(08.06.2015, 08:01)Paccy schrieb: Es waren offensichtlich Profis mit islamistischem Hintergrund

(08.06.2015, 08:01)Paccy schrieb: Wie die Hacker vorgegangen sind ist noch unbekannt; aber ich kann zum jetzigen Zeitpunkt nicht ausschließen, dass es über meine Seite war.

(10.06.2015, 18:29)Paccy schrieb: Okay, mein Provider stellt sich dumm und behauptet, dass die Hacker über mein Forum eingedrungen seien.

(10.06.2015, 19:12)StefanT schrieb: Dann frag ihn bitte nach Beweisen. Da mehrere unabhängige Kunden betroffen waren (das darf eigentlich nicht passieren), hat der Hoster deutlich mehr Informationen zur Verfügung und kann sich ein besseres Bild machen. Wenn er sich darauf festlegt, dass es an deiner Website lag, dann sollte er dies anhand von Log-Einträgen oder ähnlichem belegen können. Diese wären nebenbei auch ein Ansatzpunkt für dich.

Zitat:wie es scheint wurden die Dateien die für das Defacement verantwortlich über die Foren-Software eingeschleust. Anhaltspunkte für ein Einschleusen
der Dateien über den Server kann ich an dieser Stelle Ausschließen.

Wie es aber genau zum Einschleusen gekommen ist kann ich leider nicht nachstellen. Als Provider sind wir angehalten in solchen Fällen sofort zu reagieren,
die Webseite zu sperren und Sie unverzüglich zu informieren um damit weiteren Missbrauch zu verhindern und Sie vor möglichen Schadenersatzansprüchen
dritter zu schützen. Dies macht die nachträgliche Recherche, insbesondere wenn zwischenzeitlich Dateien verändert wurden, etwas schwierigen.

In Ihrem Fall standen uns leider nur noch Logfiles zur Recherche zur Verfügung. Hieraus ergab sich jedoch kein eindeutiger Hinweis aus dem hergeleitet werden
konnte wie die Dateien eingeschleust wurden.

Bei andere Kunden auf diesen Server die Ebenfalls der selben Defacement-Attacke zum Opfer gefallen sind konnte aber eindeutig die Ursache geklärt werden. Hier
konnten wir eindeutig den Weg über Sicherheitslücken in den verwendeten Systemen Joomla und Wordpress nachvollziehen. Ein Beispiel wie leicht eine solche Lücke
ausgenutzt werden kann sehen Sie unter folgendem Link, davon war z.B. einer der andern Kunden betroffen:
http://black-cybersec-crew.blogspot.de/2...press.html

Insofern ist mit sehr hoher Wahrscheinlichkeit davon auszugehen, dass auch in Ihem Fall eine Lücke in der Foren-Software ausgenutzt wurde. Den Server haben wir zur
Sicherheit aktuell nochmal intensiv auf eventuelle Sicherheitslücken hin geprüft, konnten aber nicht außergewöhnliches feststellen.

Wenn Ihnen Dateinamen, insbesondere PHP-Datein, aufgefallen sein sollten, können Sie mir diese kurz mitteilen damit ich gezielter in den Logfiles nachschauen kann.
Falls Ihnen das weiter hilft, wir konnten als Ursprungsland für die Hacks der anderen Seiten Russland und der Ukraine identifizieren.

Eine Strafanzeige können wir in solchen Fällen nicht stellen, da Sie als Domaininhaber dies tun müssten. Wir können dann aber auf Anfrage alle nötigen Logfiles zum
Vorgang zur Verfügung stellen und soweit wie möglich Auskunft erteilen um bei der Aufklärung zu unterstützen.

Zitat:der exakte Zeitpunkt lässt sich leider auch nicht mehr ermitteln, da die infizierten Dateien nicht mehr zur Analyse vorliegen. Insofern kann
ich nur empfehlen das Forum des Herstellers der Software zu nutzen um Informationen zu eventuelle Sicherheitslücken zu erhalten. Eventuell
haben andere Nutzer dieser Software ähnliche Erfahrungen und können mit Tipps weiter helfen.

Wichtig ist es auf jeden Fall alle vom Hersteller zur Verfügung gestellten Updates aktuell zu halten.