Hallo, möglicherweise wurde unsere Website gehackt. Wir haben vor einigen Tagen seltsame Aktivitäten festgestellt, etwas später folgte eine Erpressermail, man habe unsere Datenbank gekapert, droht, unseren Ruf zu zerstören und will 3.000,- Euro in BTC. Wir werden selbstverständlich nicht zahlen, die Drohungen sind auch nicht wirklich erschreckend, aber wir wüssten schon gerne, ob der Angreifer sich noch auf unserer Seite befindet. Und wie er reingekommen ist.
Wir hatten ursprünglich einen eigenen Server und sind jetzt auf ein gehostetes Paket umgezogen. Vielleicht reicht das ja schon, um zukünftige Angriffe zu unterbinden.
Trotzdem: Kann man irgendwie feststellen, ob die Datenbank verseucht ist und der Angreifer sich noch im System befindet? Diverse Abfragen bei Onlinecheckern zur Sicherheit unserer Seite ergeben ein unklares Bild.
Was bisher geschah:
02.10.2022
- Hackerangriff (RAM-Auslastung über mehrere Stunden bei 50%)
- sql-Server ausser Betrieb
- bei allen Dateien werden die Rechte auf vollen Zugriff geändert
- letzte Datensicherung aus Image geladen (kompl. Server)
- Keine Besserung, deswegen Server ausgeschaltet
06.10.2022
- Umstellung auf Ionos Webhosting PLUS
- neue Passwörter, Zugangsdaten usw. eingerichtet, Domainumzug etc.
Eine erhöhte CPU- und RAM-Auslastung ist seitdem nicht mehr festzustellen. Die Änderung auf sicherere Passwörter fand allerdings erst nach dem Umzug statt, die Erstinstallation des neuen Paketes erfolgte also mit einfacheren, möglicherweise leicht zu hackenden Passwörtern. Kann das zum Problem werden?
12.10.2022
- Erpressungsmail, Inhalt siehe oben
Ich würde den Namen unserer Seite hier ungern in der Öffentlichkeit nennen. Es handelt sich um eine kleine Regionalwährung und ich möchte vermeiden, dass, sollte später jemand nach uns googeln, er als erstes auf die Entführung unserer Datenbank stößt.
PN? Oder den Namen hier nennen und später unkenntlich machen?
Was können wir tun? Gibt es da eine Möglichkeit?
Danke vorab
Dirghard
PS: Wir sind keine Profis, falls diese Rubrik die falsche ist, verschiebt uns bitte!
PS: Wir sind ein eingetragener Verein (e.V.), also keine Firma
PS: Wir können nach Einspielung der Datensicherung (Image) nicht mehr Zugriffe oder Transfers ermitteln
Wir hatten ursprünglich einen eigenen Server und sind jetzt auf ein gehostetes Paket umgezogen. Vielleicht reicht das ja schon, um zukünftige Angriffe zu unterbinden.
Trotzdem: Kann man irgendwie feststellen, ob die Datenbank verseucht ist und der Angreifer sich noch im System befindet? Diverse Abfragen bei Onlinecheckern zur Sicherheit unserer Seite ergeben ein unklares Bild.
Was bisher geschah:
02.10.2022
- Hackerangriff (RAM-Auslastung über mehrere Stunden bei 50%)
- sql-Server ausser Betrieb
- bei allen Dateien werden die Rechte auf vollen Zugriff geändert
- letzte Datensicherung aus Image geladen (kompl. Server)
- Keine Besserung, deswegen Server ausgeschaltet
06.10.2022
- Umstellung auf Ionos Webhosting PLUS
- neue Passwörter, Zugangsdaten usw. eingerichtet, Domainumzug etc.
Eine erhöhte CPU- und RAM-Auslastung ist seitdem nicht mehr festzustellen. Die Änderung auf sicherere Passwörter fand allerdings erst nach dem Umzug statt, die Erstinstallation des neuen Paketes erfolgte also mit einfacheren, möglicherweise leicht zu hackenden Passwörtern. Kann das zum Problem werden?
12.10.2022
- Erpressungsmail, Inhalt siehe oben
Ich würde den Namen unserer Seite hier ungern in der Öffentlichkeit nennen. Es handelt sich um eine kleine Regionalwährung und ich möchte vermeiden, dass, sollte später jemand nach uns googeln, er als erstes auf die Entführung unserer Datenbank stößt.
PN? Oder den Namen hier nennen und später unkenntlich machen?
Was können wir tun? Gibt es da eine Möglichkeit?
Danke vorab
Dirghard
PS: Wir sind keine Profis, falls diese Rubrik die falsche ist, verschiebt uns bitte!
PS: Wir sind ein eingetragener Verein (e.V.), also keine Firma
PS: Wir können nach Einspielung der Datensicherung (Image) nicht mehr Zugriffe oder Transfers ermitteln
Zuletzt bearbeitet: