Mein Cloudflare Account wurde gehackt, jetzt wird man immer auf eine andere Website umgeleitet?

Hey mein Cloudflare Account wurde gehackt (habe Passwort geändert und jetzt 2fa an) aber was mich eher irritiert ist das man immer auf eine Seite mit der Domain https://annex.finance/ weitergeleitet wird. Hab etwas gesucht aber nichts gefunden warum man dahin weitergeleitet wird. Das ganze passiert auch wenn ich auf eine Subdomain zugreifen will also zB: status.domain.de komme ich trotzdem auf https://annex.finance/ wie könnte das der Hacker eingestellt haben?

Answer 1

[DummeStudentin]

Na dann werden die Angreifer deine Seite bei Cloudflare entsprechend konfiguriert haben, entweder durch DNS Einträge oder irgendwelche Weiterleitungsregeln. Cloudflare bietet ja sehr viele Konfigurationsmöglichkeiten, irgendwas davon wird es sein.

Wenn du dir unsicher bist, kannst du die Domain auch einfach von Cloudflare löschen und wieder neu hinzufügen, um alle Einstellungen auf die Standardwerte zurückzusetzen (außer du hast die Domain direkt bei Cloudflare registriert).

Bis deine DNS Änderungen wirksam werden, kann viel Zeit vergehen. Vermutlich haben die Angreifer hohe TTL Werte für ihre DNS Einträge gesetzt.

Woher ich das weiß: Hobby – Ich interessiere mich für Hacking, Pentesting und CTF

Comments

[LeonMT1]

Okay danke mit den Domain neu hinzufügen bin ich nicht draufgekommen das werde ich machen.

Answer 2

[ruhrgur]

mein Cloudflare Account wurde gehackt

Was soll das genau bedeuten? Wie kommst du zu dieser Annahme?

was mich eher irritiert ist das man immer auf eine Seite mit der Domain https://annex.finance/ weitergeleitet wird

Auch hier nochmal fürs Verständnis: Wirst du auf diese Seite weitergeleitet wenn du Cloudflare öffnen möchtest oder generell immer? Was für einen Dienst von Cloudlare nutzt du denn genau? Geht es um den DNS-Server von Cloudflare, eine Website oder etwas ganz anderes?

Im Zweifel solltest du einmal deinen DNS-Cache löschen und, sofern du Cloudflare als DNS-Anbieter nutzt, einmal prüfen ob das Problem auch noch besteht, wenn du einen anderen DNS-Server verwendest.

Falls du meine Rückfragen in den Kommentaren noch einmal klarstellst, lässt sich ggf. noch mehr zu dieser Thematik sagen. Im Zweifel weise ich dich auch gerne nochmal auf die Möglichkeit von (kostenfreier) Fernwartung über das Cyber-Sicherheitsnetzwerk des BSI hin.

LG

Comments

[LeonMT1]

1. Habe eine E-Mail bekommen das sich jemanden von der USA aus eingeloggt hat
2. Ich glaube ich habs falsch erklärt sorry den sobald ich auf meine eigene Website will werde ich auf https://annex.finance/ weitergeleitet. Also ich kann auf Cloudflare zugreifen.
3. Also ich hoste meine eigene Website und lasse diese halt von Cloudflare verwalten so das ich halt Sub domains etc machen kann.

[ruhrgur]

@LeonMT1

Alles klar, dann wird es auch nicht an deinem eigenen DNS-Server liegen. Als erstes wäre hier einmal die Konfiguration deiner Website zu prüfen bzw. ob daran irgendwelche Änderungen vorgenommen worden sind. Alternativ kannst du auch vorab einmal prüfen, wie genau mit deiner Anfrage an deinen Webserver verfahren wird, bis du weitergeleitet wirst. Das geht entweder über Software wie BurpSuite oder in etwas simpler auch direkt online, bspw. hier: https://wheregoes.com/

Aller Wahrscheinlichkeit nach wird eine Umleitung von deinem Webserver auf die o. g. URL eingestellt worden sein, diese musst du im Zweifel wieder entfernen. Sollten die hier genannten Schritte wider Erwarten keine genauen Ergebnisse liefern, kannst du dich im Zweifel natürlich auch an den Support von deinem Provider wenden – wie gesagt sollte das aber i. d. R. nicht notwendig sein.

[LeonMT1]

@ruhrgur

Das Problem ist ich sehe kein DNS Eintrag der mir nicht bekannt ist oder muss ich wo anders suchen? Btw bei den Trace kam folgendes raus: https://wheregoes.com/trace/20243162996/

[ruhrgur]

@LeonMT1

Wie bereits gesagt: Wenn die Website unabhängig davon von wo sie aufgerufen wird auf die o. g. Seite weiterleitet, liegt es nicht an deinem DNS-Server, sondern aller Wahrscheinlichkeit nach an der Konfiguration deines Webservers.

[LeonMT1]

@ruhrgur

Ich hoste die Website über GitHub Pages so weit mir bekannt ist kann man das da aber nicht ändern

[ruhrgur]

@LeonMT1

Also nutzt du Cloudflare tatsächlich nur um Subdomains anzulegen? Dann im Zweifel einmal hier schauen, ob etwas umgestellt ist. Alternativ musst du die Konfiguration eben einmal plattmachen und neu aufsetzen.

Rein vorsorglich aber nochmal der Hinweis: Auch beim Hosten über Drittanbieter wie GitHub gilt für dich deutsches Recht. Du bist u. a. zur Angabe eines Impressums verpflichtet und hast dafür zu haften, wenn bspw. widerrechtliche Datenverarbeitungen i. S. d. DSGVO stattfinden.

[LeonMT1]

@ruhrgur

Da ich jetzt nix finden konnte werde ich die Domain neu bei cloudflare registrieren.

Achso ja ich weiß das für mich deutsches Recht gelten würde wohne aber nicht da deswegen würde.

Danke für deine ausführliche Hilfe :)

[ruhrgur]

@LeonMT1

Laut Profil bist du aus Erfurt.

[LeonMT1]

@ruhrgur

Achso ja du bin ich geboren aber bin halt umgezogen

Answer 3

[Simonpopp1234]

Vielleicht funktioniert es mit dem link Cloudflare | Web Performance & Security . Falls nicht möchte ich dir keine Angst machen, aber es kann sein, dass dein Browser oder dein Gerät gehackt wurde, wodurch sie Zugriff auf deinen Account erhalten haben und dich eventuell umleiten können. Das heißt du könntest dein Gerät mal auf Viren überprüfen.

Comments

[LeonMT1]

Auf den Panel war ich schon xD. Aber tatsächlich hab ich erst vor ein paar Tagen Windows frisch aufgesetzt und nix unseriöses runtergeladen. Außerdem werden auch Leute umgeleitet die nicht bei mir Zuhause wohnen.