Anzeige:
THEMA: Virenwarnung!
THEMA: Virenwarnung!
ptlbahn - 11.08.09 01:15
Heute bekam ich aus verschiedenen Foren eine Mail, in der ich darauf hin gewiesen wurde, das im DSO-Forum darauf hingewiesen wird, das auf meiner Shopseite ein Virus sein soll!
Ich habe mich daraufhin erst mal bei DSO angemeldet und Stellung dazu genommen, das ich meine Seiten alle ohne irgendwelche Software mit Texteditoren erstelle, und somit von mir eigendlich kein Virus kommen könnte.
Nun habe ich meine FTP-Programm angeworfen und mußte fest stellen, das die Index-Html mit aktualisierungsdatum von heute vormittag drin stand, ich habe sie aber im Oktober vorigen jahres das letzte mal bearbeitet (leitet ja nur direkt auf die PHP um ohne weiter was zu machen) Und beim Editieren fand ich folgende Zeile:
(iframe src="http.\\ltkq:in.8080\index:php" width=154 height=119 style="visibility. hidden")(\iframe) (ich habe die Klammern, Punkte/doppelpunkte und \ verändert um gefahren zu vermeiden!)
Da ich diese Zeile nie geschrieben habe, muß sie heute von jemanden erzeut worden sein, der auf meine Seite zugegriffen hat (falls das möglich ist) oder vom Provider kommen!
Ich weiß nicht, was sich auf der Verlinkten Seite befindet!
Danke erst einmal für die schnelle Info! (ist doch gut wenn man zufuß weiß wo man suchen muß/kann!)
Werde nachher eine Warnung in anderen den Foren Absetzen! Vieleicht meldet sich ja jemand, der heute Vormittag auf meine Seite zugegriffen hat! Was mich nur wundert, die Indexalt ist auch genauso verändert und das ist nur eine Dateileich bei mir!
Also wer gestern gegen etwa 8:23 auf meiner HP war, dürfte diesen Veränderung verursacht haben, und alle die danach darauf waren solten mal einen Virenscaner Starten, wenn der nicht sowieso mit läuft! Vieleicht weiß ja auch jemand näheres was auf dem link Sache ist!
Ich habe mich daraufhin erst mal bei DSO angemeldet und Stellung dazu genommen, das ich meine Seiten alle ohne irgendwelche Software mit Texteditoren erstelle, und somit von mir eigendlich kein Virus kommen könnte.
Nun habe ich meine FTP-Programm angeworfen und mußte fest stellen, das die Index-Html mit aktualisierungsdatum von heute vormittag drin stand, ich habe sie aber im Oktober vorigen jahres das letzte mal bearbeitet (leitet ja nur direkt auf die PHP um ohne weiter was zu machen) Und beim Editieren fand ich folgende Zeile:
(iframe src="http.\\ltkq:in.8080\index:php" width=154 height=119 style="visibility. hidden")(\iframe) (ich habe die Klammern, Punkte/doppelpunkte und \ verändert um gefahren zu vermeiden!)
Da ich diese Zeile nie geschrieben habe, muß sie heute von jemanden erzeut worden sein, der auf meine Seite zugegriffen hat (falls das möglich ist) oder vom Provider kommen!
Ich weiß nicht, was sich auf der Verlinkten Seite befindet!
Danke erst einmal für die schnelle Info! (ist doch gut wenn man zufuß weiß wo man suchen muß/kann!)
Werde nachher eine Warnung in anderen den Foren Absetzen! Vieleicht meldet sich ja jemand, der heute Vormittag auf meine Seite zugegriffen hat! Was mich nur wundert, die Indexalt ist auch genauso verändert und das ist nur eine Dateileich bei mir!
Also wer gestern gegen etwa 8:23 auf meiner HP war, dürfte diesen Veränderung verursacht haben, und alle die danach darauf waren solten mal einen Virenscaner Starten, wenn der nicht sowieso mit läuft! Vieleicht weiß ja auch jemand näheres was auf dem link Sache ist!
Hallo,
ohne Umschweife: das ist ein waschechter Hackerangriff auf die Seite.
Eine nicht autorisierte Person hat sich in irgendeiner Weise Zugriff auf Ihre Seite verschafft.
Entweder geschah dies durch Zugriff über Ihren PC (sehr schlecht) und Ihren Zugangsdaten (ganz schlecht) oder es wurde der Rechner gehacked, auf dem die Daten liegen (nicht gut).
In jedem Fall die Webseite vom Netz nehmen, den Provider kontaktieren und den eigenen PC erst einmal vom Netz nehmen. Es ist vorerst nicht ausgeschlossen, dass die Person auch Zugriff auf Ihren Rechner hatte und noch immer durch nachträgliche Installation weiterer Schadprogramme noch umfassenderen Zugang hat.
Die Gefahr besteht sogar, dass betroffene Rechner der Ausgangspunkt für illegale Aktivitäten sein können.
Machen Sie sich über einen einen anderen Rechner im Internet schlau, besorgen Sie ein aktuelles Virenprogramm und prüfen Sie mit dem Programm Spybot Search & Destroy, ob Sie sogenannte Trojanische Pferde bei sich haben. Dies sollten Sie auf einem anderen Rechner aus dem Internet holen, auf CD brennen und auf ihren PC installieren.
Alles Gute!
Firefox
ohne Umschweife: das ist ein waschechter Hackerangriff auf die Seite.
Eine nicht autorisierte Person hat sich in irgendeiner Weise Zugriff auf Ihre Seite verschafft.
Entweder geschah dies durch Zugriff über Ihren PC (sehr schlecht) und Ihren Zugangsdaten (ganz schlecht) oder es wurde der Rechner gehacked, auf dem die Daten liegen (nicht gut).
In jedem Fall die Webseite vom Netz nehmen, den Provider kontaktieren und den eigenen PC erst einmal vom Netz nehmen. Es ist vorerst nicht ausgeschlossen, dass die Person auch Zugriff auf Ihren Rechner hatte und noch immer durch nachträgliche Installation weiterer Schadprogramme noch umfassenderen Zugang hat.
Die Gefahr besteht sogar, dass betroffene Rechner der Ausgangspunkt für illegale Aktivitäten sein können.
Machen Sie sich über einen einen anderen Rechner im Internet schlau, besorgen Sie ein aktuelles Virenprogramm und prüfen Sie mit dem Programm Spybot Search & Destroy, ob Sie sogenannte Trojanische Pferde bei sich haben. Dies sollten Sie auf einem anderen Rechner aus dem Internet holen, auf CD brennen und auf ihren PC installieren.
Alles Gute!
Firefox
Zitat
Entweder geschah dies durch Zugriff über Ihren PC (sehr schlecht)
Das ist eine sehr wahrscheinliche Möglichkeit wenn man auch seinen Betrag hier liest:
http://www.1zu160.net/scripte/forum/forum_show.php?id=394972#aw1
Da heißt es u. a.:
Zitat
Irgendwo ist zZ. scheinbar ein Trojaner im umlauf der Kontodaten ausspähen soll! Ich habe vor ca. einer Woche von E-Bay eine mitteilung bekommen, das mein Passwort gesperrt wurde, wahrscheinlich wegen unerlaubter benutzung 3. und gestern kam ein Brief von der Sparkasse das meine Kontozugangsdaten auf einem Phichingserver waren und das Onlinebanking daher zZ nicht möglich ist,
Und dies könnte dann den Vorgang bestätigen:
Zitat
Was mich nur wundert, die Indexalt ist auch genauso verändert und das ist nur eine Dateileich bei mir!
Viele Grüße - Udo
Beitrag editiert am 11. 08. 2009 02:37.
Und ganz wichtig: Anzeige gegen Unbekannt wegen Computersabotage erstatten. Das Verfahren wird zwar mit großer Wahrscheinlichkeit eingestellt aber die Anzeige ist zu eigenen Entlastung wichtig. Zur Beweissicherung sollten auf jedenfall alle wichtigen Protokolldateien gesichert werden (FTP-Server, HTTP-Server, /var/log/messages (wenn der Server unter Linux) läuft ...).
z.Z läuft gerade Spybot durch, mal sehen ob der was findet!
Hi,
wie alt ist die Version Deines Shopsystems auf Deiner Homepage? Ist die aktuell bzw. hast Du alle Sicherheitspatches eingespielt?
Sonst ist es sehr leicht, durch eine alte Sicherheitslücke direkt auf Deinen Webserver einzudringen und die Dateien entsprechend zu modifizieren.
Du solltest Dir auch mal die Logfiles deines Webservers genauer ansehen, da sollte der Angriff bzw. die Veränderung ebenfalls sichtbar sein.
Wie schon erwähnt: Solange Du nicht weißt, welche Dateien noch auf Deiner Homepage verändert worden sind unbedingt alles löschen und nochmal vom letzten als sauber bekannten Backup aufspielen.
Ich betreibe selbst ein größeres Internetportal und weiß aus eigener leidvoller Erfahrung dass manche <beliebiges Schimpfword nach Wahl einsetzen> nur auf derartige Lücken warten, um dann ihr eigenes Spielchen auf Deiner Website zu treiben.
viele Grüße,
Thomas
wie alt ist die Version Deines Shopsystems auf Deiner Homepage? Ist die aktuell bzw. hast Du alle Sicherheitspatches eingespielt?
Sonst ist es sehr leicht, durch eine alte Sicherheitslücke direkt auf Deinen Webserver einzudringen und die Dateien entsprechend zu modifizieren.
Du solltest Dir auch mal die Logfiles deines Webservers genauer ansehen, da sollte der Angriff bzw. die Veränderung ebenfalls sichtbar sein.
Wie schon erwähnt: Solange Du nicht weißt, welche Dateien noch auf Deiner Homepage verändert worden sind unbedingt alles löschen und nochmal vom letzten als sauber bekannten Backup aufspielen.
Ich betreibe selbst ein größeres Internetportal und weiß aus eigener leidvoller Erfahrung dass manche <beliebiges Schimpfword nach Wahl einsetzen> nur auf derartige Lücken warten, um dann ihr eigenes Spielchen auf Deiner Website zu treiben.
viele Grüße,
Thomas
Der Shop ist komplett in Wordpad von Hand geschrieben! wenn da einer was an der PHP-Datei manipulier erkenne ich das beim anschauen relativ schnell, zumal ich immer noch keine Erweiterungen einbaue!
Zumal der gesamte Shop nur eine Datei mit 20kb ist und der rest sind Bilder und Textbausteine die zugeladen werden.
Und wie gesagt, manipuliert wurden nur index und die Dateileiche indexalt. Weitere html-Datein sind auch nicht in dem Verzeichniss und die anderen Datein wurden (bisher) nicht angegriffen, auch nicht die PHP`s
Zumal der gesamte Shop nur eine Datei mit 20kb ist und der rest sind Bilder und Textbausteine die zugeladen werden.
Und wie gesagt, manipuliert wurden nur index und die Dateileiche indexalt. Weitere html-Datein sind auch nicht in dem Verzeichniss und die anderen Datein wurden (bisher) nicht angegriffen, auch nicht die PHP`s
Beitrag editiert am 11. 08. 2009 23:18.
Michael S. - 12.08.09 00:10
PTL,
ich habe schon Ende 2007 Sicherheitsalarm bei Deiner Seite gegeben und das hier auch, vielleicht etwas versteckt, mitgeteilt:
http://www.1zu160.net/scripte/forum/forum_show.php?id=275754
Es kann also schon ewig ein Problem geben.
Gruß Michael
ich habe schon Ende 2007 Sicherheitsalarm bei Deiner Seite gegeben und das hier auch, vielleicht etwas versteckt, mitgeteilt:
http://www.1zu160.net/scripte/forum/forum_show.php?id=275754
Es kann also schon ewig ein Problem geben.
Gruß Michael
@ Michael
Dann müßte der Verursacher in den jpg-Bilddateien sitzen und von einer zur anderen wandern!
Die Seite (und auch der Server) sind erst seit September vorigen Jahres online.
Wenn es möglich ist, das ein schadprogramm von jpg zu jpg durch ansehen wandern kann, und dann von dort aus auf HTML-Dateien zugreifen kann, dann mag es sein. Aber JPG`s werden ja nicht abgearbeitet im sinne von Maschienebefehle sondern enthalten nur pomprimierte Bildinnhalte die nach dem Auspacken in einen Bildspeicher Kopiert werden, so das es für meine Begriffe dann ein 2. Schadprogramm geben müßte was dort versteckte Schadprogramme auslist und startet.
Dann müßte der Verursacher in den jpg-Bilddateien sitzen und von einer zur anderen wandern!
Die Seite (und auch der Server) sind erst seit September vorigen Jahres online.
Wenn es möglich ist, das ein schadprogramm von jpg zu jpg durch ansehen wandern kann, und dann von dort aus auf HTML-Dateien zugreifen kann, dann mag es sein. Aber JPG`s werden ja nicht abgearbeitet im sinne von Maschienebefehle sondern enthalten nur pomprimierte Bildinnhalte die nach dem Auspacken in einen Bildspeicher Kopiert werden, so das es für meine Begriffe dann ein 2. Schadprogramm geben müßte was dort versteckte Schadprogramme auslist und startet.
Hallo PTL, es gibt nur 3 Möglichkeiten.
1. Jemand hat Deine Zugangsdaten geknackt.
2. Dein Rechner ist infiziert.
3. Der Server ist infiziert.
Das sind alles Ursachen, die sich verhältnismäßig leicht mit entsprechenden Werkzeugen (Tools) und KnowHow ermitteln lassen.
Grüße von Ernie.
1. Jemand hat Deine Zugangsdaten geknackt.
2. Dein Rechner ist infiziert.
3. Der Server ist infiziert.
Das sind alles Ursachen, die sich verhältnismäßig leicht mit entsprechenden Werkzeugen (Tools) und KnowHow ermitteln lassen.
Grüße von Ernie.
Zitat
z.Z läuft gerade Spybot durch, mal sehen ob der was findet!
...Und?
Jürgen H.
Arnold_Huebsch - 12.08.09 10:04
@UP: Über diverse Werkzeuge können WEBs leicht geknackt werden. PHP ist in den vergangenen Jahren wie eine Autobahn für allerlei bösartige Anliegen gewesen. Da muß man verdammt aufpassen was man zuläßt in der Konfig. Ich vermute die Ursache dafür hier. Viele Defaulteinstellungen sind äußerst leichtsinnig!!! Falls Du Eingabefelder nicht korrekt validierst oder gar den Inhalt von Eingabefeldern direkt verwendest ohne die zu erwartenden Strings zu prüfen ist das der Weg wie der Hack passiert ist.
Viele Plattformen haben eine so geringe Verbreitung daß man da vor Viren relativ sicher war. Die Middlewares wie klassisch eben PHP oder auch diverse Datenbanken über SQL Injection sind daher der oft benutzte Weg Rechner anzugreifen. Der Stereotyp Linux = sicher Windows = unsicher ist Serverseitig meiner Erfahrung nach umgekehrt, da viele Linux Büchsen noch schlechter gemanaged werden als die Windowskisten. In beiden Welten (Win und *NIX) ist das Securitymanagement schon lange keine simple Sache.
Für die WEB Seite und den Shop: alles neu rauf laden und die Dataien am Server regelmäßig überprüfen. Die Quelle (Dein PC) überprüfen und vor allem Nachdenken woher der Angriff kam und das Loch schließen.
Viele Plattformen haben eine so geringe Verbreitung daß man da vor Viren relativ sicher war. Die Middlewares wie klassisch eben PHP oder auch diverse Datenbanken über SQL Injection sind daher der oft benutzte Weg Rechner anzugreifen. Der Stereotyp Linux = sicher Windows = unsicher ist Serverseitig meiner Erfahrung nach umgekehrt, da viele Linux Büchsen noch schlechter gemanaged werden als die Windowskisten. In beiden Welten (Win und *NIX) ist das Securitymanagement schon lange keine simple Sache.
Für die WEB Seite und den Shop: alles neu rauf laden und die Dataien am Server regelmäßig überprüfen. Die Quelle (Dein PC) überprüfen und vor allem Nachdenken woher der Angriff kam und das Loch schließen.
Prellbock1 - 12.08.09 10:57
Für solche Fälle gibt es in aller Regel beim bsi rasche und professionelle Hilfe. Hier der Link:
http://www.bsi-fuer-buerger.de/daten/index.htm
Gruß
Dieter Prellbock1
http://www.bsi-fuer-buerger.de/daten/index.htm
Gruß
Dieter Prellbock1
>>Clampi macht Experten Angst
Neuer Monster-Trojaner
Ein äußerst gefährlicher Trojaner, der Kontodaten ausspät, verbreitet sich rasend. Sicherheitsexperten befürchten bis zu eine Million befallene Rechner.<<
http://www.n-tv.de/technik/computer/Neuer-Monster-Trojaner-article441149.html
Neuer Monster-Trojaner
Ein äußerst gefährlicher Trojaner, der Kontodaten ausspät, verbreitet sich rasend. Sicherheitsexperten befürchten bis zu eine Million befallene Rechner.<<
http://www.n-tv.de/technik/computer/Neuer-Monster-Trojaner-article441149.html
Nur registrierte und eingeloggte User können Antworten schreiben.
Einloggen ->
Noch nicht registriert? Hier können Sie Ihren kostenlosen Account anlegen: Neuer N-Liste Account
Zum Seitenanfang
© by 1zu160.net;