PHP rocks! wünscht allen Mitgliedern einen guten Rutsch ins neue Jahr 2017 !!!
Hinweis: Das Forum zieht um! Um keine Datenverluste zu haben, schalten wir zwecks Übernahme der Daten das Forum am Sonntag, den 24.04.2016 um ca. 21:00 Uhr offline und passen anschliessend die DNS-Einträge an.
www.php-rocks.de wird euch dann nach den Aktualisierungen der DNS-Server wieder wie gewohnt uneingeschränkt zur Verfügung stehen.
Danke für euer Verständnis!

Themabewertung:
  • 0 Bewertung(en) - 0 im Durchschnitt
  • 1
  • 2
  • 3
  • 4
  • 5
Gehackter Webspace
#1
Hallo Arne,

ich möchte Deine Aufforderung gerne annehmen und hier bin ich.

Mein Text im Forum für Webmaster war folgender:

Zum besseren Verständnis muss ich jetzt doch etwas mehr ausführen.

Ich habe die Webseite zur Betreuung Ende Oktober 2016 übernommen, nachdem, wie erwähnt, der Hoster sie gesperrt hatte. Zu dieser Zeit lief auf dem Webserver eine Joomla-Website. Die Software war jahrelang nicht upgedated worden! In den Dateien waren u.a. etwa 500 Troyaner!!

Ich habe eine neue Webseite selbst in HTML und CSS gebaut und mit deiner Hilfe, Arne, auch das Webcam-Problem gelöst. Diese Website ist aktuell auf dem Webserver installiert. Sie beinhaltet neben dem von mir erstellten HTML- und CSS-Code zwei Formulare von http://www.gratis-kontaktformular.de und ein Suchformular von Google und die folgenden Scripte
<script src="http://code.jquery.com/jquery-1.10.2.min.js"></script>
<script type="text/javascript">
$(document).ready(function() {
$('.menubutton').click(function() {
$('nav').slideToggle('slow');
});
});
</script>

Der neuerliche Angriff ist für mich überraschend, weil jetzt PHP-Dateien mit Datum 16.10.2016 zum Vorschein kommen, obwohl ich Ende Oktober 2016 alles aufgeräumt habe.

Ich benutze für die Übertragung der Dateien auf den Webserver die Software PSFtp.

Zitat von Arne: Generell solltest Du - wie bereits getan - alle FTP-Passwörter neu setzen ( "sichere" Passwörter! ) und je nachdem, welche Serversoftware Du einsetzt etwas wie die Postausganskontrolle ( Plesk ) einsetzen. Damit kannst Du auf Domain und Postfach Ebene eingrenzen, wie viele Mails stdl. versendet werden dürfen. Wird die Grenze überschritten, bekommst Du eine Meldung und kannst weitere ausgehende Mails für den Verursacher ( Domain oder Postfach ) autom. sperren.

Kannst du das Thema Postausgangskontrolle etwas näher beschreiben?

Zitat von Arne: Dazu könnte ich Dir ein kleines Script zur Verfügung stellen, mit dem Du alle vhosts ( sollte es mehrere geben ) auf dem Server scannen kannst und erhältst eine Liste mit allen Verzeichnissen und Dateien, die aktuell vorhanden sind. Ich habe das für mich erweitert, so dass ich alle zwei Stunden eine Meldung bekommen würde, wenn Dateien dazu gekommen sind. Bestimmte Dateiendungen kann ich dabei ausschliessen, um nicht permanent mich nur um Warnungen kümmern zu müssen.

Das würde ich gerne einsetzen.
Antworten
#2
Hallo Erich,

Entschuldige, ich war mit der Familie unterwegs und komme jetzt erst wieder an die Tasten.
Wegen dem Script melde ich mich morgen mal bei Dir per Mail, da noch ein oder zwei Anpassungen gemacht werden müssen für Deinen Webspace.

Schöne Grüße
Arne
Antworten
#3
Wenn Du plötzlich fremde Dateien auf deinem Webserver hast, solltest Du auch dringend deinen Rechner checken.
Ich hatte auch mal so einen Fall nachdem ich einen neuen Rechner gekauft habe.

Ich hab damals zuerst alle üblichen Tools bei mir installiert (unter anderem mein FTP Programm) und dann erst einen Virenscan gemacht.

Da war es schon zu spät, hatte plötzlich lauter JavaScript Dateien mit unlesbarem Quellcode auf meinem Webserver und in der index.php meiner Website war auch ein unlesbares JavaScript.
Keine Ahnung was die Dateien gemacht haben, die Firewall in unserer Firma hat auf jeden Fall Alarm gemacht als ich meine Website aufgerufen habe.

Nachdem ich den Rechner gescannt habe wurde dort (laut Internetbeschreibung) tatsächlich ein Keylogger drauf gefunden.
Antworten


Gehe zu: