Hallo meine lieben,

so ziemlich alle Server unserer Kunden wurden gehackt. Leider blieben die Änderungen so lange unbemerkt, dass die Backups nicht mehr ausreichend lange zurück gehen um die Änderungen rückgängig zu machen.

Es fängt damit an, dass wir nicht wissen wie diese Person / Software an die ganzen Benutzerdaten gekommen ist. Wir haben alle Passwörter in einem Programm für solche Datenverwaltung (Keepass). Dieses Programm liegt bei uns auf einem lokalen Server, der natürlich mit Online ist wenn einer unserer Rechner online ist (sind alle hier im Büro miteinander verbunden).

Dann wurden bei all unseren Kunden JS Dateien geändert, htaccess Dateien angelegt und default.php Dateien angelegt. Wir haben das anhand von FTP Log Dateien nachvollziehen können. Die Auswirkungen, die Bemerkbar sind, ist dass bei vielen Seiten einfach nichts mehr funktioniert - das Layout ist zerrissen, die Webseiten ist nur noch in ihren Grundzügen erkennbar. Außerdem führt jeder Klick auf den betroffenen Webseite ab jetzt auf die Seite (vielleicht lieber nicht klicken, ich weiß nicht welche Auswirkungen das hat.) hxxp://habboigratis.altervista.org/ohmf.html?h=1449645 .

Was können wir jetzt tun? Sollen wir einfach alle Änderungen rückgängig machen und die Passwörter ändern? Das kann ja nicht die Antwort auf das Problem sein.

Viele Grüße
Carrear

Hi,
also, es gibt jetzt natürlich mehrere Möglichkeiten.
entweder haben alle seiten die selben Sicherheitslücken, nutzen sie zb alle die selben cms, foren etc?
Zweite und warscheinlichere Möglichkeit, einer ihrer PC's wurde gehackt, ich neme ja nicht an, dass sie für alle Kunden das selbe Passwort nutzen?
Wie viele PC's haben sie im Büro? haben sie keine eigene IT Abteilung, da wir normalerweise gewerbliche PC's nicht reinigen, sollte es eine solche Abteilung geben

Wir sind eine ganz kleine Agentur mit 3 Leuten. Nein also wir benutzen kryptische Passwörter und haben alle in einem eigens dafür vorgesehenen Programm abgespeichert. Wahrscheinlich ist noch, dass einer unserer PC's infiziert ist und die Daten dann vielleicht aus dem FTP Programm abgefangen wurden. Denn in Filezilla werden die Passwörter etc. wohl, so wie wir recherchiert haben, unverschlüsselt in einer xml Datei oder ähnlichem gespeichert.

Das würde dann in jedem Fall bedeuten, dass sämtliche PC's neu aufgesetzt werden müssten. Aber was können wir mit den Online Daten machen. Können wir die zusätzlich hochgeladenen Dateien einfach löschen? Denn leider reichen unsere Backups nicht weit genug zurück um darüber alle infizierten Systeme wieder auf einen sicheren Stand zu bringen.

hi
na ihr müsstet schon schauen, ob andere Dateien geendert wurden, zusätzlich zu den hochgeladenen Dateien.
Was sagen denn die Server Logs, wurde sich mit Passwort eingelogt? man sollte in dem Zuge auch prüfen, ob es updates für cms gibt, foren, oder was ihr halt sonst so nutzt bzw eure Kunden, da muss man immer auf dem aktuellen Stand bleiben.
Die PC's würde ich alle formatieren, und die Passwörter natürlich noch mal ändern.
welche Betriebssysteme nutzt ihr, da könnte ich euch Konfiguratinshinweise geben.
Da ihr die ja in einem Passwort Manager verwaltet, könnt ihr die ja automatisch erstellen lassen und schön lang sollten sie sein.
File zilla:
Filezilla und die gespeicherten Passwörter
das sollte interessant für euch sein.
filezilla +sftp:
http://wiki.filezilla-project.org/Ho...authentication
also möglichst gar nicht mehr über filezilla verbinden sondern via script, sollte eig klappen.
auch sollte man sich überlegen auf sftp umzusteigen, denn normale FTP verbindungen werden unverschlüsselt aufgebaut.