Probleme mit Phising

Hallo,

zur Zeit habe ich enorme Probleme mit Phising-Angriffen auf meine Website.
Es wurde bereits zweimal die Internetseite gesperrt, weil meine Website auf eine andere Internetseite umgeleitet wurde die Bankdaten abfragt.
Die "Angreifer" nisten sich immer über den Ordner Images ein um so an Bankdaten zu gelangen.
Habe die Seite neu aufgespielt, das Passwort geändert, einige Einträge gelöscht. Es dauert keine 14 Tage dann steh ich vor dem gleichen Problem.

Nun habe ich heute den Provider angeschrieben und nachfolgende Antwort erhalten:

"vielen Dank für Ihre E-Mail, gerne helfe ich Ihnen weiter.

Leider ist die gesamte Malware noch vorhanden, daher konnten wir leider noch keine Freischaltung durchführen. Das Problem liegt daran, dass Sie ein CMS einsetzen, das schwere Sicherheitslücken hat. Darüber kamen die Angreifer ins System und konnten weitere Malware, sowie eine Phishing-Seite installieren. Wir empfehlen daher, eine Bereinigung und Aktualisierung durchzuführen, oder aber jemanden zu Fragen der das für Sie macht, sofern Sie selbst nicht vertraut mit der Administration eines CMS-Systemes sind."

Kennt jemand bzw. hatte jemand ebenfalls Probleme mit Phising-Angriffen.

Wie soll ich nun weiter vorgehen?

Schöne Grüße

Roland

Zunächst willkommen im Forum!

Lösche am besten den gesamten (!) Webspace mit einem FTP-Programm und erstelle/veröffentliche Dein(e) Projekt(e) nochmal neu. Verwende dabei die "vollständige" Erstellungsstrategie.

Ändere vorher am besten nochmals Dein FTP-Kennwort in ein neues nicht erratbares, welches aus Buchstaben, Zahlen und Sonderzeichen besteht (am besten mindestens 12-stellig).

Danke für die Antwort.

Leider kann ich zur Zeit nicht auf den Server zugreifen, weil dieser durch den Provider gesperrt wurde.

Bei Anwendung des FTP-Programms kommt ständig "kritischer Fehler"

Mein Fehler - hatte noch das alte Passwort verwendet.

Bin nun am löschen des Inhaltes - bin gespannt, ob ich dann Ruhe bekomme.

Dann mußt Du wohl den Provider beauftragen, den Webspace vollständig zu bereinigen.

Bitte beachte:

Die Projekte auf dem Server sollten natürlich alle noch lokal bei Dir vorliegen. Wenn der Server vollständig bereinigt wird, solltest bzw. mußt Du von allen Projekten Sicherungen, Backups oder halt die Projektverzeichnisse irgendwo lokal bei Dir haben. Ansonsten mußt Du alles vom absoluten Nullpunkt an neu machen.

Also - erst schauen, ob alles als Sicherung (in welcher Form auch immer) noch vorhanden ist. Hinweis: Die lokal erzeugte Website ist keine Sicherung. Damit kann kein Projekt wiederhergestellt werden.

ups, zu spät.

Die Seite wird soeben gelöscht.

Aber ich habe sie doch mit Siquando erstellt und das sollte doch reichen.

Die Dateien sind noch auf meinem Rechner vorhanden.

Ich hoffe für Dich, es handelt sich um die Projekt-Dateien und nicht nur um die Dateien der erzeugten Website.

Darf ich was dummes Fragen.

Wo liegt der Unterschied zwischen Projekt-Daten und Dateien für die Website?

Auf jeden Fall ist die betroffene Homepage bereits seit ca. 5 Jahren am Netz und seit ca. 8 Wochen habe ich die Probleme mit dem Phising.

Gelöscht habe ich die ganzen Seiten der Website bis auf den Dateinamen.

Siquando Web generiert aus den Projekt-Dateien beim Erstellvorgang die Dateien für die (erzeugte) Website und lädt diese danach auf den Webserver hoch.

Sprich hast Du nur noch die erzeuten Website-Dateien, ist Schicht im Schacht.

Nein, das Projekt habe ich noch gespeichert.

Danke Volker für deine Antworten.

Werde auch Siquando verständigen, wenn Sicherheitslücken bestehen dann doch im Programm?!

Gern geschehen.

Du benutzt auch die aktuelle Build 2714 von Siquando Web??

Ja, habe ich am 30.07. eingespielt.

OK.

Falls damit tatsächlich Sicherheitslücken bestehen, sollte Siquando umgehend darüber informiert werden. Natürlich auch mit der ausführlichen Info, wo genau welche Probleme bestehen.

Habe ich soeben getan.

Hoffe nur meine Seite wird bald wieder müllfrei.
Laut I-net, wenns dich einmal erwischt hat, dann werden Angriffe noch häufiger stattfinden

Na dann viel Erfolg!

hi! vielleicht hilft dir dieses tool für die sicherheit deines shops weiter: www.initiative-s.de

Das Problem hatte ich auch letztes Jahr. Bei mir lag es allerdings an ein gehacktes FTP Programm (Fillezilla) das die Zugangsdaten im Klartext auf dem Rechner speichert. Wurde damals durch den Provider all-incll festgestellt. Dort gab es mehrere Vorfälle bzügl des FTP-Programms.

Hallo Dnalor.

Du musst in deinen Websiteeigenschaften die Erstellungsstrategie auf VOLLSTÄNDIG umstellen (wenn es geklappt hat wieder auf differenziell). Momentan sind nicht alle Dateien hochgeladen ... sieht etwas unschön aus.

Und dann würde ich unbedingt die Tell-A-Friend (E-Mail Empfehlung) rausnehmen. Das ist hochgradig abmahngefährdet (kannst du ja mal googeln).

@Dnalor:

Wieso ist denn da jetzt immer noch dieses JavaScript mit der "Achtung! Leider wurde diese Website gehackt..." drin?? Möchtest Du Deine Besucher nun direkt aktiv vergraulen?

Desweiteren zwei <body>-Tags und weitere komische Dinge...

Also nach Löschen des Webspace und vollständigem Hochladen kann bzw. sollte dies definitiv nicht so sein. Es sei denn, dieser komische Code befindet sich als HTML-Absatz irgendwo in Deinem Projekt.

Hallo,

sorry für die späten Antworten.

@graffoto
habe ich bereits umgesetzt

@uwetronic
mit dem FTP-Programm Filezilla arbeite ich auch. Kann ich es irgendwie erkennen, ob es sich um das gehackte Programm handelt?

@Volker
die Warnung habe ich ebenfalls entfernt.

Was mir noch aufgefallen ist, dass bei der Statistikauswertung die Zugriffe auf die illegale Bankingseite und auf eine Pool-Seite die ich zum Informations- und Datenaustausch einer Arbeitsgruppe eingestellt habe, fast identisch waren.
Nun habe ich den Verdacht das die Angreifer über die Pool-Seite ihre Daten eingespielt haben.

Habe mittlerweile alle Pool-Seiten gelöscht und auch Siquando darüber informiert.
Nun hoffe ich, dass Ruhe einkehrt.

Schöne Grüße

Roland

Woran du das erkennen kannst weiß ich nicht. Bei mir war es aber definitiv die Ursache des Problems. Auf Empfehlung von Volker hab ich damals auf WinSCP gewechselt. Dort werden die FTP Zugangsdaten verschlüsselt gespeichert.

Ok, werde ich aus Sicherheitsgründen ebenfalls wechseln.

https://winscp.net/eng/docs/lang:de#winscp_herunterladen_und_installieren