Malware Legt Homepage Lahm :( |
||
---|---|---|
#0
| ||
20.07.2012, 13:32
Member
Beiträge: 14 |
||
|
||
20.07.2012, 13:53
Member
Beiträge: 18 |
#2
Hallo SunnyBeatz,
das hört sich aber gar nicht gut an. Ist der Server unter deiner Kontrolle oder steht er bei einem Provider? Des Weiteren ist es wirklich schwer alles wieder restlos zu entfernen, wenn der Server bzw. der Quellcode einmal kompromittiert wurde. Da rate ich fast zu einer Neuinstallation des Servers und dann ziehst du deine Seiter wieder frisch drauf (sofern der Quellcode auch nicht schon verändert wurde). Was mich aber interessiert. Mit was testest du deine Seite? Du schreibst, dass du es online prüfen lässt?! Ich hab noch ein paar Tips für dich, warte aber zunächst mal deine Antwort ab. |
|
|
||
20.07.2012, 14:02
Member
Themenstarter Beiträge: 14 |
#3
Hey M.Kuketz. Danke für deine Blitzantwort
Also das ganze Prozedere mit den Hackings bzw. den Malware-Warnungen von Google fing an nachdem ich meine HP mit einem von einem Bekannten gecodeten CMS verwaltete. Das ist mittlerweile wieder gelöscht und ich nutze jetzt ein anderes. Das aktuelle CMS wird nicht nur von mir verwendet und ist bei allen anderen Nutzern auch sicher. Ich habe dann alle zugehörigen Dateien bekommen und angepasst etc. Trotzdem kommt es jetzt schon wieder zu diesen Malware-Warnungen. Ich kann nicht genau sagen ob auch schon mein Quellcode infiziert ist...leider kenne ich mich einfach zu wenig aus Ja, der Server wird von mir bzw. einem Freund verwaltet. Ich habe den Server ja auch direkt gekillt und ihn wieder erneuert und alles wieder draufgeschoben... Aber wie gesagt...ich denke das irgendwas in der .HTACCESS-Datei steckt was da nicht hingehört... Ich hab einfach mal WEBSEITE ONLINE SCANNEN bei google eingegeben und da erschienen mir einige Seiten auf denen ein onlinescann nach Malware etc. möglich ist...diese waren aber alle OHNE ERGEBNIS...ALLES CLEAN angeblich... Die Domain ist: http://www.sunnybeatz.de Der Ordner scheint frei zu sein. Der Unterordner mit der Warnung ist hier: http://www.sunnybeatz.de/test/index.php ... __________ R to the E to the double G A E |
|
|
||
20.07.2012, 14:23
Member
Beiträge: 18 |
#4
Mhhh ohne den Quellcode jetzt zu kennen, ist das schwer zu beurteilen.
Aber ganz klar, deine Unterseite wird geblockt. Da hat sich irgendetwas eingenistet. Ich weiss nicht welche Online-Scanner du jetzt verwendet hast, aber professionelle Security Audits von Webseiten sind damit wohl kaum möglich. Dazu musst schon schon Nikito, skipfish oder w3af nehmen. Das sind automatische Scanner, die dann eine Grundlage für weitere, manuelle Scans liefern. Was wohl das einfachste wäre: Poste mal den Inhalt deiner .htaccess Datei. Wenn du dich mit Linux auskennst und du dir das mal etwas genauer anschauen willst, dann kannst du deine Seite auch mal mit w3af scannen. Ich habe dazu mal eine Kurzanleitung verfasst (http://www.kuketz-blog.de/webseiten-audit-mit-w3af/). |
|
|
||
20.07.2012, 14:33
Member
Themenstarter Beiträge: 14 |
#5
Hier das ist der Inhalt der .htaccess-Datei...
Code
Dummerweise finde ich doch jetzt tatsächlich nicht mehr die seite auf der stand das genau diese postscriptvm.org seite sich in die .htaccess-datei einschreibt... Als mögliches Beispiel eines solchen Malwarecodes war ein Code aufgeführt der genauuu den Aufbau der gerad geposteten Codes wiederspiegelt. Es ging dabei um die REWRITECOND..... angaben...das soll alles davon stammen. Oh man ich weiss einfach nicht mehr weiter Ich würde ja einfach alles erstmal auf eine meiner anderen Domains packen aber wenn irgendwas im quelltext ist infiziere ich damit alle meine domains...nee nee...das is keine gute Idee! __________ R to the E to the double G A E |
|
|
||
20.07.2012, 14:49
Member
Beiträge: 5291 |
#6
Zitat Ja, der Server wird von mir bzw. einem Freund verwaltet. Ich habe den Server ja auch direkt gekillt und ihn wieder erneuert und alles wieder draufgeschoben...Vielleicht ist ja der PC von dir oder deinem Freund kompromitiert... entweder das oder deine Seite hat eine dicke Sicherheitslücke - wie sollte sonst etwas in die .htaccess kommen. Zitat Ich würde ja einfach alles erstmal auf eine meiner anderen Domains packen aber wenn irgendwas im quelltext ist infiziere ich damit alle meine domains...nee nee...das is keine gute Idee!Naja Quelltext ist zum lesen da. __________ E-Mail: therion at ninth-art dot de IRC: megatherion @ Freenode |
|
|
||
20.07.2012, 14:56
Member
Themenstarter Beiträge: 14 |
#7
Die Seite an sich ist auf jeden Fall sicher. Die Dateien wurden einfach von einem anderen Nutzer übernommen und dort gibt es KEINERLEI Probleme.
Wie gesagt. Ich kann zwar Coden aber ich hab keine Ahnung von all diesen "Höheren" Dingen... Ich muss dann jetzt bis Montag warten um mir Hilfe holen zu können. Mein Freund kommt erst am Mo. wieder und dann werde ich ihm direkt den Auftrag geben alles zu formatieren. Das ist wirklich richtig deprimierend gerad __________ R to the E to the double G A E |
|
|
||
20.07.2012, 15:01
Member
Beiträge: 5291 |
#8
Zitat Die Seite an sich ist auf jeden Fall sicher. Die Dateien wurden einfach von einem anderen Nutzer übernommen und dort gibt es KEINERLEI Probleme.Das heißt nicht das die sicher ist. Zitat Wie gesagt. Ich kann zwar Coden aber ich hab keine Ahnung von all diesen "Höheren" Dingen...Coding ist relativ, falls PHP wohlmöglich die einzigste Sprache ist die du je benutzt hast - würde ich doch nicht zu den Codern zählen. Zitat Mein Freund kommt erst am Mo. wieder und dann werde ich ihm direkt den Auftrag geben alles zu formatieren.Du meinst deinen PC? Naja das war jetzt auch nur so eine Vermutung, ich denke ich würde erstmal den Code der Seite (der den du vorher hattest aus der sich das Problem ergeben hat) evaluieren. Und natürlich muss man auch sicherstellen ob eure PCs okay sind... __________ E-Mail: therion at ninth-art dot de IRC: megatherion @ Freenode |
|
|
||
20.07.2012, 15:15
Member
Themenstarter Beiträge: 14 |
#9
Ja genau so ist es. Ich hab ganz normal mit HTML + CSS angefangen und dann zu PHP gewechselt. Dann wollte ich ein CMS dazu.
Ich wollte ursprünglich Wordpress oder Joomla nutzen, allerdings sind diese sowas von unfangreich...*uff*...es gibt tausende tools und funktionen die man einbinden kann aber genausoviele überflüssige und am ende habe ich nie das gefunden was ich eigentlich gesucht habe Ich benötige halt eine Mitarbeiterverwaltung (Profile, Kommunikation...) und Uploader für Kategorien wie Wallpaper, Designs, Skripte etc... Zusätzlich eine Newsfunktion, Kommentare, Ask&Answer, Gästebuch...sowas halt. Das jetzige CMS basiert auf einem Framework und eig. komme ich gut damit klar. Nur naja...das Ergebnis muss ich ja jetzt nicht weiter beschrieben...es funktiniert halt nix mehr __________ R to the E to the double G A E |
|
|
||
20.07.2012, 15:39
Member
Beiträge: 5291 |
#10
Zitat Ja genau so ist es. Ich hab ganz normal mit HTML + CSS angefangen und dann zu PHP gewechselt.Ja HTML/CSS sind Markup languages (hat nichts mit Programmierung zu tun). PHP können viele leider kaum bzw. halb (von OOP verstehen die meisten gar nichts), ich sage das nur weil die Sicherheitsprobleme eben meistens von unsauberer Programmierung kommen. Zitat Ich wollte ursprünglich Wordpress oder Joomla nutzen, allerdings sind diese sowas von unfangreich...*uff*...es gibt tausende tools und funktionen die man einbinden kann aber genausoviele überflüssige und am ende habe ich nie das gefunden was ich eigentlich gesucht habeJa das ist auch mein Problemen mit CMS, ich habe zwar heut zu Tage kaum noch etwas mit Webprogrammierung zu tuen, aber ich habe mir vor einiger Zeit auch mal was individuelles gecoded, dass auch im produktiven Einsatz - damit komme ich am besten klar. Es hat mehrere Vorteile, zum einen kennst du den code. Du weißt was passiert und zum anderen haben viele dieser CMS, insbesondere sowas wie Wordpress einige Sicherheitslücken eben genau wegen diesen Erweiterungs Plugins etc. Natürlich wird da ständig dran gearbeitet aber es kann immer mal was sein, daher halte ich meine Sachen lieber so überschaubar wie möglich ohne irgendwelche Plugins. Die kostenlosen/bekannten CMS haben dann halt meistens das Problem, dass diese von ihrer Natur her schon umfangreich sein müssen (da man das wohl von einem CMS erwartet) und auch jeder Person irgendwo gerecht werden müssen. Es liegt also in der Natur der Sache... __________ E-Mail: therion at ninth-art dot de IRC: megatherion @ Freenode |
|
|
||
20.07.2012, 16:09
Member
Themenstarter Beiträge: 14 |
#11
Man sagte mir soeben das die der inhalt von zeile 3-7 in der .htaccess-datei der verursacher ist! mit einer löschung dieser wäre das problem dann also behoben?
__________ R to the E to the double G A E |
|
|
||
20.07.2012, 16:34
Member
Beiträge: 5291 |
#12
Zitat SunnyBeatz posteteVermutlich aber ich finde die größere Frage ist wie es dahin gekommen ist. Hast du mal dein FTP Passwort geändert? (Bzw. diverse Zugangsdaten) __________ E-Mail: therion at ninth-art dot de IRC: megatherion @ Freenode |
|
|
||
20.07.2012, 16:37
Member
Themenstarter Beiträge: 14 |
#13
ich habe bis auf mein loginpasswort für das CMS mit dem man sich dann letztendlich einloggen kann wenn alles auf den server geladen ist & läuft geändert. also FTP, Datenbank....
__________ R to the E to the double G A E |
|
|
||
20.07.2012, 16:43
Member
Themenstarter Beiträge: 14 |
#14
ich habe jetzt mal auf dem server rumgeguckt und auch was gefunden...soweit ich das verstanden habe kann ich der .HTACCESS-Datei bestimmte nutzer zuweisen die dann ausschließich darauf zugreifen können um sie zu verändern...meint ihr das das was bringt?
Ich habe mal ein Screen gemacht: __________ R to the E to the double G A E |
|
|
||
20.07.2012, 16:52
Member
Beiträge: 5291 |
#15
Zitat soweit ich das verstanden habe kann ich der .HTACCESS-Datei bestimmte nutzer zuweisen die dann ausschließich darauf zugreifen können um sie zu verändern...Die .htaccess (POSIX/UNIX berücksichtigt Groß- / Kleinschreibung seit den 70ern) ist dafür da um die Webserver (Apache) Konfigurationen zu manipulieren. Ich weiß natürlich nicht welche Lücken man in ein quasi sicheres System gerissen hat, ich finde niemand außer der jenige dem der Webspace gehört sollte auf diese Datei zugreifen können (via FTP vorzugsweise) - alle anderen GUI/Web Panels sind im Grunde ja nur weitere mögliche Sicherheitslücken. So seh' ich das halt. Die spezifischen Fragen für solch ein Webpanel solltest du aber eher dem Anbieter deines Webspace (Hosting Provider) stellen. __________ E-Mail: therion at ninth-art dot de IRC: megatherion @ Freenode |
|
|
||
Nach unendlichen Selbstversuchen komme ich einfach nicht mehr weiter und wende mich voller Hoffnung an euch...
Ich habe folgendes Problem:
Meine Homepage läuft seit 5 Jahren auf ein und dem selben Server...alles war gut und lief einwandfrei. Dann wurde sie vor einigen Monaten das aller erste Mal gehacked. Ich konnte irgendwie alles bereinigen und dann klappte auch ERSTMAL alles wieder.
Da ich mein Maindesign wechseln wollte habe ich dann die gesamte seite in deinen /test/-Unterordner verschoben, gebastelt und gecodet was das Zeug hält und alles hat wunderbar funktioniert. Als ich dann soweit war und die gesamten Dateien wieder zurück in das Hauptverzeichnis schieben wollte bekam ich von diesem Zeitpunkt ein Introfenster von Google angezeigt...mit der Warnung das die Seite MALWARE enthält.
Ich wusste garnich was los war und naja...was man halt alles dann so versucht...
Ich habe jetzt wer weiss wie oft alles online überprüfen lassen (Ergebnis = keinerlei Funde) und natürlich auch mehrmals alles mit Ad-Aware gescannt...der sagte mir nach einigen Funden von Tracking Cookies die ich in Quarantäne verschob das alles wieder in Ordnung sei...
Ist es aber leider nicht Das Hinweisintro erscheint immer noch und somit ist meine gesamte Homepage jetzt SCHON WIEDER lahm gelegt
Das Problem ist, das nicht der Hauptordner diesen Hinweis bekommt ( da läuft alles nach wie vor) aber der TEST-Unterordner kann nicht mehr aufgerufen werden.
Soweit ich jetzt selbst gegoogelt habe handelt es sich da um etwas was sich in meine .HTACCESS-Datei eingeschleust hat...soweit stimmt das glaube ich auch, denn den Beispielcode dieser Maleware fand ich auch in meiner .htaccess. Allerdings weiss ich nicht ob ich das Problem mit Rauslöschen dieses Codes komplett beheben kann?!
In dem Google-Hinweis-Intro steht das es sich dabei um die Seite postscriptvm.org handelt von der das Problem ausgeht...
Ich kann euch -wenn benötigt- gerne auch die URL bzw. die Log-Datei vom HiJackThis senden...
Ich hoffe sehr das ihr mir weiter helfen könnt...ich bin wirklich ratlos
Viele liebe Grüße, Sunny
__________
R to the E to the double G A E