Schutz vor Hacker

take · 28. März 2011

Hallo ein paar gute Kollegen ihre Webseite wird immer gehackt. Forensoftware wurde laut ihnen imemr gewechselt - aber sie werden immer gehackt.

Der Hacker nennt sich "EKH - CR3W | R3DandBL4CK & Am0k"

Siehe

http://dipower.de/index.php?page=Index

Wie kann man sich davor schützen bzw. ich will nicht das es ebenfalls mit meiner Seite passiert, was kann ich tun um das zu verhindern? Bzw. liegt das am Hoster?

**AOL** · 28. März 2011

Liegt vielleicht an einem Plugin/Zusatzcontent, der immer unabhängig von der Forensoftware eingespielt wurde.
Als Beispiel für so einen unabhängigen Zusatzcontent könnte man auf StageTwo z.B. den Web-Chat nennen.

Wenn ihr soweit alles eingerichtet habt, dann könnt ihr zunächst einmal nach einer SQLi (oder LFI bzw RFI) suchen.
Falls ihr damit gar nichts anfangen könnt, dann meldet euch bei mir per PN oder ICQ.

MfG AOL

Helper_cpg · 28. März 2011

Zitat

..
Don't trust me!
EKH - CR3W | R3DandBL4CK & Am0k

Contact: [email protected] | [email protected]

wenn man der email göauben darf, ist der kerl ma grade 14/15 oO

PowerBot · 28. März 2011

sicherere passwörter?
is das n root?
mysql nur intern aufrufbar machen

eggangstar · 28. März 2011

take schrieb:

Hallo ein paar gute Kollegen ihre Webseite wird immer gehackt. Forensoftware wurde laut ihnen imemr gewechselt - aber sie werden immer gehackt.

Der Hacker nennt sich "EKH - CR3W | R3DandBL4CK & Am0k"

Siehe

http://dipower.de/index.php?page=Index

Wie kann man sich davor schützen bzw. ich will nicht das es ebenfalls mit meiner Seite passiert, was kann ich tun um das zu verhindern? Bzw. liegt das am Hoster?

Alles anzeigen

xDDDD

Sieht wohl so aus als ob dein freund so dumm wäre sich den keylogger von youtube zu loaden...naja, die meisten die gehackt werden sind deppen die was von youtube loaden

take · 28. März 2011

Jop sieht aus, er hatte ein dauerfhaften Keylogger - doch uns glaubt er nicht. Ihr müsst euch vorstellen 5x hinternander gehackt. Ich hab so Angst das ich gehackt werde. Gibt es Möglichkeit - wie man sie vor Sicherheitslücken prüfen lassen kann?

eggangstar · 28. März 2011

Hol dir Spybot - Search & Destroy, der sieht eig sogut wie alles.

florian0 · 28. März 2011

Also wenn ich mir die Kerle so anschaue, dann haben die netmal das Zeug ne Sicherheitslücke zu finden / zu nutzen. Die haben die Kompetenz eines Milchbrötchens.
Das kann nur ein Trojaner sein.

Lasst euch von denen nicht einschüchtern, die können garnichts.

Gruß
florian0

Gibpfötchen · 28. März 2011

Offtopic: Aber kennt jemand den Name von dem Lied?

Awesome · 28. März 2011

Mal ne kurze Frage am rande.
Wie heißt das lied ?

- - -
Zum Thema: Die meisten keylogger kommen von fake youtube seiten.
Ich war auch einmal so dumm und wollte ein video sehen.
Fehler meldung. (Laden Sie sich den neuen Flash Player runter)
Nen fehler bei wbb bezweifel ich.

PowerBot · 28. März 2011

entweder keylogger, oder die pws kannste raten
kann aber auch sein dass da jemand fertige programme nutzt

Awesome · 28. März 2011

take : Ich kann dir keine PN senden , habe da vll was wichtiges für dich.

Update: Oder dürfte ich hier vll die Adressen der beiden Hacker schreiben?

**AOL** · 28. März 2011

Awesome schrieb:

Update: Oder dürfte ich hier vll die Adressen der beiden Hacker schreiben?

Regel das lieber privat mit take.
Du hast die aber bestimmt über google oder Social-Networks gefunden.

MfG AOL

Awesome · 28. März 2011

AOL schrieb:

Regel das lieber privat mit take.
Du hast die aber bestimmt über google oder Social-Networks gefunden.

MfG AOL

Take lässt keine Pn's zu
Also google war meine erste Idee, danach habe ich anders gesucht

take · 28. März 2011

jetzt schon

trigg3r · 28. März 2011

http://www.youtube.com/user/al…ya144#p/a/u/1/sVQk84hrUYc
du bist wohl einem albanischen Möchtegern Hacker in die Arme gelaufen^^.

Tut mir leid, da bist du wohl wirklich selbst Schuld. Installier mal hijackthis und erstellt nen Log. Wenn er einen Keylogger nutzt dann hat er ihn wahrscheinlich als Dienst hinterlegt.

take · 28. März 2011

Werde es ihn sagen, und ich schwöre euch das ist nicht meine Webseite - aber einer aus der Coding Gruppe seine Webseite. Als ob ich mir WBB und IpBoard und vBulletin leisten kann.

Hier mein HiijackThis Log

Spoiler anzeigen

Zitat

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 18:12:21, on 28.03.2011
Platform: Windows 7 (WinNT 6.00.3504)
MSIE: Internet Explorer v9.00 (9.00.8080.16413)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\Skype\Phone\Skype.exe
C:\Program Files (x86)\Mozilla Firefox 4.0 Beta 12\firefox.exe
C:\Program Files (x86)\Mozilla Firefox 4.0 Beta 12\plugin-container.exe
C:\Users\Soner\Downloads\HiJackThis204.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.facemoods.com/?a=ddr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://start.facemoods.com/?a=ddr&s={searchTerms}&f=4
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - (no file)
F2 - REG:system.ini: UserInit=userinit.exe
O1 - Hosts: gwgt1.silkroadonline.co.kr
O1 - Hosts: gwgt2.silkroadonline.co.kr
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll
O2 - BHO: Windows Live ID-Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll (file missing)
O4 - HKCU\..\Run: [Windows Service Communications] C:\Users\Soner\AppData\Roaming\winscp.exe
O4 - HKLM\..\Policies\Explorer\Run: [Windows Service Communications] C:\Users\Soner\AppData\Roaming\winscp.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
O4 - .DEFAULT User Startup: DSL-Manager.lnk = C:\Program Files (x86)\DSL-Manager\DslMgr.exe (User 'Default user')
O8 - Extra context menu item: Free YouTube to MP3 Converter - C:\Users\Soner\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
O9 - Extra button: ICQ7.4 - {73C6DCFB-B606-47F3-BDFA-9A4FBF931E37} - C:\Program Files (x86)\ICQ7.4\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ7.4 - {73C6DCFB-B606-47F3-BDFA-9A4FBF931E37} - C:\Program Files (x86)\ICQ7.4\ICQ.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MIF5BA~1\Office12\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O16 - DPF: {0742B9EF-8C83-41CA-BFBA-830A59E23533} (Microsoft Data Collection Control) - https://oas.support.microsoft.com/ActiveX/MSDcode.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL
O18 - Protocol: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - C:\Program Files (x86)\Windows Live\Photo Gallery\AlbumDownloadProtocolHandler.dll
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%windir%\system32\inetsrv\iisres.dll,-30007 (IISADMIN) - Unknown owner - C:\Windows\system32\inetsrv\inetinfo.exe (file missing)
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @mqutil.dll,-6102 (MSMQ) - Unknown owner - C:\Windows\system32\mqsvc.exe (file missing)
O23 - Service: @mqutil.dll,-6203 (MSMQTriggers) - Unknown owner - C:\Windows\system32\mqtgsvc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\Windows\system32\GameMon.des.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)

--
End of file - 6778 bytes

Alles anzeigen

florian0 · 28. März 2011

Hab kritische Sachen rot makiert:

take schrieb:

Spoiler anzeigen

Es gibt zwar WinSCP, aber der hat in dem Ordner nix zu suchen und schon garnicht im Autostart.

Gruß
florian0

LooLy · 28. März 2011

hacker würd ich die nicht nennen nur weil die ne page taggen

florian0 · 28. März 2011

Das sind Kinder mehr net. Schau dir das Vid das trigg3r gepostet hat doch an. Die nutzen Public Exploids um über google gefundene Websiten zu taggen / defacen.

Wie schon gesagt, die sind so gefährlich wie en Milchbrötchen.

@ take: Lad die exe mal auf Virustotal hoch.

Gruß
florian0

Teilen