Malware auf der Website

Beitrag von **Lika** » 14.03.2012, 14:44

Hi Leute,

die Website eines Bekannten von mir gibt plötzlich eine Warnung heraus, wenn man sie über Chrome oder Safari öffnen möchte. Der Hinweis: [i]Seite X enthält Inhalte von doxli...., einer Website, die bekanntermaßen Malware enthält[/i].

Jetzt fragen wir uns, wie auf einmal Inhalte von der unbekannten Domain auf seine gekommen sein sollen und natürlich, wie wir diese wieder entfernen können.

Hat einer einen Tipp für uns?

von **Anzeige von ABAKUS** »

SEO Consulting bei ABAKUS Internet Marketing
Erfahrung seit 2002

persönliche Betreuung
individuelle Beratung
kompetente Umsetzung

Jetzt anfragen: 0511 / 300325-0.

Beitrag von **Mahoney** » 14.03.2012, 15:28

Vermutlich Sicherheitslücke in einem CMS. Aber ohne genauere Angaben kann man hier nicht helfen.

Beitrag von **Lika** » 14.03.2012, 16:11

Ach, wie dumm. Die Domain darf ich leider nicht rausgeben

Weiß vielleicht jemand, ob man hinsichtlich Malware was bei WMT einstellen kann? Dann würd ich das mal auf der Seite integrieren.

Beitrag von **Lika** » 14.03.2012, 16:55

Mahoney, du hattest wohl recht. Wir haben in der index datei einen komischen Abschnitt gefunden. Da hat wohl wirklich einer was eingeschleust. Hoffe, wenn wir den Teil rausnehmen, dass damit das Problem behoben ist.

Beitrag von **holgi74** » 14.03.2012, 17:05

ich vermute stark das Dateien mit Schadcode infiziert sind. Da hilft nur die entsprechenden Dateien mit den Originalen ersetzen.

Datenbank regelmäßig sichern sollte selbstverständlich sein

eventuell noch FTP Passwörter ändern, da man nicht weiß wie der Angreifer die Dateien beschädigt hat

Und was noch ganz wichtig ist , CMS immer auf den neusten Stand halten. Es gibt immer mal wieder Sicherheitslücken in allen möglichen CMS z.B. Foren, Blogs, etc..

Beitrag von **Lika** » 14.03.2012, 17:31

Guter Tipp @holgi74, das werden wir gleich mal umsetzen. Zumindest das Passwort für den FTP Zugang

Alles andere dann nach und nach. Mich würds auch mal interessieren, wie die Seite infiziert werden konnte. Schon komisch

Beitrag von **holgi74** » 14.03.2012, 17:49

läuft die Seite mit wordpress und das Theme nutzt timthumb ?
dann lies diesen Beitrag mal https://blog.wpde.org/2011/08/03/sicher ... thumb.html

einige meiner Blogs waren davon betroffen

Beitrag von **Torx** » 14.03.2012, 23:37

War das ein Iframe code?
Könnte ne Iframe Injection sein: https://winfuture.de/news,64627.html
Denke es wird das beste sein, alle Passwörter zu ändern und ein Backup aufzuspielen, da evtl. mehrere Dateien überschrieben wurden.

Beitrag von **thefly** » 15.03.2012, 04:53

Wird zufällig Filezilla als FTP-Programm genutzt?

Beitrag von **Lika** » 15.03.2012, 07:48

Als CMS wird Typo3 genutzt. Nein, so wie es aussieht, wars kein iFrame, irgendeine Windows-Datei, oder so. Hmm, ich weiß gar nicht welches FTP-Programm mein Bekannter nutzt, da muss ich ihn gleich mal fragen.

Danke schonmal für die vielen Tipps!

Beitrag von **depp ich** » 15.03.2012, 12:36

Ich hatte sowas vor ein paar Tagen auch. Der Hacker hat jede Nacht überall iFrames neu reingehängt, ich habe sie jeden morgen wieder entfernt.

Ändern der Passworte brachte nichts, die Lücke finden? - naja: Heuhaufen.

Also: Upgrade des CMS, dabei auch die ganzen PlugIns neu, tw gabs keine kompatiblen mehr. jQuery neu... War ziemlich viel Arbeit und einiges läuft immer noch nicht wie vorher.
Vor allem um die älteren Bildergalerien habe ich einen Bogen gemacht; alles womit man was uploaden kann.

Immerhin ist jetzt ruhe.. (hoffentlich)

Beitrag von **todo** » 15.03.2012, 13:01

Der Hacker hat jede Nacht überall iFrames neu reingehängt

Nicht zufällig am 07.03. um 19:50?

Das Problem basiert auf Filezilla! Über z.B. unsichere PHP Formulare kann Schadcode injiziert werden, der dann über Filezilla auf ALLE gespeicherten Daten in Filezilla zugreifen kann. Filezilla speichert die Passwörter nämlich in einer unsicheren offenen XML Datei.

Meine Empfehlung:
Dringend Filezilla entfernen und ein sicheres FTP Programm benutzen, ALLE Domains, die jemals über Filezilla Zugriff hatte kontrollieren, da nicht nur CMS betroffen sind. ALLE Passwörter ändern und sichere PW erstellen (KeePass ist ausreichend).

@Lika: Wir wissen was "Website eines Bekannten" heißt

Er (oder du) soll wirklich alle über Filezilla erreichbaren Websites testen. Ich gehe jede Wette ein, dass alle betroffen sind.

Beitrag von **depp ich** » 15.03.2012, 14:03

Filezilla speichert die Passwörter nämlich in einer unsicheren offenen XML Datei.

Ja, aber dazu musst du dir erst mal einen Trojaner einfangen - der sich dann auch für Filezilla interessiert. Da hast du dann sowieso ein gröberes Problem.

In meinem Fall könnte das so gewesen sein (der Kunde benutzt Filezilla UND er hatte einen Trojaner), könnte auch ein älteres PagePeel-Script (mit Upload) gewesen sein, das ich 5 Tage vorher aktiviert habe, oder die harmlose kleine Ajax-Suchfunktion, die ALLES entgegennimmt, oder.. oder...

Müßig, da zu suchen; der Kerl hat sich sicher 3 Hintertürchen eingebaut und braucht nur mehr irgendein Script, das 10000e Websites rundum überprüft, ob noch alles da ist und ggf erneuert. EIne davon eben meine

Der Provider hat _gerne_ einen frischen Webspace + Datenbank hergerichtet, ich hab das CMS völlig neu aufgesetzt und nur die Bilder (vorher alle gesichtet) mitgenommen.
Von der DB gabs ein relativ frisches Backup.
2-3 Tage Arbeit - unbezahlt, sowas verrechnet man nicht gerne; hat wohl jeder ein bisschen Schuld.

Beitrag von **Lika** » 15.03.2012, 14:13

So Filezilla ist für mich gestorben. Da nutzt ich doch nun lieber was seriöseres.

@todo: schön wärs

wenn das meine Seite wäre, hätte ich ziemlich viel Geld

Nein, im Ernst. Wenn es meine Seite wäre, dann würde ich den Link mitgeben.

Vielen lieben Dank an euch alle für die vielen Tipps.

Beitrag von **depp ich** » 15.03.2012, 14:22

Wenn du davon ausgehst, dass Filezilla schuld ist, dann bedeutet das zwangsläufig auch, dass du nach dem Trojaner auf der Kiste suchen musst. Sonst wird das nix.