• Huhu


    hatte bei vielen meiner Projekte folgenden Code am 14.12 eingeschleust bekommen :(




    Der Code kam in unterschiedlichen Dateien bei unterschiedlichen Hostern vor.


    Das wildeste war - er war auch in einem .htaccess geschützten Verzeichnis zu finden.



    Da müssen doch die Passwörter vom FTP ausgespäht worden - ein Trojaner oder ähnliches?


    Grüße

  • FTP kann, muss aber nicht. Jedenfalls war das war auf Fileebene, denn da gibt es den Passwortschutz der htaccess auch nicht. Kann FTP-Prog sein, aber auch ein anfälliges Script, das Files schreiben darf / kann.


    Trojaner ist aber sehr wahrscheinlich. Scheint was mit dem hier zu tun zu haben:
    *** Link veraltet ***


    Und darauf bezogen wohl doch eher was im Bereich FTP-Zugangsdaten...

  • Da das bei unterschiedlichen Hostern war, tippe ich eher auf nen trojaner/keylogger/rootkit auf dem Rechner.
    Ich empfehle da immer Malware Bytes: *** Link veraltet ***
    Kostet nicht die Welt und macht richtich sauber auf der Pladde.

    Wer zuerst "Datenschutz" sagt, hat verloren.

  • catcat - FlashFXP ist mein FTP-Prog. Ja, sogar noch tatsächlich Geld für bezahlt. Speichert die Passwörter auch schon irgendwie "kodiert" und nicht offen.


    Vom CMS können wir hier glaube ich nicht reden - es waren
    2x urlalte Etomite Installationen (so 8 jahre alt oder so - bei einer geht schon seit mind 5 Jahren die Verwaltung nicht mehr :D )
    pphlogger Installation,
    aber auch einige handgestrickte Seiten.


    es waren .php, .html, .js Files betrofffen. Auch war es nicht nur die root-index. Auch an unterschiedlichen Stellen im Quelltext. Diesmal war das Datum der letzten Änderung "aktuell" - hatte schon mal was vergleichbares gehabt - das Änderungsdatum der Dateien blieb aber UNANGETASTET und dennoch wurde der Inhalt manipuliert... :diablo:



    Habe eigentlich den Bitdefender als AV inkl Firewall hier laufen.. War vor Jahren zumindest mit das Beste AV/FW Programm.


    Meldet mir auch in den letzten Tagen fleißig mehrere Trojaner und sonstigen Mist. (Ich glaube den Müll habe ich mir auf eigenen Seiten eingefangen). Vor diesem Problem war eigentlich schon lange Ruhe.


    Werde mich wohl zwischen den Feiertage mal mit einer Win7 neu-Installation beschäftigen müssen. :kotz:
    Wenn ich so nen Penner erwischen würde, wäre er nachher berufsunfähig was EDV angeht! :fluch:


    Grüße Yury

  • Zitat

    Wenn ich so nen Penner erwischen würde, wäre er nachher berufsunfähig was EDV angeht!


    So denke ich auch!


    Das "schöne" dabei vor allem, der Code von oben wurde auch am 14.12. auf diversen "Code-Speicher-Seiten" als "Virus" gepostet und auch bei Twitter verbreitet.


    Und das eben in Verbindung mit unter anderem dem W32/HackTool-Bla-irgendwas... Der kommt wohl per Java rein und wird von vielen Scannern erst seit dem 12. bzw 13. erkannt. Einige sogar erst noch viel später.

  • Ich kriege hier gleich einen Vogel :pirat: Das kann doch alles nicht wahr sein!


    Will gerade die Entwicklungs-DB vor dem nächsten Schritt backupen, rufe die mysqldumper Installation auf => kommt eine weiße Seite. He, kann doch gar nicht sein, ist doch gerade 12 Std her das ich das letzte Backup gemacht habe.


    Tja, Änderungsdatum der main.php und index.php 23.12. 04:58


    :error:

  • Tja, prinzipiell hast Du nun nur zwei mögliche Ansätze. Entweder die kamen nur über FTP und nur! auf das Homedir, dann reicht es eigentlich, FTP zu ändern und den lokalen PC neu aufzusetzen. Oder, wenn die über eine Sicherheitslücke auf dem Server kamen und/oder auch andere Dateien außerhalb des Homedir ändern konnten, dann ebenso Server platt machen. Wenn Du nicht ausschließen kannst, dass die auf dem Server Hintertüren geöffnet haben, dann auch Server platt machen.

  • Es wäre auf jeden FAll zu empfehlen die Logs mal anzuschauen. Das wichtigste ist erstmal die Lücke zu schliessen und weitere Hintertüren zu vermeiden. Wenn es der Server ist oder über Code der Server übernommen worden ist, empfielt es sich so gut wie alles neu zu machen. Ich habe sowas gelernt ;)
    Kompromitiertes System neu aufsetzen und Lücke finden und schliessen. LEider denke ich führt kein weg dran vorbei. Da ich sowas auch anbiete, auch erstmal kostenlos, kann ich dir meinen Sicherheitserver zum Testen empfehlen. Auch ich werde in die Logs schauen, das ist wirklich kostenlos.
    Ich glaube so hab ich CatCAt kennengelernt damals im anderen Teich. Was wichtig ist das erstmal alles überprüft wird, dann weiter schauen in den Logs und ja ich kann den Sicherheitsserver immer Platt machen.
    Da ist nur CC druff *g*
    nene, ist ein eigenständiger Server ;)
    Keine Sorge CC :)
    Bin heute lustig druff
    Aber erstmal muss ich die letzen Rechnungen dieses Jahr erstellen und danach alle Server warten.. Heute Abend hätte ich Zeit auch für eine Übersicht.


    Das biete ich übrigens allen Forenteilnehmern an, falls mal was ist. Ihr braucht kein Edel-Host Kunde zu sein, klar wäre es schön, wenns so wäre.
    Aber ich hab damals vor laaaanger langer Zeit mal selber Scripte geschrieben, wenn ihr wisst was ich meine
    . Mehr darf ich leider nicht sagen

    wenn etwas möglich erscheint mach ich das, wenn das nicht klappt gehts ans unmögliche und ansonsten das undenkbare.

    - nun stolz rauchfrei - Ich denke also Bing ich!


    Support 24h Bereitschaft 0163 2161604 - NUR Für Kunden von SEO NW!

  • Also, mal abgesehen davon, wie die Daten da auf Deiner Server kamen, interessierte mich aber schon, was die da denn genau tun ;)


    Also, also erstes wird in dem Code ja erst mal jede größere Suchmaschine ausgeschlossen, bzw. die merkt die Änderung nicht. Ist vorteilhaft, so stuften Sumas die Seite schon mal nicht als "attackierend" ein, aber auch ein Problem, weil Besucher davon betroffen sind.


    Der Code öffnet dann eine cURL-Verbindung zu hotlogupdate und von dort wird dann ein Javascript zurückgegeben. Dieses wird direkt ausgeführt. Im Script selbst ist dann ein iFrame enthalten, das seinerseits einen Thread in einem polnisches Forum aufruft (nenne ich hier mal lieber nicht, ist laut virustotal verseucht). Somit fängt sich also jeder Besucher, der keinen ausreichenden Schutz hat, über die Seite den Virus / Trojaner / Maleware des polnischen Forums ein.


    Allerdings, und das ist das "Gute" an der Sache. Das Forum ist aktuell offline : Fehler 404...

  • mhh, so viel wie ich daraus lesen kann, war es über den FTP.. hier ein Ausschnitt vom FTP-Log


    *** Link veraltet ***


    bei den access_log war da nichts zu der Uhrzeit zu sehen..


    bei der Geschwindigkeit - ganz klar ein Script - welches sich jedoch bestimmte Dateien nur schnappt??


    Grüße

  • Ja, schaut so aus, wenn das ein FTP-Log ist. Dennoch das Problem, dass da über FTP auch noch ganz andere Dinge gelaufen sind. Wenn man Files hochladen kann, dann kann man die auch ändern und herunterladen. z.B. Config-Files mit DB-Zugangsdaten. Dann, wurden die Daten direkt geändert oder heruntergeladen, bearbeitet und hochgeladen. Direkt geändert deutet ebenso auf ein zusätzliches Script hin. Und die letzte Problemfrage... Wie kamen die an die FTP-Daten?

  • Zitat von Synonym;11153

    [...]Und die letzte Problemfrage... Wie kamen die an die FTP-Daten?


    Da gibts ja nur 3 Möglichkeiten:


    # Man in the Middle
    # Trojaner/Rootkit/keylogger auf dem Rechner, der FTP-PWs und auch sonstige PWs abfischt
    # Server/Router vor dem Server korrumpiert


    Gegen Ersteres gibts SFTP oder SCP anstatt FTP (das PWs im Klartext überträgt)
    Gegen Zweiteres gibts zB Malwarebytes
    Gegen Letzteres gibts nur dem Hoster nen Rüffel zu geben und ggfls. den Hoster zu wechseln.


    (Bei godaddy ist mir das des öfteren bei Webspace passiert. Da hatte ein anderer Webspacemieter auf demselben Server einige unsichere Scripte laufen und die verseuchten einfach den ganzen Server. Auch hat godaddy an der Sicherheit des Routers vor dem Server gespart.)

    Wer zuerst "Datenschutz" sagt, hat verloren.

  • Ach darum geht es. Ich dachte, da hätte einer einen Haken an die Seiten gemacht.


    Ist mir gerade mal so aufgefallen, weil ich gestern einen Bericht dazu gesehen habe, dass Jugendliche kein richtiges Deutsch mehr können.


    "Ich hase Facebook"

    Je kümmerlicher die Eidechse ist, desto mehr strebt sie danach, ein Krokodil zu werden.

    Äthiopische Volksweisheit.

  • >> Ich empfehle da immer Malware Bytes: Malwarebytes : Free anti-malware, anti-virus and spyware removal download _


    Empehls besser nicht mehr CC. Ich wollte es mir mal anschauen und hab die Shareversion runtergeladen, einen Schnelllauf gemacht. Gefunden wurde nichts, aber nach dem Durchlauf dauerte es noch kein Minute und mir blieb der Rechner stehen. Konnte nicht mal mehr normal runterfahren, musste die Stromzufuhr kappen. Dann wieder hochgefahren, jetzt hab ich einen weissen Desc, es geht absolut nichts mehr, ich komme nicht mal mehr im abgesicherten Modus auf den Rechner, um dieses Scheissprogramm wieder zu löschen.


    Haste jetzt noch einen Tip was ich machen kann, ausser den Rechner plattzumachen, womit auch alle Daten verloren wären?


    So einen derben Mist hab ich bis heute nicht erlebt. Ein Programm, dass den Rechner absolut lahmlegt. Aber immerhin, da nichts mehr geht, könnte auch ein Rootkit nichts mehr ausrichten. Insofern ist die Sicherheit 100%.


    Für den Beitrag hier musste ich aufs Lap zurückgreifen.

    Je kümmerlicher die Eidechse ist, desto mehr strebt sie danach, ein Krokodil zu werden.

    Äthiopische Volksweisheit.

  • Also ich hab das seit gut 2 Jahren auf allen Rechnern (Vista und 7) drauf und sowas ist mir noch nie passiert *grübel


    Ich könnte mir nur vorstellen, daß irgendeine Malware/Rootkit eine oder mehrere wichtige Dateien auf Deinem Rechner schon ersetzt/verändert hat und Malwarebytes hat die infizierten Dateien gekillt.


    Wiederherstellungs-DVD? Knoppix? Beten?


    grade gefunden: *** Link veraltet ***

    Wer zuerst "Datenschutz" sagt, hat verloren.

  • Zitat von catcat;11954


    Ich könnte mir nur vorstellen, daß irgendeine Malware/Rootkit eine oder mehrere wichtige Dateien auf Deinem Rechner schon ersetzt/verändert hat und Malwarebytes hat die infizierten Dateien gekillt.


    So in diese Richtung denke ich auch.
    Ist oft so, ich hatte mal irgend so ein Drecksding eingefangen, da konnte man keine Seite der Antivirensoftwarehersteller mehr aufrufen.
    Ich hab von Cura noch so einen thread in Erinnerung, bei dem es schon einmal Probleme gab, davon vielleicht noch ein Kater.


    Ach so und wer backup`s macht ist feige :floet:.


    Ansonsten Knoppix und dann erst mal panda online durchlaufen lassen.

    Frei nach Dieter Nuhr
    Das Internet ist zum Lebensraum der Dauerbeleidigten geworden, die immer einen Grund finden, anderen irgendetwas vorzuwerfen, um sich selbst moralisch zu erhöhen.