date: Sun, 19 Dec 2010 16:38:37 GMT
Server: Apache
Location: http://dresen.co.cc/in.cgi?9
Vary: Accept-Encoding
Content-Length: 302
Connection: close
Content-Type: text/html; charset=iso-8859-1
---response end---
301 Moved Permanently
Platz: http://dresen.co.cc/in.cgi?9[folge]
Dieser host dresen.co.cc ist dann nicht auflösbar. Wohl schon gesperrt.
An meinem Code scheint nichts veraendert worden zu sein, aber die URL dresen.co.cc wird wohl vom Provider aufgerufen.
Überprüfe bitte, was in einer Datei '.htaccess' steht. Und dann warum es dort steht, also wie es dort eingetragen werden konnte.
Dein Hoster (Planet-Hosting.de) hat damit eher nichts zu tun.
MFFG (Mit freundlich- friedfertigem Grinsen)
fastix
Moin!
Überprüfe bitte, was in einer Datei '.htaccess' steht. Und dann warum es dort steht, also wie es dort eingetragen werden konnte.
Nach einem Blick in den Google-Cache:
Es sind auch Deine Subdomains betroffen.
Möglicherweise verwendest Du "nur" eine unsichere Versionen von Software für das Gästebuch und für das Board. Möglicherweise auch "nur" unsichere Passwörter für FTP oder SSH-Zugänge oder einen dieser Online-Filemanager.
Prüfe die Dir zur Verfügung stehenden Logfiles.
Möglicherweise ist aber Dein eigener oder ein anderer Rechner, von dem aus Du FTP oder SSH-Zugänge oder einen dieser Online-Filemanager benutzt, mit einem Password-Stealer verseucht und deshalb Dein Benutzername und Dein Passwort schon in einschlägigen 1337-Foren bekannt. Das wirst Du aber mit Google nicht finden. Überprüfe auch Deine Konten auf seltsame Buchungen und Deine anderen Zugänge auf nicht von Dir stammende Aktivitäten.
Das _musst_ Du jetzt alles checken.
MFFG (Mit freundlich- friedfertigem Grinsen)
fastix
Danke, ich nehme es in Angriff!
Moin!
Ich habe gerade nochmals nachgeschaut. Es ist wahrscheinlich keine Umleitung mit einer .htaccess, sondern eher das Folgende:
In den vorhandenen php-Dateien (insbesondere der/oder einer index.php) wurde wahrscheinlich am Beginn(!) etwas wie
<?php header ("Location: http://dresen.co.cc/in.cgi?9"); ?>
eingebaut. Danach musst Du suchen und das bereits geschriebene gilt weiterhin.
Danke, ich nehme es in Angriff!
MFFG (Mit freundlich- friedfertigem Grinsen)
fastix
Ich habe gerade nochmals nachgeschaut. Es ist wahrscheinlich keine Umleitung mit einer .htaccess
Doch, du hattest Recht, es war in der .htaccess!