Malware Legt Homepage Lahm :(

#0
20.07.2012, 17:10
Member

Themenstarter

Beiträge: 14
#16 also ich muss erstmal alles löschen. immer wieder kommen komische jquery-dateien hinzu...und immer diese ajaxam... ;) hier nochmal ein screen:


__________
R to the E to the double G A E
Seitenanfang Seitenende
20.07.2012, 17:30
Member
Avatar Xeper

Beiträge: 5285
#17 Ich kann es mir nur so vorstellen das noch irgendwo code innerhalb deines code's eingebaut ist, jedesmal wenn wer auf die Seite geht wird er mit ausgeführt.
__________
Email/XMPP: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
20.07.2012, 19:04
Member

Themenstarter

Beiträge: 14
#18 ich habe jetzt erstmal neue Zugangsdaten für meinen FTP beantragt. anschließend lösche ich die gesamten Datenbanken + Serverinhalte & erneuere deren Passwörter. Dann wird alles nochmal gescannt. Habe mich schon mit der Besitzerin des CMS in Kontakt gesetzt. Sie wird mir im Laufe des Wochenendes alle unbeschädigten Dateien nocheinmal senden und dann werde ich nocheinmal ganz von vorn an die Sache heran gehen müssen. Ich hoffe dann funktioniert es auch endlich ;)
__________
R to the E to the double G A E
Seitenanfang Seitenende
20.07.2012, 20:42
Member

Beiträge: 18
#19 Hallo SunnyBeatz,

bin nun auch wieder zu Hause.
Ich hab mir das mal angeschaut.

Wie Xeper vermutet, wird da wohl irgendwas im Quellcode verankert sein, dass die Dateien ständig nachläd. Sowas lässt sich gut mit skipfish rausfinden. Wie dem auch sei, das würde wirklich zu sehr ins Detail gehen.

Die einfachste und auch beste Lösung ist zunächst das Projekt neu aufzusetzen. Gleichzeitig solltet ihr aber auch mal den Server an sich prüfen. Es gibt mehrere Möglichkeiten, dass deine Seite kompromittiert wurde.

Am wahrscheinlichsten:
- Das CMS oder eine von dir programmierte Funktion hatte eine Sicherheitslücke, die der Angreifer ausgenutzt hat.
- Der Server (Linux?) wurde nicht immer gewartet. Das heißt Sicherheitsupdates von php, Apache oder Andere wurden nicht rechtzeitig eingespielt.
- Dein Rechner ist selbst verseucht und jemand hat die Zugangsdaten vom Server.

Was ich tun würde:
- Passwörter neu setzen
- Projekt löschen
- Mal den Server prüfen ob der alle Updates hat oder selbst kompromittiert wurde
- In Zukunft immer zeitnah für Updates sorgen (egal beim CMS oder Server)

Die Möglichkeiten sind wirklich zahlreich. Es lässt sich jetzt vermutlich nicht rekonstruieren, wie es passiert ist.
Seitenanfang Seitenende
20.07.2012, 20:58
Member

Themenstarter

Beiträge: 14
#20 Halli Hallo.
Alsoooo:

Das mit dem Server hab ich nich ganz verstanden...wie meinst du das mit Linux?
Ich bin wirklich einfach zu uninformiert. ;)
Der Server liegt bei http://www.xenonserver.de/. Die Firma gehört dem Freund meines Freundes. Eig. macht er alles was das angeht und ich daddel nur an meiner Seite herum. Da er aber wie gesagt erst am Mo. wieder daheim ist, muss ich jetzt halt gucken wie ich euch die infos liefern kann die ihr benötigt ;)
Ich habe da jetzt wie gesagt veranlassen lassen und neue Zugangsdaten dür den FTP zu senden. Bis auf ein "Übergangsdesign" liegt nichts mehr auf der Domain. Die Datenbank lösche ich dann gleich noch.
Sobald die Zugangsdaten da sind werde ich den dann die Domain zurücksetzten lassen, so bekam ich angeboten vom Freund meines Freundes. Er sagte man könne die Domain iwie "neustarten"...keine Ahnung ;)
Jedenfalls wäre dann wieder alles Clean was das angeht. Ich bastel mir die Seite jetzt dann einfach schweren Herzens ohne CMS zurecht und dann sollte nichts mehr passieren dürfen. Oder ich finde (wenn es wunder gibt) noch das richtige CMS und dann sehen wir mal weiter.

=/ Liebe Grüße.
__________
R to the E to the double G A E
Seitenanfang Seitenende
20.07.2012, 21:11
Member

Beiträge: 18
#21 Ganz einfach: Server werden oft mit Linux gehostet. In deinem Fall wird deine Domain inklusive Seite von xenonserver.de gehostet. Und ich vermute jetzt einfach mal, dass die alle Updates einspielen. Oder jedenfalls gehe ich bei einem professionellen Provider davon aus.

Es ist also davon auszugehen, dass dein verwendetes CMS nicht immer gepatcht wurde oder du selbst was im Quellcode verhuddelt hast. ;)
Der Angreifer hat sich so dann wohl Zugang verschafft.

Eigentlich kannst du nicht viel tun. Warte bis die Domain "resettet" wurde und dann spiel alles neu auf. Aber pass beim programmieren auf bzw. nutze CMS die regelmäßig geupdatet werden. Und wenn die Updates rauskommen, dann musst du sie auch aufspielen. Eigentlich nicht viel anders als bei den bekannten Windows Updates. Wenn da ein Update zur Verfügung steht, macht dich dein Rechner im Normalfall darauf aufmerksam und installiert es. Bei CMS ist das etwas anders. Entweder du informierst dich selbst über Updates oder der Betreiber stellt eine E-Mail Benachrichtigung zur Verfügung, falls ein Update zur Verfügung steht.
Seitenanfang Seitenende
20.07.2012, 21:27
Member
Avatar Xeper

Beiträge: 5285
#22

Zitat

Ich bastel mir die Seite jetzt dann einfach schweren Herzens ohne CMS zurecht und dann sollte nichts mehr passieren dürfen.
Das kommt drauf an was du dir da zusammen bastelst. ;)
Ich denke als Webprogrammierer(in) sollte man die landläufigen Gefahren von XSS & co kennen.

Edit:
Ich wollte noch anmerken das basteln innerhalb der Programmierung wirklich ganz schlecht ist... ^^
(Sowas sollte man sonst mal lieber machen lassen, besonders dann wenn es sich um einen ernst zu nehmenden Internetauftritt bzw. Angebot handelt)
__________
Email/XMPP: therion at ninth-art dot de
IRC: megatherion @ Freenode
Dieser Beitrag wurde am 20.07.2012 um 21:52 Uhr von Xeper editiert.
Seitenanfang Seitenende
21.07.2012, 10:33
Member

Themenstarter

Beiträge: 14
#23 @Xeper: ja, ich weiss das BASTELN nicht optimal ist aber wie gesagt, ich versuche mich stetig zu verbessern und das Coding zu optimieren. Das kann ich aber nur durch lernen. Ich bastel erstmal alles so das es klappt und optimieren dann den Code.
Es handelt sich bei SunnyBeatz.de um eine KLEINE PRIVATE Webseite in der ich mich einfach austoben kann...es ist lediglich ein Hobby. Also dürfen mir auch ruhig mal solche Patzer passieren denke ich...immerhin muss ICH sie ja dann auch wieder gerade biegen. Trotzdem vielen Dank. ;)
__________
R to the E to the double G A E
Seitenanfang Seitenende
21.07.2012, 11:13
Member
Avatar Xeper

Beiträge: 5285
#24 Ja schon möglich, habe das jetzt auch nicht explizit für dich erwähnt sondern generell.
Es passiert ja andauernd das bei Firma XY irgendwelche Datensätze verschwinden, hat was mit diesem Thema zu tuen.

Dir würde ich raten, wenn du wirklich an Weiterbildung interessiert bist dann kaufe dir mal paar Bücher
insbesondere eins bezüglich objektorientierte Programmierung.
__________
Email/XMPP: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: