Immer mehr Maklerhomepages über deren Server von Viren befallen

Wie externe Hacker die Passwörter von FTP-Servern hacken und Schaddateien aufspielen, die unerwünschte eMails verschicken. Die Folge: Der Virenscanner eines Nutzers blockiert die Website und zeigt sie nicht an. Wenn der Nutzer keinen geeigneten Virenscanner einsetzt, kann die Schadware ihre schädliche Arbeit ungehindert fortsetzen.

Immer häufiger klingelt bei acteam das Telefon, weil des Hackern geglückt ist, deren Server zu knacken, auf denen die Dateien für den Internetauftritt hochgeladen wurden.

Die mögliche Folge: Bilder werden gelöscht, neue Verzeichnisse hochgeladen und / oder gelöscht.

Erst durch eine Bereinigung der Daten auf dem FTP-Server und die Vergabe eines besonders sicheren Passworts ist gewährleistet, dass sich derartige Fälle nicht wiederholen.

Bei unserem Kunden konnten wir auf seinem Server von 1 & 1 anhand der Logfiles herausfinden, dass die index.html-Datei (zuständig für die Anzeige der Homepage im Internet) am 7.11.2012 um 19:25 Uhr „manipuliert“ wurde.

Es wurden einige Bilder gelöscht und neue Dateien in dem Verzeichnis hochgeladen und wieder gelöscht (Logfiles siehe unten).

Die Manipulation erfolgte von der IP-Adresse 72.251.206.90 aus den Vereinigten Staaten:

(Quelle: Google)

Es kann aber auch Jemand mit Hilfe eines so genannten „Proxy“ diese Identität „vorgaukeln“. Jedenfalls waren die Zugangsdaten bekannt und es wurde munter manipuliert.

Erst mit der Bereinigung der Dateien auf dem Server und die Vergabe eines völlig neuen und vor allem sicheren Passwortes konnte der Schaden beseitigt und die Maklerhomepage wieder zugänglich gemacht werden.

Hier ein Auszug aus den Original Logfiles des "gehackten" Servers:

72.251.206.90 UNKNOWN u40593590 [07/Nov/2012:19:25:20 +0100] "PASS (hidden)" 230 -
72.251.206.90 UNKNOWN u40593590 [07/Nov/2012:19:25:20 +0100] "SYST" 215 -
72.251.206.90 UNKNOWN u40593590 [07/Nov/2012:19:25:20 +0100] "PWD" 257 -
72.251.206.90 UNKNOWN u40593590 [07/Nov/2012:19:25:21 +0100] "PASV" 227 -
72.251.206.90 UNKNOWN u40593590 [07/Nov/2012:19:25:21 +0100] "TYPE A" 200 -
72.251.206.90 UNKNOWN u40593590 [07/Nov/2012:19:25:22 +0100] "LIST /" 226 313
72.251.206.90 UNKNOWN u40593590 [07/Nov/2012:19:25:22 +0100] "PASV" 227 -
72.251.206.90 UNKNOWN u40593590 [07/Nov/2012:19:25:23 +0100] "LIST /" 226 313
72.251.206.90 UNKNOWN u40593590 [07/Nov/2012:19:25:23 +0100] "PASV" 227 -
72.251.206.90 UNKNOWN u40593590 [07/Nov/2012:19:25:24 +0100] "LIST /" 226 313
72.251.206.90 UNKNOWN u40593590 [07/Nov/2012:19:25:24 +0100] "PASV" 227 -
72.251.206.90 UNKNOWN u40593590 [07/Nov/2012:19:25:25 +0100] "LIST //" 226 313
72.251.206.90 UNKNOWN u40593590 [07/Nov/2012:19:25:26 +0100] "PASV" 227 -
72.251.206.90 UNKNOWN u40593590 [07/Nov/2012:19:25:26 +0100] "LIST //" 226 313
72.251.206.90 UNKNOWN u40593590 [07/Nov/2012:19:25:27 +0100] "PASV" 227 -
72.251.206.90 UNKNOWN u40593590 [07/Nov/2012:19:25:27 +0100] "LIST //eml_gmbh_eu/" 226 184
72.251.206.90 UNKNOWN u40593590 [07/Nov/2012:19:25:28 +0100] "PASV" 227 -
72.251.206.90 UNKNOWN u40593590 [07/Nov/2012:19:25:28 +0100] "LIST //logs/" 226 2491
72.251.206.90 UNKNOWN u40593590 [07/Nov/2012:19:25:29 +0100] "PASV" 227 -
72.251.206.90 UNKNOWN u40593590 [07/Nov/2012:19:25:29 +0100] "STOR //8G3qRpdV.gif" 226 10
72.251.206.90 UNKNOWN u40593590 [07/Nov/2012:19:25:30 +0100] "SITE CHMOD 777 //8G3qRpdV.gif" 200 -
72.251.206.90 UNKNOWN u40593590 [07/Nov/2012:19:25:31 +0100] "DELE //8G3qRpdV.gif" 250 10
72.251.206.90 UNKNOWN u40593590 [07/Nov/2012:19:25:31 +0100] "DELE //8G3qRpdV.gif" 550 0
72.251.206.90 UNKNOWN u40593590 [07/Nov/2012:19:25:32 +0100] "DELE //8G3qRpdV.gif" 550 0
72.251.206.90 UNKNOWN u40593590 [07/Nov/2012:19:25:33 +0100] "DELE //8G3qRpdV.gif" 550 0
72.251.206.90 UNKNOWN u40593590 [07/Nov/2012:19:25:33 +0100] "DELE //8G3qRpdV.gif" 550 0
72.251.206.90 UNKNOWN u40593590 [07/Nov/2012:19:25:34 +0100] "PASV" 227 -
72.251.206.90 UNKNOWN u40593590 [07/Nov/2012:19:25:34 +0100] "STOR //eml_gmbh_eu/8G3qRpdV.gif" 226 0
72.251.206.90 UNKNOWN u40593590 [07/Nov/2012:19:25:35 +0100] "SITE CHMOD 777 //eml_gmbh_eu/8G3qRpdV.gif" 200 -
72.251.206.90 UNKNOWN u40593590 [07/Nov/2012:19:25:35 +0100] "DELE //eml_gmbh_eu/8G3qRpdV.gif" 250 0
72.251.206.90 UNKNOWN u40593590 [07/Nov/2012:19:25:36 +0100] "DELE //eml_gmbh_eu/8G3qRpdV.gif" 550 0
72.251.206.90 UNKNOWN u40593590 [07/Nov/2012:19:25:37 +0100] "DELE //eml_gmbh_eu/8G3qRpdV.gif" 550 0
72.251.206.90 UNKNOWN u40593590 [07/Nov/2012:19:25:38 +0100] "DELE //eml_gmbh_eu/8G3qRpdV.gif" 550 0
72.251.206.90 UNKNOWN u40593590 [07/Nov/2012:19:25:38 +0100] "DELE //eml_gmbh_eu/8G3qRpdV.gif" 550 0
72.251.206.90 UNKNOWN u40593590 [07/Nov/2012:19:25:39 +0100] "PASV" 227 -
72.251.206.90 UNKNOWN u40593590 [07/Nov/2012:19:25:39 +0100] "STOR //logs/8G3qRpdV.gif" 550 -
72.251.206.90 UNKNOWN u40593590 [07/Nov/2012:19:25:40 +0100] "PASV" 227 -
72.251.206.90 UNKNOWN u40593590 [07/Nov/2012:19:25:41 +0100] "RETR //eml_gmbh_eu/index.html" 226 60588
72.251.206.90 UNKNOWN u40593590 [07/Nov/2012:19:25:41 +0100] "PASV" 227 -
72.251.206.90 UNKNOWN u40593590 [07/Nov/2012:19:25:42 +0100] "STOR //eml_gmbh_eu/index.html" 226 56566
72.251.206.90 UNKNOWN u40593590 [07/Nov/2012:19:25:42 +0100] "PASV" 227 -
72.251.206.90 UNKNOWN u40593590 [07/Nov/2012:19:25:43 +0100] "RETR //index.html" 226 11033
72.251.206.90 UNKNOWN u40593590 [07/Nov/2012:19:25:44 +0100] "PASV" 227 -
72.251.206.90 UNKNOWN u40593590 [07/Nov/2012:19:25:44 +0100] "STOR //index.html" 226 7011