Ist mein Webspace befallen? Bitte um Rat

#1 Hallo zusammen, ich hoffe mir kann jemand weiterhelfen. Ich habe mir vor kurzem einen Trojaner eingefangen als ich gerade bei meinem Webspace hoch- und runtergeladen habe. Die Passwörter habe ich nach dem Vorfall und einem Neuaufsetzen meines PCs alle geändert. Nun habe ich aber etwas Angst, dass derjenige, der mir den Trojaner eingeschleust hat auch was auf meinem Webspace abgelegt hat. Daher hätte ich ein paar Fragen dazu:

1. Ist es möglich Trojaner auf Webspace hochzuladen und dort zu aktivieren. Wenn ja, was kann das anrichten?

2. Wenn sich dort nun tatsächlich etwas befinden sollte (im Moment traue ich mich nicht mit meinem Webspace zu connecten, weil ich Angst habe, mir wieder was einzufangen), reicht es die betroffenen Dateien einfach zu löschen? Wenn der komplette Webspace leer ist, kann doch nichts mehr passieren, oder besteht die Möglichkeit, dass noch etwas "unsichtbar" im Hintergrund läuft?

3. Gibt es irgendeine Möglichkeit den Webspace mit einem Virenscanner zu scannen?

4. Von Anfang an befanden sich auf meinem Webspace zwei cgi-Dateien. Müssen die dort sein oder kann ich sie bedenkenlos löschen?

Ich weiß, dass sind viele Fragen, aber ich bin im Moment wirklich beunruhigt und überlege mir gerade meinen kompletten Webspace wegen des Vorfalls zu kündigen. Ich hoffe mir kann hier jemand weiterhelfen. Vielen, vielen Dank!

#2 Hallo@lomer

ich schau mir mal an, was du so auf dem PC an viren hast .
Zuerst:

HijackThis
http://virus-protect.org/hjtkurz.html
Lade/entpacke HijackThis in einem Ordner
-->None of the above,
just start the program --> Save--> Savelog -->es öffnet sich der
Editor -->
oder:
Do a system scan and save a logfile --> Save--> Savelog -->es öffnet sich der
Editor -->
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins
Forum mit rechtem Mausklick "einfügen"

dann poste mir bitte einen Link zu deiner Seite
__________
MfG Sabina

rund um die PC-Sicherheit

#3

Zitat

1. Ist es möglich Trojaner auf Webspace hochzuladen und dort zu aktivieren. Wenn ja, was kann das anrichten?

Ja, es ist möglich, Trojaner und anderes Viehzeugs auf den Webspace hochzuladen. Aktiviert werden kann das Ding dort aber nur, wenn es dort
1. eine passende Umgebung findet (Windows-Server, aber die meisten Webspace-Provider haben UNIX-Systeme mit Apache)
2. ausgeführt wird. Das würde wiederum einen Shell-Zugriff auf den Webspace voraussetzen.

Weiterhin würden alle Vorgänge in einer Sandbox ablaufen, so dass da wiederum nichts passieren kann.

Falls es tatsächlich dazu kommt, dass der Server infiziert wird, dann bedeutet das, dass Du unbedingt den Anbieter wechseln solltest, denn der ist spätestens dann nicht mehr vertrauenswürdig, weil er sich einfach so mit nem Virus/Trojaner infizieren lässt.

Zitat

2. Wenn sich dort nun tatsächlich etwas befinden sollte (im Moment traue ich mich nicht mit meinem Webspace zu connecten, weil ich Angst habe, mir wieder was einzufangen), reicht es die betroffenen Dateien einfach zu löschen? Wenn der komplette Webspace leer ist, kann doch nichts mehr passieren, oder besteht die Möglichkeit, dass noch etwas "unsichtbar" im Hintergrund läuft?

Wenn sich dort tatsächlich was befinden sollte, was wirklich sehr unwahrscheinlich ist, reicht es aus, die betroffenen Dateien zu löschen. Es ist nicht notwendig, auch alle HTML-Dateien und ähnliche zu löschen. Ich denke, dass der Trojaner auch kaum die jpg-Dateien infiziert haben wird.
Der Webspace-Server kann nicht auf Deinen PC zugreifen, also musst Du keine Angst haben, dorthin zu verbinden.

Zitat

3. Gibt es irgendeine Möglichkeit den Webspace mit einem Virenscanner zu scannen?

Die Webspace-Provider scannen regelmäßig nach Viren. Sollte das nicht der Fall sein, wäre es, wenn es sich um einen Windows-Server handelt, ratsam, den Anbieter zu wechseln.

Zitat

4. Von Anfang an befanden sich auf meinem Webspace zwei cgi-Dateien. Müssen die dort sein oder kann ich sie bedenkenlos löschen?

Das ist eine gute Frage. Das kommt immer auf den Webspace-Provider an. Ich schätze, da ich was mit zwei CGI-Dateien nur von netbeat kenne, dass Du dort bist. Diese CGI-Dateien wirst Du nicht löschen können und gehören da hin.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#4 @ Sabina

Hi Sabina, danke für das Angebot, ist aber alles ok. Auf meinem Rechner befindet sich nichts. Habe ja alles sofort neu aufgesetzt, SP installiert, Schutzprogramme draufgepackt und nochmal alles überprüft. Danach alle Passwörter geändert. Die Frage war halt, ob sich in der Zeit, wo ich den Trojaner draufhatte etwas auf meinem Webspace hätte festsetzen könne, weil ich gerade auf rauf- und runterladen war.

@ Managor

Hi Managor, danke für die Infos. Soweit ich weiß, arbeitet mein Anbieter mit einem Unix-System. Gibt es dafür keine Trojaner? Und was genau sind ein "Shell-Zugriff" und eine "Sandbox"?

Viele Grüße, lomer

#5 Auch Linux/UNIX hat Schwachstellen. Die sind aber spärlich gesäht und vermutlich kommt im Jahr ein Virus für Linux raus, während für Windows mehrere tausend Viren produziert werden.

Shell-Zugriff = Kommandozeile (bei Windows ist es auch unter MS-DOS-Eingabeaufforderung bekannt). Das geht dann über SSH oder Telnet. Aber sowas hat kaum jemand, wenn er sich nicht damit auskennt

Eine Sandbox ist ein in sich abgesperrter bereich, wo quasi alles gemacht werden kann, ohne dass der restliche PC davon betroffen ist. Wenn ich eine Sandbox auf meinem PC habe, kann ich dort Viren ausführen, welche sich dann aber nicht auf mein eigentliches System übertragen können.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#6 Hi Managor, nochmal danke für die Infos. Also habe mich jetzt endgültig vergewissert: Mein Anbieter arbeitet tatsächlich mit einem UNIX-System mit Apache.

Meinst du den Shell-Zugriff für UNIX?

Das mit der Sandbox hört sich interessant an. Würde da nicht auch die Möglichkeit bestehen, dass ich mir auf meinem PC eine solche Sandbox einrichte und nur damit online gehe, so dass, wenn ich mir irgendwann nochmal was einfangen sollte, dieser Virus dann nicht außerhalb dieser Box gelangen kann? Somit bräuchte ich mir ja dann keine Sorgen mehr machen, dass der Virus meinen restlichen Rechner befällt und ich kann ihn sofort problemlos löschen.

Gruß, lomer

#7

Zitat

Meinst du den Shell-Zugriff für UNIX?

Ja, den meine ich. Sowas bekommt man aber eigentlich immer erst, wenn man eine Serverlösung mietet, die dann aber auch 100 € im Monat kostet

Zur Sandbox: http://de.wikipedia.org/wiki/Sandbox
So einfach, wie Du Dir das vorstellst, ist es nicht. Allerdings könntest Du Dir bei Windows 2000/XP ein Benutzerkonto mit eingeschränkten Rechten erstellen und nur darüber ins Internet gehen. Das erschwert sämtlicher Schadsoftware, auf Deinen Rechner zu gelangen.

Nachtrag: Ein virtueller PC ist auch quasi eine Sandbox. Du hast nur ein ganzes Betriebssystem zur Verfügung. Allerdings muss auch hier beachtet werden, dass sich ein Virus von dort aus auch auf Deinen Rechner verbreiten könnte, weshalb hier sehr vorsichtig gearbeitet werden muss. Außerdem kostet ein virtueller PC auch ein bisschen was (ca. 150 €) und beansprucht viele Systemressourcen, also muss man da schon ein recht gutes System besitzen.
__________
Dies ist eine Signatur! Persönlicher Service: Du kommst aus Berlin? Dann melde Dich per PN bei mir, evtl. können wir einen Termin vereinbaren.
Der Grabsteinschubser

#8 Hi Managor, einen ganzen Server gemietet habe ich nicht. Nur normalen Webspace halt. Von daher kann ich das mit dem Shell-Zugriff wohl ausschließen.

Ok, das mit der Sandbox scheint nicht ganz so einfach zu sein. Ein beschränktes Benutzerkonto benutze aber ich mittlerweile.

Nochmal danke für die Infos!

Viele Grüße,

lomer