Hallo!

Ich habe heute fremden Code in allen Index-Dateien auf meinem Server entdeckt.

Der Angreifer hatte definitiv FTP-Zugriff,
weil auch die Index.php in einem mit .htaccess geschützen Verzeichnis verändert wurde.

Ich hoffe ihr könnt mir weiterhelfen.


Folgender Code befindet sich jeweils am Ende der Index-Dateien.

0. DATENBANKSICHERUNG

1. Schau über FTP nach wann die Datei geändert wurde und rufe deinen Hoster an und sage ihm, dass von Dritter Seite Dateien geändert wurden und du KEINE FTP Benutzernamen und Kennworte herausgegeben hast. Frage ihn dann, ob zum fraglichen Zeitpunkt ein Zugriff aus dem Ausland war. Der Kundendienst wird dir sicher mal sagen, dass er keine Daten weitergeben darf. Sag ihm, dass du das verstehst, du würdest aber nur gerne wissen ob der Zugriff aus dem Ausland war und nicht die IPs benötigst, daher die Daten also anonymisiert sind.

2. Bei deinem Hoster ALLE Passwörter erneuern

3. Abklemmen der Site
4. Überprüfen der Site auf Schadcode. Wenn du ein Backup der Site lokal hast, dann am Besten mal die Dateien mit WinMerge vergleichen, dann siehst du gleich wo was verändert wurde.
5. Datenbanksicherung vor irgendwelchen Änderungen nicht vergessen!!!!!!!

Ich habe bei zwei Kunden in Österreich auch schon so etwas gehabt. Ich denke mal, dass da beim Hoster was falsch gelaufen ist, möchte aber keine unbewiesenen Beschuldigungen äußern.

Hallo!

Bevor ich hier meine Frage stellte,
habe ich bereits mit meinem Hoster telefoniert.

Er sagte mir zu, das es bei ihm keine Angriffe gab.

Diese Mail schickte mir mein Hoster:
Zitat:

An welcher Stelle genau, konnte er mir aber auch nicht sagen.

Zitat:

Ich würde trotzdem den Software Aspekt nicht aus den Augen verlieren ...

- Welche Xoops Version?
- Welche Module und in welcher Version kamen zum Einsatz?
- Hast Du den protector installiert?
- Spaw Editor?

Sven

Zitat:

Was meinst du damit?

Meine Versionen:
XOOPS 2.2.6 RC

News 1.55
CBB/NewBB 3.08
Protector 3.16
WF-Downloads 3.1
Polls 1.01
Memberlist 1
Links 1.1
Contact Us 1.6
Xoops Info 1.2

Spaw Editor habe ich schon lange nicht mehr.

Zitat:

Ich wollte damit nur zum Ausdruck bringen, dass es auch an unsicheren Modulen gelegen habe könnte.

Sven

Ich kanns nur wiederholen, dass du sämtliche Passwörter neu anfordern solltest.

Wenn sich der Hoster dagegen sträubt oder dir Kosten dafür verrechnen will, dann hast du sicher den falschen Dienstleister. Klar, keiner wird leicht zugeben, dass er ein Sicherheitsleck hat.

Und anhand der vom Hoster geführten FTP Protokolle könnte leicht festgestellt werden woher ein Zugriff gekommen ist. Im Prinzip würde es dir ja reichen zu wissen DASS ein Zugriff von Dritter Seite stattgefunden hat. Ich würde den Hoster nochmals auf die Zehen steigen und nicht die Schuld auf Skripte schieben lassen, denn das ist eine bequeme Lösung so wie "setzen Sie den Rechner neu auf" bei Windows Problemen.

Anhand des Datums und der Uhrzeit kannst du ja den genauen Zeitpunkt des Angriffs bestimmen, was eine Weiterverfolgung leichter macht. Natürlich hast du auch noch die Option einer Strafanzeige, aber das ist wieder einiger Aufwand, der es meiner Ansicht nach nicht bringt.

Aber ohne geänderte Passwörter hätte ich ein sehr, sehr ungutes Gefühl.

Hallo!

Die Paswörter habe ich natürlich schon geändert.

Den fremden Code habe ich aus den Index-Dateien entfernt.

Andere geänderte Dateien habe ich nicht gefunden.

Die Index-Dateien wurden das letzte mal am 07.07.2008 geändert.

Meine Seite wurde aber erst am 16.07.2008 langsam,
worauf ich mir die Index.php anschaute,
weil meine Seite nur auf der Startseite lange Ladezeiten hatte.

Kann mir denn jemand sagen, was dieser Code bewirkt?

Gruß, Chris

Wird sonst auch noch eine JavaSript-Datei oder eine sonstige Datei in der Datei eingebunden?

der Code versucht Malware auf den Rechner zu installieren
(auf den der die Seite aufruft), ist ein Virus


Alfred