Goneo gehackt und zum Spammen benutzt

7 Antworten

  1. Uwe sagt:

    Hallo,

    ich bin seit Tagen am verzweifeln weil ich Probleme mit meinen Installationen bei Goneo habe. Ich finde aber den Fehler nicht.
    Jetzt bin ich über deinen Blogbeitrag gestolpert und hoffe du kannst mir einen Tipp geben, was ich machen kann, weil ich vermute, dass es doch was mit Goneo zu tun hat.
    Folgendes hat sich zugetragen.
    Im Laufe des 13.02. hat Google in den Webmaster-Tools die Sitmaps meiner WP-Installationen nicht mehr gefunden. Das zog sich durch alle Blogs, die ich auf Goneo installiert habe (Homepage Easy Paket)
    Zuerst dachte ich an einen Fehler bei Google und habe alle Sitemaps neu eingereicht. Ohne Erfolg, es wurde von Google immer wieder zurück gegeben, dass die Sitemaps schadhaft wären.
    Heute morgen dann stellte ich fest, dass bei einem meiner Blogs ich nicht mehr auf die einzelnen .php-Dateien zugreifen kann (über Design->Editor).
    Seit dem mehrt sich das Chaos und seit ich diesen Post von dir gelesen habe, vermute ich, dass das Problem eben an Goneo liegt.
    Hast du eine Idee, wie ich das lokalisieren kann bzw. weiter eingrenzen kann und evtl. auch beheben kann?

  2. Simon sagt:

    Hallo Uwe,

    spontan kann ich dir nicht helfen – ich würde aber empfehlen, dass du dir mal per ftp anschaust, wie es auf deinem Webspace aussieht. Bei mir waren die Skripte recht einfach zu erkennen, da zu jeder Domain, die bei Goneo liegt, ein krytischer Unterordner angelegt wurde, in der die o.g. PHP-Dateien drin lagen. Zu dem Google-Problem: Vielleicht hat jetzt Google gemerkt, dass von den Goneo-IPs aus gespammt wurde und crawlt hier im Moment nicht? Ich will’s nicht hoffen, aber möglich wär’s… Per ftp solltest du auch die PHP-Dateien sehen, auf die du jetzt nicht zugreifen kannst – wenn du sie hier auch nicht siehst, würde ich Goneo kontaktieren, evtl. haben die jetzt mit einer Bereinigungsaktion begonnen und die etwas zu genau genommen..? Siehst du sie denn gar nicht oder fehlen dir nur die Rechte, sie zu editieren?

    Gruß Simon

  3. Bernd sagt:

    Bei mir sind auch 2 Pakete gehackt worden.
    Nach dem Ändern des FTP-Passwortes und entfernen
    der eingeschleußten Files war dann Ruhe.
    Ich vermisse eine Meldung und Warnung in den einschlägigen Medien, wie heise.de …
    Mit Sicherheit sind sehr viele Pakete betroffen.
    Vielleicht hat Goneo im Zuge seiner „Sicherheitsoffensive“ auch die Files automatisch entfernt.
    Eine Entschuldigung seitens Goneo wird es wohl nicht geben.

  4. Simon sagt:

    Ja richtig, „Sicherheitsoffensive 2010“ ist das Stichwort, das ich oben vergessen hab, zu erwähnen. Da vermutet man ja fast, dass es vor dem Start dieser Offensive diverse Vorfälle in der Richtung gab… Aber wenn dem so wäre, müsste es für einen Provider doch ein leichtes sein, nach den Strukturen zu scannen und die Kunden im Verdachtsfall zumindest darauf hinzuweisen…

  5. Klaus sagt:

    Auch ich habe in einem Paket Dateien nach diesem Muster gefunden (bei mir z.B. 1996/61.php?q=free+printable+ticket+page).

    Ich habe dann lange in den Logs gewühlt und den ersten Zugriff schon am 23.12.2009 in den Logs gefunden. Eine Suche im Web und Nachfragen bei goneo liefen ins Leere. Die Aktion mit der Zwangsänderung der ftp-Zugangsdaten lässt mich vermuten, dass goneo selbst wohl ein Sicherheitsproblem hat(te).

    Noch heute findet eine google-Suche mit obigen Begriff einige Webseiten – alle gehostet bei goneo !

    Grüße, Klaus

    • Arwed sagt:

      hallo klaus,

      ich bin der webmaster von proteste.de und frarwie.de.
      mir ist das ganze aufgefallen. ich habe an ca 80 seitenbetreiber geschrieben, von denen mir auch einige geantwortet haben.
      einer schrieb mir, dass er auch so um den 20.12. die dateien bemerkte. aber nicht an eine manipulation glaubte, sondern an eine fehlübertragung und hat ein backup der seite eingespielt.

      leider musste ich bei meiner suche auch feststellen, dass einige seiten nicht mal inhalt hatten. aber nicht nur goneo sondern auch ein niederländischer hoster und ein britischer sind/waren davon betroffen.

      leider wurden fragen wie bei dir mit standart emails abgeblockt und der schwarze peter auf den „user“ geschoben. da aber sehr viele webmaster die ich kenne ihre datensicherheit sehr ernst nehmen(ich benutze zur übertragung eine vm die nur port 21 freigegeben hat und änderungen im system bei neustart verwirft)kann ich mit fug und recht behaupten, dass „wir“ definitiv NICHT der „fehler“ waren/sind.

      grüße ARWED

  1. 18. Februar 2010

    […] Trackbacks auf meiner Hauptseite funktionieren leider nicht mehr… deshalb dieser Test! Und […]

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*