Hack Angriff / Malware
Auteur : Karsten S.Hallo,
ich habe folgendes Problem mit meiner Webseite.
Diese wurde nun zum zweiten Mal mit Malware infiziert. Wie kann das sein? Nach dem ersten Angriff wurden sämtliche Passwörter geändert und auf dem Server befinden sich nur die Dateien die Website X5 Evolution 9 hochgeladen hat.
Hier einmal die eMail von unserem Hoster (Strato):
"Sehr geehrter Herr XXX,
wir wurden darüber in Kenntnis gesetzt, dass Ihr Content offenbar durch Dritte gehackt wurde bzw. Schadsoftware verbreitet. Nachfolgend senden wir Ihnen dazu die folgenden Details zu:
+-----------------------------------------------------------------------
+------------------------
|date |id |virusname |ip |domain |Url|
+-----------------------------------------------------------------------
+------------------------
|2013-03-02 18:05:04 CET |9638890 |Trojan.Script.BBO |81.169.145.148 |pizzeria-bei-peppe.de |http://www.pizzeria-bei-peppe.de/
+-----------------------------------------------------------------------
+------------------------
Wir bitten Sie daher, dass Sie diesen Sachverhalt überprüfen und ggf. entsprechende Maßnahmen einleiten. Insofern Sie einen Hackangriff vermuten bitten wir Sie, dass Sie die nachfolgenden Maßnahmen einleiten.
Ein Hack-Angriff kann durch folgende Möglichkeiten erfolgen:
- Sicherheitslücken in eventuell installierten PHP/CGI-Scripten
- Einschränkungen an Ihrem lokalen Rechner (Viren, Trojaner etc.)
- unsichere Kennwörter
Wir bitten Sie, dass Sie Ihren lokalen Rechner auf Viren überprüfen und diese entfernen. Anschließend ändern Sie bitte dringend die Zugangsdaten Ihres Paketes in sichere Kennwörter. Bitte vergeben Sie für die einzelnen Dienste (FTP, E-Mail, Kundenservicebereich usw.) immer unterschiedliche Zugangsdaten. Wir empfehlen Ihnen, Passwörter zu verwenden, deren Wortlaut im normalen deutschen oder englischen Lexikon nicht vorkommen. Gut sind Kombinationen von mehr als 5 Zahlen und Buchstaben in verschiedener Groß- und Kleinschreibung, wie z.B. 4xUbL4356kIt.
Die Zugangsdaten können Sie direkt in Ihrem Kundenservicebereich https://www.strato.de/apps/CustomerService unter dem Menüpunkt "Sicherheit" ändern.
Sobald Sie die o. g. Maßnahmen ergriffen haben bitten wir Sie, dass Sie die o. g. Datei von Ihrem Content entfernen und diesen anschließend noch einmal auf Fremddateien überprüfen und diese ggf. entfernen. Sofern Ihnen ein "sauberes" Backup Ihres Contents vorliegen sollte können Sie dieses ggf. entsprechend installieren.
Wir bitten Sie abschließend, dass Sie uns bis zum 19.03.2013 über die von Ihnen eingeleiteten Maßnahmen informieren, damit wir den Vorgang als erledigt betrachten können.
Bitte beachten Sie, dass wir bei weiteren Beschwerden zu Ihrem Paket eine Sperrung vornehmen müssten.
Gerne können Sie ganz einfach auf diese E-Mail antworten. Bitte denken Sie daran den Verlauf nicht zu löschen und den Betreff nicht zu verändern, da nur so eine schnellstmögliche Bearbeitung möglich ist.
Mit freundlichen Grüßen
STRATO AG | Abuse Management
--------------------------------------------------------
E-Mail: ***
Website: http://www.strato.de
--------------------------------------------------------
STRATO AG
Pascalstraße 10
10587 Berlin"
Selbstbverständlich ist der Rechner von dem aus die Dateien hochgeladen werden sauber.
Was ist zu tun? Google hat z.B. zu dem Malware Zeitpunkt den Seitenzugriff verweigert, bzw. man konnte ihn auf eigenem Risiko fortsetzen.
Ich habe sämtliche Daten vom Server gelöscht und wieder die Webseite hochladen lassen.
Sogar "Virustotal" erkennt immer noch in 3 Fällen die Seite sei mit Malware verseucht.
Anbei erhalten Sie die IWZIP-Datei. Wo könnte die Sicherheitslücke nun liegen?
Ich brauche dringend Hilfe! Ich weiß nicht mehr weiter. :-(
Guten Tag,
Prüfen Sie ob Sie im Projekt benutzerdefinierte Codes eingetragen haben, und wenn diese dabei sind entfernen Sie diese denn die könnten die Ursache sein. Ändern Sie alle Passwörter, wie von Strato vorgeschlagen, und prüfen Sie den Computer ob dieser keine malwares hat.
Vielen Dank!
So selbstverständlich ist es nicht das der Rechner sauber ist.
Ich kenne zwei ähnliche Fälle.
Der letzte wurde z.B. hier behandelt.
http://unofficialwsx5.de/board41-website-x5-version-9/allgemeine-diskussionen/1476-virus-auf-website/
Dort war aber auch der rechner befallen. Woher nun der Eingriff kam ist schlecht nach zu vollziehen. Aber der Code war nur bei den beiden Projekten verändert. Es befand sich noch mehr auf dem Webspace.
Virustotal muss aber auch nicht unbedingt stimmen...siehe Screenshot..ich hab nur ohne www gescannt.
und wenn du dann auf eine Seite gehst wo bei vt angezeigt wird und dort scannst siehst du das hier...somit würde ich sagen sauber...woher es kam..kann man wieder nicht sagen...