33
Suche FTP Logger
Gibt es ein Tool mit dem mann die FTP Zugriffe auf einen Webserver loggen kann?
Dazu zu sagen wäre noch wichtig, dass ich bei freeweb dieses Paket nutze... http://freeweb.de/privat.html
Ich brauche dieses Tool um zu schauen welche IP-Adresse meine Daten manipuliert, da ein Java-Scriptvirus Namens "JS/Dldr.Iframe.BM" eingeschleust wurde.
Kann ich rechtliche Schritte einleiten wenn ich die IP-Adresse habe?Ich mein klar,heutzutage ist es kein Problem eine IP-Adresse zu verschleiern aber vielleicht war es ja "nur" ein "Scriptkiddie".
Grüße
Dazu zu sagen wäre noch wichtig, dass ich bei freeweb dieses Paket nutze... http://freeweb.de/privat.html
Ich brauche dieses Tool um zu schauen welche IP-Adresse meine Daten manipuliert, da ein Java-Scriptvirus Namens "JS/Dldr.Iframe.BM" eingeschleust wurde.
Kann ich rechtliche Schritte einleiten wenn ich die IP-Adresse habe?Ich mein klar,heutzutage ist es kein Problem eine IP-Adresse zu verschleiern aber vielleicht war es ja "nur" ein "Scriptkiddie".
Grüße
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 90123
Url: https://administrator.de/contentid/90123
Printed on: April 25, 2024 at 15:04 o'clock
33 Comments
Latest comment
Dein Provider wird hoffentlich Logfiles führen, bei solchen Tarifen solltest du aber eigentlich auch entweder über einen Kundenlogin Zugriff auf diese Logfiles haben, oder du hast über FTP einen Ordner, in dem diese Daten aufbewahrt werden.
Bist du dir denn sicher, dass das über FTP hochgeladen wurde und nicht über eine evtl. Lücke in einem PHP-Script?
Bist du dir denn sicher, dass das über FTP hochgeladen wurde und nicht über eine evtl. Lücke in einem PHP-Script?
Ich habe vorhin meinen Hoster angeschrieben, bin mal gespannt was er sagt.
Über FTP habe ich Zugriff auf ein AccessLog aber dadrin sind so wie es aussieht nur HTTP Zugriffe geloggt.
Ich bin mir natürlich nicht sicher ob es per FTP hochgeladen wurde, wer kann sich bei so einem Problem schon 100%ig sicher sein..!?
Ich habe auf meiner Seite ein Kontaktformular gehabt, was ich nun erstmal rausgenommen habe. Vielleicht ist das Skript darüber reingekommen.
Woran könnte es noch liegen bzw was könnte man noch dagegen tun?
Über FTP habe ich Zugriff auf ein AccessLog aber dadrin sind so wie es aussieht nur HTTP Zugriffe geloggt.
Ich bin mir natürlich nicht sicher ob es per FTP hochgeladen wurde, wer kann sich bei so einem Problem schon 100%ig sicher sein..!?
Ich habe auf meiner Seite ein Kontaktformular gehabt, was ich nun erstmal rausgenommen habe. Vielleicht ist das Skript darüber reingekommen.
Woran könnte es noch liegen bzw was könnte man noch dagegen tun?
Moin,
auch wir haben das Problem bei einer Kundendomain auf einem Windows2003-Server und einem Kunden auf einem Linux-Server...
Bisher hat der Provider 1&1 noch nichts gefunden oder sich gerührt...
Wir können daher jeden Tag nun die index-Datei auf dem Server wieder durch eine saubere Version über schreiben...
In den HTTP-Log-files ist nichts auffälliges zu finden.
auch wir haben das Problem bei einer Kundendomain auf einem Windows2003-Server und einem Kunden auf einem Linux-Server...
Bisher hat der Provider 1&1 noch nichts gefunden oder sich gerührt...
Wir können daher jeden Tag nun die index-Datei auf dem Server wieder durch eine saubere Version über schreiben...
In den HTTP-Log-files ist nichts auffälliges zu finden.
Ein kleiner Tipp, ist zwar keine Lösung aber zumindest eine kleine Hilfe. Das Script manipuliert nur dei index Dateien erster und zweiter Ebene, ich habe jetzt meine Hauptseite einfach ein paar Ebenen weiter runter also in mehrere Unterordner und dann die Domain auf die Unterordner geleitet... dies bringt schonmal vorrübergehend ein kleine Abhilfe!
Bin aber auch noch auf der Suche nach einer Endgültigen Lösung.
Interessant wäre wie Sie ihre Seiten erstellen bzw was diese beinhalten.
Nutzen Sie ein CMS wie Joomla oder Wordpress?
Haben Sie Scripte, Kontaktformulare oder ein Gästebuch?
Bin aber auch noch auf der Suche nach einer Endgültigen Lösung.
Interessant wäre wie Sie ihre Seiten erstellen bzw was diese beinhalten.
Nutzen Sie ein CMS wie Joomla oder Wordpress?
Haben Sie Scripte, Kontaktformulare oder ein Gästebuch?
nee, also unsere zwei Kunden, die das bisher betrifft, nutzen keine CMS-Systeme: wie schon geschrieben, läuft der eine auf Linux und der andere auf Windows...
Für mich sieht das eher nach einer Lücke beim Provider aus, über das sich das Teil immer automatisiert wieder in die Seiten einnistet.
1&1 empfahl uns, als ersten Schritt das FTP-Passwort zu ändern, was ich auch gemacht habe.
Jetzt warte ich auf morgen, wenn das Teil dann wieder die Seiten manipuliert hat, dann rufe ich da wieder an
...
Das mit dem Verschieben des Wurzel-Verzeichnisses ist aber auch keine schlechte Idee!
Für mich sieht das eher nach einer Lücke beim Provider aus, über das sich das Teil immer automatisiert wieder in die Seiten einnistet.
1&1 empfahl uns, als ersten Schritt das FTP-Passwort zu ändern, was ich auch gemacht habe.
Jetzt warte ich auf morgen, wenn das Teil dann wieder die Seiten manipuliert hat, dann rufe ich da wieder an
...Das mit dem Verschieben des Wurzel-Verzeichnisses ist aber auch keine schlechte Idee!
Meine Websites laufen auch auf nem Linux Apache.
Habe auch schon daran gedacht das es am Provider liegt, ist eben schwer das nachzuweisen udn wenn mann seinen Hoster mit so etwas konfrontiert ist klar das er sagt das es nicht an ihm liegt...!
Bei Ihnen ist also die Manipulation absolut regelmäßig!?Ich denke auch das dies automtisiert passiert, wer sollte sich denn die Arbeit machen um diesen Code auf jeder Site einzeln und in jeder index Datei einzeln zu ändern...!?
Bei mir war es hingegen mal am Tag, mal Abends dann war zwei Tage Ruhe bis gestern Nacht 01.15Uhr dann habe ich gestern auch mein FTP Passwort geändert und verbinde mich nun ausschliesslich per Filezilla mit FTPES (FTP über explizites TLS/SSL).
Bisher war noch nix wieder.Mal abwarten wie sich das entwickelt.
Habe auch schon daran gedacht das es am Provider liegt, ist eben schwer das nachzuweisen udn wenn mann seinen Hoster mit so etwas konfrontiert ist klar das er sagt das es nicht an ihm liegt...!
Bei Ihnen ist also die Manipulation absolut regelmäßig!?Ich denke auch das dies automtisiert passiert, wer sollte sich denn die Arbeit machen um diesen Code auf jeder Site einzeln und in jeder index Datei einzeln zu ändern...!?
Bei mir war es hingegen mal am Tag, mal Abends dann war zwei Tage Ruhe bis gestern Nacht 01.15Uhr dann habe ich gestern auch mein FTP Passwort geändert und verbinde mich nun ausschliesslich per Filezilla mit FTPES (FTP über explizites TLS/SSL).
Bisher war noch nix wieder.Mal abwarten wie sich das entwickelt.
also die ersten Änderungen waren vorgestern alle um 09:23 auf bestimmt 10 Unterverzeichnisen, und dann waren die gestern gegen 23:30...
Ich habe jetzt das Wurzelverzeichnis verschoben und warte auf morgen
.
Ich habe jetzt das Wurzelverzeichnis verschoben und warte auf morgen
.
Auch ich habe die ganze Nacht in Panik durchgearbeitet, weil eine für mich ganz wichtige Webseite und all Subdomains seit gestern durch diesen JS Virus (JS/Dldr.Iframe.BM) down sind. Auf einem dieser Subdomains ist mein CV und ich hatte mich nun ausgerechnet vorgestern für ein Entwicklungsprojekt (in diesem Sinne wie Entwicklungspolitik nicht Entwicklung von nützlichen Dingen :- ) ) beworben – na das sieht ja jetzt wohl nach "absolut unfähig" aus!
Ich hoste auch bei 1&1 und die haben mir heute morgen dann erklärt, daß ich meine Sicherheitslücken im Code schließen müßte??? Na klasse, es handelt sich um die Webseite einer wissenschaftlichen Organisation mit über 300 Seiten die keine "modernen" Besonderheiten enthält (sie muß außerdem leider weltweit erreichbar sein, also auch für Menschen die noch mit einem Browser aus dem letzten Jahrtausend arbeiten und Flash für einen Film aus Hollywood halten) und die ich fachfremd in meiner Freizeit verwalten muß. Es wird auch kein CMS System genutzt und meine sog. Scripte, Kontaktformulare, etc. sind alle von 1&1 (schon etwas verdächtig oder?)
Bin immer schon froh wenn meine Webseiten so einigermaßen problemlos laufen, die arabischen Schriftzeichen noch zu lesen sind und sich niemand über den sachlichen Inhalt beschwert – bin jetzt total verzweifelt und habe auch bereits die infizierten Domains komplett schon öfters wieder neu hochgeladen. Es hielt leider immer nur kurz, wie hier ja schon von anderen erwähnt!
Würde es rein pragmatisch gesehen helfen, alles auf dem Server bei 1&1 zu löschen und wieder ganz neu draufzuladen oder würde das auch nicht wirklich etwas bringen? Weiß jemand was genau dieser Virus macht? Ich habe etwas von einem sehr organisiertes Vorgehen aus China heute Nacht gelesen und das schon hundert Tausende von Webseiten (hauptsächlich englische und hauptsächlich Seiten von Organisationen – also wie meine) infiziert seien. Hierzu gehört auch die UN und uk.co.gov (ouch!) Könnte es theoretisch sein, daß ich diesen * durch den Server meines theoretischen Auftraggebers (der als Einziger gestern auf den betroffenen Webseiten war und dazu eine riesige Organisation mit wirklich fürchterlicher IT ist) übertragen bekommen habe??
Hoffentlich findet hier bald jemand eine "anwendbare" Lösung – ich bin schon ziemlich mit den Nerven runter.
LG
Andy
Ich hoste auch bei 1&1 und die haben mir heute morgen dann erklärt, daß ich meine Sicherheitslücken im Code schließen müßte??? Na klasse, es handelt sich um die Webseite einer wissenschaftlichen Organisation mit über 300 Seiten die keine "modernen" Besonderheiten enthält (sie muß außerdem leider weltweit erreichbar sein, also auch für Menschen die noch mit einem Browser aus dem letzten Jahrtausend arbeiten und Flash für einen Film aus Hollywood halten) und die ich fachfremd in meiner Freizeit verwalten muß. Es wird auch kein CMS System genutzt und meine sog. Scripte, Kontaktformulare, etc. sind alle von 1&1 (schon etwas verdächtig oder?)
Bin immer schon froh wenn meine Webseiten so einigermaßen problemlos laufen, die arabischen Schriftzeichen noch zu lesen sind und sich niemand über den sachlichen Inhalt beschwert – bin jetzt total verzweifelt und habe auch bereits die infizierten Domains komplett schon öfters wieder neu hochgeladen. Es hielt leider immer nur kurz, wie hier ja schon von anderen erwähnt!
Würde es rein pragmatisch gesehen helfen, alles auf dem Server bei 1&1 zu löschen und wieder ganz neu draufzuladen oder würde das auch nicht wirklich etwas bringen? Weiß jemand was genau dieser Virus macht? Ich habe etwas von einem sehr organisiertes Vorgehen aus China heute Nacht gelesen und das schon hundert Tausende von Webseiten (hauptsächlich englische und hauptsächlich Seiten von Organisationen – also wie meine) infiziert seien. Hierzu gehört auch die UN und uk.co.gov (ouch!) Könnte es theoretisch sein, daß ich diesen * durch den Server meines theoretischen Auftraggebers (der als Einziger gestern auf den betroffenen Webseiten war und dazu eine riesige Organisation mit wirklich fürchterlicher IT ist) übertragen bekommen habe??
Hoffentlich findet hier bald jemand eine "anwendbare" Lösung – ich bin schon ziemlich mit den Nerven runter.
LG
Andy
Ach ja, vielleicht noch interessant:
FTP kann nicht sein, denn ich hatte meine Seiten schon ewig nicht angefaßt – also diese Theorie können wir ausschließen.
Bleibt nur direkt von Außen oder der Fehler liegt tatsächlich bei 1&1.
Wahrscheinlich ergo deshalb völlig unwichtig. Ich arbeite mit NetFusion11 (bitte nicht Lachen, für mich reicht es
) Die Sites sind aber alle noch mit Version 9 gemacht!
Betroffene Webseite: www.ndrd.org
Weitere Webseiten die nicht betroffen sind: www.isdehs.com
www.waldsee.comden.de (da etwas Spielerei, aber die geht [noch?!])
Sind hier eigentlich HTML Tags erlaubt?
FTP kann nicht sein, denn ich hatte meine Seiten schon ewig nicht angefaßt – also diese Theorie können wir ausschließen.
Bleibt nur direkt von Außen oder der Fehler liegt tatsächlich bei 1&1.
Wahrscheinlich ergo deshalb völlig unwichtig. Ich arbeite mit NetFusion11 (bitte nicht Lachen, für mich reicht es
) Die Sites sind aber alle noch mit Version 9 gemacht!Betroffene Webseite: www.ndrd.org
Weitere Webseiten die nicht betroffen sind: www.isdehs.com
www.waldsee.comden.de (da etwas Spielerei, aber die geht [noch?!])
Sind hier eigentlich HTML Tags erlaubt?
Es werden ja immer mehr...!Mal sehen wieviele sich noch melden.
Hab mir mal die Seite angeschaut, also an Formularfeldern kann es bald auch nicht liegen, da ist ja wirklich nix bei dir!Ich hatte bei mir den Verdacht weil ich auf meiner Hauptseite und auch bei den Subdomains welche eingebaut hatte!
Also ist dies wahrscheinlich auch nicht die Schwachstelle!
Sind irgendwelche Scripte eingebaut?
So langsam fällt bei mir auch immer mehr der Verdacht auf den Provider, ist bei mir aber nicht 1&1 sondern www.freeweb.de.
Bei mir hat der Virus bei dem CMS Wordpress bewirkt das sich ein Fenster öffnet indem angeblich ein Virus auf dem System gefunden wurde und man solle auf "www.advancedxpdefender.com" gehen und sich dort ein Tool runterladen.
Bei Joomla hingegen hat sich die ganze Seite nicht mehr geöffnet.
Das hat er bei mir bewirkt.
Du kannst auch mal probieren das Verzeichnis in ein paar Unterordner zu verschachteln und die Domain umzuleiten, bei mir hats geklappt. Glaube das der Virus nur auf erster und zweiter Ebene Dateien manipuliert.
Die Seite komplett neu drauf zu spielen bringt glaube ich nicht wirklich was!
Falls es bei euch etwas neues gibt dann bitte postet das!
Grüße
Hab mir mal die Seite angeschaut, also an Formularfeldern kann es bald auch nicht liegen, da ist ja wirklich nix bei dir!Ich hatte bei mir den Verdacht weil ich auf meiner Hauptseite und auch bei den Subdomains welche eingebaut hatte!
Also ist dies wahrscheinlich auch nicht die Schwachstelle!
Sind irgendwelche Scripte eingebaut?
So langsam fällt bei mir auch immer mehr der Verdacht auf den Provider, ist bei mir aber nicht 1&1 sondern www.freeweb.de.
Bei mir hat der Virus bei dem CMS Wordpress bewirkt das sich ein Fenster öffnet indem angeblich ein Virus auf dem System gefunden wurde und man solle auf "www.advancedxpdefender.com" gehen und sich dort ein Tool runterladen.
Bei Joomla hingegen hat sich die ganze Seite nicht mehr geöffnet.
Das hat er bei mir bewirkt.
Du kannst auch mal probieren das Verzeichnis in ein paar Unterordner zu verschachteln und die Domain umzuleiten, bei mir hats geklappt. Glaube das der Virus nur auf erster und zweiter Ebene Dateien manipuliert.
Die Seite komplett neu drauf zu spielen bringt glaube ich nicht wirklich was!
Falls es bei euch etwas neues gibt dann bitte postet das!
Grüße
"www.seel-photodesign.de" war es heute auch noch drauf und in der tat, man sollte zu "www.advancedxpdefender.com"...
Jetzt ist es weg, vielleicht haben die es aber auch selber "beseitigt".
Werde wohl noch mal be 1&1 anrufen, vielleicht bewirkt ja auch dieser "Thread" etwas.
Jetzt ist es weg, vielleicht haben die es aber auch selber "beseitigt".
Werde wohl noch mal be 1&1 anrufen, vielleicht bewirkt ja auch dieser "Thread" etwas
.
Also gelb2000 bei Deiner Seite erscheint der gleiche Text von AntiVir (Profiversion) wie bei meiner eigenen und sie läßt sich somit gar nicht öffnen. Komplett blockiert!
Gehe davon aus das bei Deiner el3ment genau das Gleiche käme – wie ist die URL?
Bei mir hielt das frische draufspielen immer ein paar Stunden, dann der gleiche Müll von vorn! Also es bringt offensichtlich nichts und damit wiederum der Verdacht, daß sich das Problem bei unseren jeweiligen Providern befindet!
Nein, auf dieser Webseite keine besonderen Scripte, eben nur die ganz simplen Formulare, die aber wirklich nur mit der DB bei 1&1 Kontakt haben – also keine Datenbankanbindung zu mir oder sonstige Verbindung zu meinem System.
Auf dieser Seite nicht einmal Scripte die meine E-Mail Adressen gegen Spam Bots schützten (muß ich dringend machen, denn funktioniert bei den anderen echt prima)
Also wirklich die pure super minimalistische Webseite und damit kann man schlichtweg alles "Exotische" ausschließen!
Habe jetzt gehört das SQL Injections und Cross Site Scripting Lücken externen Bösewichten die Möglichkeit geben hier Ihren Code unterzubringen???
Nicht das ich weiß was das ist o-(, aber interessant wäre zu erfahren wie man diese potentiellen Schwachstellen im Code findet und wegbekommt?
Angeblich durchsuchen irgendwelche neuen Bots jetzt automatisch das Web nach Webseiten mit Formulardaten und Schwachstellen, in der Annahme das sich da interessante Daten klauen lassen und - ich rate jetzt als USER einfach mal - leiten die dann weiter??? Einfach ins Blaue getippt, weil meiner Fantasie nach möglichen Erklärungen hier ein Ende gesetzt wurde! Bei mir wären es nur eine DB (wie gesagt bei 1&1 !!! mit etwa 4000 Newsletter Empfängern (Wissenschaftler weltweit) aber bei Euch sind es vielleicht schon sensiblere Daten?!
Wenn man wenigstens wüßte wie schlimm das Teil ist, dann könnte man die betroffenen Webseiten zumindest mit einer Warnung schützen, denn die meisten meiner Besucher insbesondere in Entwicklungsländern haben zum Thema Virenschutz und Sicherheit Null Meinung und könnten natürlich dadurch evtl. Ihre PC Systeme oder Netwerke in Gefahr bringen. Das muß ja nicht sein!
Einen Test habe ich schon machen lassen und leider lassen sich die Seiten im Ausland problemlos öffnen - keine Warnungen. Also wenn sich das Teil so verbreitet, dann wäre es schlimm!
Hoffentlich weiß morgen jemand schon etwas mehr oder wir sollten mal AntiVir kontaktieren, um mehr zu erfahren und welche anderen Namen bereits im Umlauf sind?
Gehe davon aus das bei Deiner el3ment genau das Gleiche käme – wie ist die URL?
Bei mir hielt das frische draufspielen immer ein paar Stunden, dann der gleiche Müll von vorn! Also es bringt offensichtlich nichts und damit wiederum der Verdacht, daß sich das Problem bei unseren jeweiligen Providern befindet!
Nein, auf dieser Webseite keine besonderen Scripte, eben nur die ganz simplen Formulare, die aber wirklich nur mit der DB bei 1&1 Kontakt haben – also keine Datenbankanbindung zu mir oder sonstige Verbindung zu meinem System.
Auf dieser Seite nicht einmal Scripte die meine E-Mail Adressen gegen Spam Bots schützten (muß ich dringend machen, denn funktioniert bei den anderen echt prima)
Also wirklich die pure super minimalistische Webseite und damit kann man schlichtweg alles "Exotische" ausschließen!
Habe jetzt gehört das SQL Injections und Cross Site Scripting Lücken externen Bösewichten die Möglichkeit geben hier Ihren Code unterzubringen???
Nicht das ich weiß was das ist o-(, aber interessant wäre zu erfahren wie man diese potentiellen Schwachstellen im Code findet und wegbekommt?
Angeblich durchsuchen irgendwelche neuen Bots jetzt automatisch das Web nach Webseiten mit Formulardaten und Schwachstellen, in der Annahme das sich da interessante Daten klauen lassen und - ich rate jetzt als USER einfach mal - leiten die dann weiter??? Einfach ins Blaue getippt, weil meiner Fantasie nach möglichen Erklärungen hier ein Ende gesetzt wurde! Bei mir wären es nur eine DB (wie gesagt bei 1&1 !!! mit etwa 4000 Newsletter Empfängern (Wissenschaftler weltweit) aber bei Euch sind es vielleicht schon sensiblere Daten?!
Wenn man wenigstens wüßte wie schlimm das Teil ist, dann könnte man die betroffenen Webseiten zumindest mit einer Warnung schützen, denn die meisten meiner Besucher insbesondere in Entwicklungsländern haben zum Thema Virenschutz und Sicherheit Null Meinung und könnten natürlich dadurch evtl. Ihre PC Systeme oder Netwerke in Gefahr bringen. Das muß ja nicht sein!
Einen Test habe ich schon machen lassen und leider lassen sich die Seiten im Ausland problemlos öffnen - keine Warnungen. Also wenn sich das Teil so verbreitet, dann wäre es schlimm!
Hoffentlich weiß morgen jemand schon etwas mehr oder wir sollten mal AntiVir kontaktieren, um mehr zu erfahren und welche anderen Namen bereits im Umlauf sind?
Noch ein Opfer entdeckt - kleine Abwandlung zum Namen
Seht mal hier
http://www.comicforum.de/showthread.php?p=2711384
Seht mal hier
http://www.comicforum.de/showthread.php?p=2711384
Ich nutze meine Site komplett privat... Hauptdomain wo Wordpress läuft und sich das Fenster öffnete "www.ameliesophie0208.de", Subdomain wo Joomla 1.5.3 stable läuft und die komplette Site nicht mehr ging "joomlaneu.ameliesophie0208.de" und nochmal die Site unter Joomla 1.0.15 "el3ment.ameliesophie0208.de". Und noch eine ^^... "ma.ameliesophie0208.de"... diese war beim ersten Angriff schon in einem Verzeichnis dritter Ebene und so bemerkte ich das das Script nicht soweit vorgedrungen ist denn die ging noch.
Ist eben die Frage ob der "JS/Dldr.Iframe.BK" derselbe ist wie "JS/Dldr.Iframe.BM" oder ob es schon wieder eine neuere Version ist.
Aktueller Stand: noch kein neuer Befall seit dem 18.06.08 - 01.15 Uhr !
Und noch einer... http://www.greensmilies.com/2008/06/11/fusball-em-2008-teilnehmer/ --> Kommentar 33
Ist eben die Frage ob der "JS/Dldr.Iframe.BK" derselbe ist wie "JS/Dldr.Iframe.BM" oder ob es schon wieder eine neuere Version ist.
Aktueller Stand: noch kein neuer Befall seit dem 18.06.08 - 01.15 Uhr !
Und noch einer... http://www.greensmilies.com/2008/06/11/fusball-em-2008-teilnehmer/ --> Kommentar 33
neuer Stand: bei unseren Domains kein neuer "Befall" nachdem ich die Seiten tatsächlich um mindestens 3 Verzeichnisse "tiefer" verschoben habe und dann auf den Domains das neue Wurzelverzeichnis entsprechend auf diese neuen Verzeichnisse gelegt habe...
Ist das Skript echt so einfach gestrickt, das es nur 2 Verzeichnisse tief nach "index.html" sucht und die dann manipuliert?
Hat schon mal jemand versucht, ob auch das Umbenennen nach z.b. "default.html" funktionieren würde?
Ich habe noch nicht bei 1&1 angerufen, sind dort an der Hotline zu nervig und außerdem ist das auch noch eine 0900er, die Geld kostet
Ist das Skript echt so einfach gestrickt, das es nur 2 Verzeichnisse tief nach "index.html" sucht und die dann manipuliert?
Hat schon mal jemand versucht, ob auch das Umbenennen nach z.b. "default.html" funktionieren würde?
Ich habe noch nicht bei 1&1 angerufen, sind dort an der Hotline zu nervig und außerdem ist das auch noch eine 0900er, die Geld kostet
Wahrscheinlich ist es wirklich so einfach gestrickt, ich hoffe es zumindest!
Habe aber extra im Wurzelverzeichnis noch eine index Datei belassen um zu sehen ob und wann das Script wieder "zuschlägt" ;) !
Hab gleich mal ne default.html und default.php erstellt und in mein root verzeichnis geuppt, mal abwarten was passiert.
Würde ich auch nicht anrufen. Bietet 1&1 denn kein eMail Support?
freeweb bietet den und ich muss sagen der ist klasse,man bekommt innerhalb einer Stunde Hilfe.
Habe aber extra im Wurzelverzeichnis noch eine index Datei belassen um zu sehen ob und wann das Script wieder "zuschlägt" ;) !
Hab gleich mal ne default.html und default.php erstellt und in mein root verzeichnis geuppt, mal abwarten was passiert.
Würde ich auch nicht anrufen. Bietet 1&1 denn kein eMail Support?
freeweb bietet den und ich muss sagen der ist klasse,man bekommt innerhalb einer Stunde Hilfe.
naja, irgendwie suche die immer grundsätzlich die Schuld beim Kunden, aber nie bei sich...
Wir sind erst vor kurzem mit bestimmt 50 Kunden zu 1&1, da unser bisheriger Hoster das Geschäft eingestellt hat.
Und deshalb wollten wir jemanden, bei dem uns das nicht auch droht und 1&1 hat ja eine gewisse Größe, da besteht die Gefahr wohl nicht so schnell, dass die den Geschäftszweig einstellen oder
?
Ich werde auch mal eine "Opferdatei" ins alte "Root" stellen, aber wie sollten die da rankommen?
Wir sind erst vor kurzem mit bestimmt 50 Kunden zu 1&1, da unser bisheriger Hoster das Geschäft eingestellt hat.
Und deshalb wollten wir jemanden, bei dem uns das nicht auch droht und 1&1 hat ja eine gewisse Größe, da besteht die Gefahr wohl nicht so schnell, dass die den Geschäftszweig einstellen oder
?Ich werde auch mal eine "Opferdatei" ins alte "Root" stellen, aber wie sollten die da rankommen?
Im Grunde ist 1&1 als Provider nicht schlecht, aber wenn es um ein tatsächliches Problem geht dann reflektiert auch dieser Verein die "Servicewüste Germany". Jeder der schon mal versucht hat ein Mobilfunkvertrag zu kündigen, kennt dieses Fiasko und es lohnt nicht sich darüber aufzuregen. Die Hotline von denen kostet ja nur 14c/m und das ist doch nun wirklich harmlos im Vergleich zu anderen, außerdem sind die dafür 24/7 erreichbar.
Leider gibt es nichst Neues zu berichten, denn alles was ich ausprobiert habe hat nichts gebracht und wie ich sehe scheint es bei Euch ja auch noch nicht weg zu sein. Ich lade einfach immer wieder neu, aber das ist ja auch keine Lösung!
Leider gibt es nichst Neues zu berichten, denn alles was ich ausprobiert habe hat nichts gebracht und wie ich sehe scheint es bei Euch ja auch noch nicht weg zu sein. Ich lade einfach immer wieder neu, aber das ist ja auch keine Lösung!
Also bei mir ist alels im grünen Bereich, wie gesagt der letzte "Befall" war am 18.06....!
Wann war es denn bei dir das letzte mal?
Ist es denn täglich und imemr zur selben Zeit?
Du kannst auch mal schauen ob die register_globals und url_fopen aktiviert ist auf deinem server!den hinweis hat mir mein hoster gegeben, wenn es aktiviert ist könnte das eien Sicherheitslücke sein!
Habe es glaub ich am 18.06. deaktiviert, könnte eventuell damit zusammenhängen!
Also hat das verschieben in Unterverzeichnisse nix gebracht!?
Wann war es denn bei dir das letzte mal?
Ist es denn täglich und imemr zur selben Zeit?
Du kannst auch mal schauen ob die register_globals und url_fopen aktiviert ist auf deinem server!den hinweis hat mir mein hoster gegeben, wenn es aktiviert ist könnte das eien Sicherheitslücke sein!
Habe es glaub ich am 18.06. deaktiviert, könnte eventuell damit zusammenhängen!
Also hat das verschieben in Unterverzeichnisse nix gebracht!?
Doch, auf den von uns betreuten Seiten ist es jetzt (nach dem Verschieben um mindestens 3 Verzeichnisse) weg, die eine seite "www.seel-photodesign.de" wird nicht von uns betreut und da ist es immer noch...
Ich habe eine Opferdatei "index. html" ins ursprüngliche Root gelegt, die ist auch noch ohne Befall...
Wahrscheinlich kann sich das Script da nicht "hinhangeln"?
Also werde ich in Zukunft das Root-Verzeichnis immer mindestens 3 Verzeichnisse tiefer anlegen und alles dahin legen...
Danke für die Hilfe!
Joern
Ich habe eine Opferdatei "index. html" ins ursprüngliche Root gelegt, die ist auch noch ohne Befall...
Wahrscheinlich kann sich das Script da nicht "hinhangeln"?
Also werde ich in Zukunft das Root-Verzeichnis immer mindestens 3 Verzeichnisse tiefer anlegen und alles dahin legen...
Danke für die Hilfe!
Joern
Ha!!
Unsere Opferdatei im ehemaligen Root-Verzeichnis ist seit 15.50 befallen, alle anderen Dateien die entsprechend tiefer liegen, sind in Ordnung!
Ich werde jetzt noch das FTP-Passwort ändern und dann mal sehen, was morgen oder übermorgen passiert...
Unsere Opferdatei im ehemaligen Root-Verzeichnis ist seit 15.50 befallen, alle anderen Dateien die entsprechend tiefer liegen, sind in Ordnung!
Ich werde jetzt noch das FTP-Passwort ändern und dann mal sehen, was morgen oder übermorgen passiert...
Komisch das es bei euch weitergeht!Bei ist bisher nix mehr passiert!
Und da ihr beide bei 1&1 seit denke ich bald das die Sicherheitslücke doch beim Hoster liegt und meiner das einfach schon behoben hat.
Das FTP Passwort hatte ich bei mir ja auch schon geändert und danach war es trotzdem nochmal!
Verbindest du dich per FTPES o.Ä. oder normal also ohne Verschlüsselung?
Und da ihr beide bei 1&1 seit denke ich bald das die Sicherheitslücke doch beim Hoster liegt und meiner das einfach schon behoben hat.
Das FTP Passwort hatte ich bei mir ja auch schon geändert und danach war es trotzdem nochmal!
Verbindest du dich per FTPES o.Ä. oder normal also ohne Verschlüsselung?
leider ohne S-FTP, ist bei dem Paket nicht drin...
das ist ungünstig.da wird das passwort ändern auch nicht viel bringen, da es ja bei jeder anmeldung im klartext durchs netz geschickt wird...!
...schon klar, aber ich probiere es morgen trotzdem mal aus, will jetzt nach hause
Also bei mir hat der Trick mit den Unterverzeichnissen funktioniert (zumindestens jetzt 24 Std.), aber leider sind jetzt auch schon andere Domains die in einem anderen Paket von 1&1 gehostet werden befallen. (Nerv!)
Aber es scheint nicht an 1&1 zu liegen, denn ich habe gestern noch zwei internationale Sites zweier wissenschaftlicher Organisationen gefunden, die auch befallen sind. (und offensichtlich nichts mit 1&1 zu tun haben)
Das Teil verbreitet sich irgendwie global!
Hier übrigens artverwandte Diskussion
im Avira Support Forum:
http://forum.avira.com/wbb/index.php?page=Thread&threadID=70257
Ist es jetzt bei Euch Beiden weg? Das mit den Unterverzeichnissen ist ja keine Endlösung und die Ursache sollte schon ermittelt werden, denn der Nächste könnte noch destruktiver sein.
Halte Euch auf dem Laufenden sobald ich mehr weiß!
(zumindestens jetzt 24 Std.), aber leider sind jetzt auch schon andere Domains die in einem anderen Paket von 1&1 gehostet werden befallen. (Nerv!)Aber es scheint nicht an 1&1 zu liegen, denn ich habe gestern noch zwei internationale Sites zweier wissenschaftlicher Organisationen gefunden, die auch befallen sind. (und offensichtlich nichts mit 1&1 zu tun haben)
Das Teil verbreitet sich irgendwie global!
Hier übrigens artverwandte Diskussion
im Avira Support Forum:
http://forum.avira.com/wbb/index.php?page=Thread&threadID=70257
Ist es jetzt bei Euch Beiden weg? Das mit den Unterverzeichnissen ist ja keine Endlösung und die Ursache sollte schon ermittelt werden, denn der Nächste könnte noch destruktiver sein.
Halte Euch auf dem Laufenden sobald ich mehr weiß!
Wie gesagt, seit 8 Tagen also seit dem 18.06. ist Ruhe.
Kann allerdings auch nicht wirklich sagen woran es liegt weil ich mehrere Sachen aufeinmal gemacht habe.
1.) register_globals und url_fopen deaktiviert
2.) ein Kontaktformular rausgenommen aus meiner Seite
3.) FTP Passwort geändert
4.) Verbinde mich ausschließlich per FTPES
5.) Hoster informiert (vielleicht ist bzw. war es ja doch eine Lücke bei ihm)
(und natürlich alles in die "3. Ebene" kopiert, aber eine Opfer Datei gibt es noch im root)
So, dass alles habe ich verändert und seitdem keine Probleme bzw kein Befall mehr!
Kann allerdings auch nicht wirklich sagen woran es liegt weil ich mehrere Sachen aufeinmal gemacht habe.
1.) register_globals und url_fopen deaktiviert
2.) ein Kontaktformular rausgenommen aus meiner Seite
3.) FTP Passwort geändert
4.) Verbinde mich ausschließlich per FTPES
5.) Hoster informiert (vielleicht ist bzw. war es ja doch eine Lücke bei ihm)
(und natürlich alles in die "3. Ebene" kopiert, aber eine Opfer Datei gibt es noch im root)
So, dass alles habe ich verändert und seitdem keine Probleme bzw kein Befall mehr!
Ah, ich wünschte ich wäre so systematisch vorgegangen, um das jetzt hier alles aufzulisten (war doch etwas in Panik)
Zusätzlich zu Deiner Liste habe ich noch sämtliche Verzeichnisse in dem ersten befallenen Domain Paket komplett gelöscht und dann neue mit denen von Dir vorgeschlagenen Unterverzeichnissen angelegt.
so/ein/mist/jsvirus
Das hier ist evtl. spannend:
Die eine befallene Seite arbeitet wohl mit Microsoft .NET Framework und hier der passende Text über den "potentially dangerous request"im Formular.
http://www.biosaline.org/Default.aspx?Modls=JoinUs<script%20src=http ...;
Also "irgendwie" doch durch unsere Formulare???
Was meint Ihr?
(war doch etwas in Panik)Zusätzlich zu Deiner Liste habe ich noch sämtliche Verzeichnisse in dem ersten befallenen Domain Paket komplett gelöscht und dann neue mit denen von Dir vorgeschlagenen Unterverzeichnissen angelegt.
so/ein/mist/jsvirus
Das hier ist evtl. spannend:
Die eine befallene Seite arbeitet wohl mit Microsoft .NET Framework und hier der passende Text über den "potentially dangerous request"im Formular.
http://www.biosaline.org/Default.aspx?Modls=JoinUs<script%20src=http ...;
Also "irgendwie" doch durch unsere Formulare???
Was meint Ihr?
Ich war auch in Panik, hab das oben geschriebene auch nicht in der Reihenfolge gemacht, mir ist das nur so eingefallen was ich alles gemacht hab.
Wünschte auch, dass ich alles mal genauer protokolliert hätte, weiss nämlich auch nicht genau wann ich das Formular rausgenommen hab.
Ist also gut möglich das es daran liegt / lag !
Wünschte auch, dass ich alles mal genauer protokolliert hätte, weiss nämlich auch nicht genau wann ich das Formular rausgenommen hab.
Ist also gut möglich das es daran liegt / lag !
hi, wir sind den virus losgeworden indem wir die file attribute der index.html auf nicht lesend/schreibend etc gesetzt haben. davor haben wir alles versucht aber dann meinte ein schlauer freund wir sollten das doch mal versuchen und hat prompt geklappt, schon seit 2 wochen.
so einfach kann die lösung sein!
so einfach kann die lösung sein!
komisch, ich hatte dasselbe mal getan aber dann kommt ja keiner mehr auf die website, da keiner die Berechtigung hat diese zu lesen.
oder habe ich da jetzt einen denkfehler?
oder habe ich da jetzt einen denkfehler?
also bei mir hat's geklappt... kannst ja einfach mal ausprobieren.
viel glück
viel glück
Also kommt drauf an wie die Attribute gesetzt werden, ich hatte komplett alle Häckchen rausgemacht, so dass keiner die Berechtigung hat die index.html zu lesen, dann kam aber bei Aufruf meiner Seite die Meldung "Sie besitzen keine Berechtigungen.... bla bla".
Also würde mich wundern wenn es wirklich das sein sollte.
Ich glaube eher das es ein Problem der Hoster war, denn ich habe nach und nach alle Formulare wieder online genommen und auch meien Seite wieder ins Wurzelverzeichnis gelegt, sprich den Urzustand wiederhergestellt und es läuft jetzt ohne Probleme.
Könnte mir vorstellen das vielleicht dein Hoster das Problem auch erst vor kurzem behoben hat und du dann dadurch dachtest es lag an den Attributen.
Bei welchem Hoster ist es bei dir aufgetreten?
Also würde mich wundern wenn es wirklich das sein sollte.
Ich glaube eher das es ein Problem der Hoster war, denn ich habe nach und nach alle Formulare wieder online genommen und auch meien Seite wieder ins Wurzelverzeichnis gelegt, sprich den Urzustand wiederhergestellt und es läuft jetzt ohne Probleme.
Könnte mir vorstellen das vielleicht dein Hoster das Problem auch erst vor kurzem behoben hat und du dann dadurch dachtest es lag an den Attributen.
Bei welchem Hoster ist es bei dir aufgetreten?
