Als attackierend gemeldete Webseite!

[horst3309]

Hallo,

ich habe eine Meldung auf einer Seite "Als attackierend gemeldete Webseite!" gehabt und mich danach bei den Webmastertools angemeldet und alles veranlasst damit die Seite wieder sauber wird. Die Webmastertools zeigen an das alles OK ist allerding wird immer noch beim Aufruf der Seitet dies Meldung angezeigt.

Es ist schon über 3 Wochen her seit die Seite bereinigt wurde, was muss (kann) ich noch tun?

Liebe Grüße und ein
frohes neues Jahr!

[Meditak]

Hatte das selbe Problem...

https://www.netz2null.de/internet/wordp ... -webseite/

Viel Glück

[thomas_x3]

Das Fazit kommt mir aber schon etwas seltsam vor, da er meint eine Säuberungsaktion sei "kaum möglich".

Wenn in jeder PHP Datei der Codeschnipsel steckt, dann wäre es mit einem Perl, Bash oder was auch immer Skript, ganz einfach möglich, diesen Code zu entfernen. Das Skript dürfte wohl nicht länger als 10 Zeilen sein.

[horst3309]

Welches Fazit von wem?
Also wie gesagt, Google schreibt mir in den Webmastertools das alles OK sei und auf der Webseite wird angezeigt das diese Attakierend sei.
Ich blicke es nicht.

Die Dateien wurden alle gelöscht bzw. überprüft.
hmm....

achso.
hier mal die Seite um die es geht.
https://www.arti-vital.de

[Beauty]

Die Seite wird nicht als attackierend angezeigt.

[horst3309]

Bei mir im Firefox wird sie noch als Attakierend angezeigt. Im IE nicht.
Ich habe aber alles gelöscht (Cockies, TMP Dateien usw.) und reloded.

[Vegas]

Im ersten Schritt solltest Du vor allem ermitteln, wie genau es zu dem Hack kam. Meist ist ein unsicherer FTP Client wie Filezilla der Schuldige, bei Wordpress oder anderen CMS sind es in 99% der Fälle die Plugins oder Module von Drittanbietern und nicht das CMS selbst.

Entfernen ist natürlich wichtig, aber Du willst ja auch verhindern, daß Du in ein paar Wochen oder Monaten wieder das gleiche Problem hast. Nur die betroffenen Dateien zu bereinigen und den Schadcode zu entfernen reicht nicht! Oft werden bei einem Hack noch zusätzliche Dateien wie ein Proxyserver mitinstalliert, oder aber Scripte die eine sofortige Re-Infektion nach Bereinigung erlauben.

Insofern ist das Fazit von Meditak nicht falsch, die restlose Entfernung ist teils sehr zeitaufwendige Detektivarbeit, eine Neuinstallation und das Einspielen eines sauberen Backups weniger Aufwand.

Das beschriebenen Hardening kann nicht schaden, aber die Ursache ist selten ein gezielter Hack, viel eher wird nach unsicheren Plugins gescannt die das Ausführen von Code ohne Prüfung der Berechtigung erlauben...die gibt es wie Sand am Meer. Da sitzt keiner da und überlegt sich, wie er Deine Seite knacken kann, sondern der Server in Russland crawlt den ganzen Tag Wordpress Installationen und infiziert automatisiert alles was offene Hintertüren hat.

Auch der Rechner/die Rechner von dem/denen aus Du auf per FTP zugreifst muss/müssen gescannt und eventuell gesäubert werden, sonst hilft ein neues Passwort im FTP Client gar nichts.

Gleiches gilt für den gesamten Webspace, also nicht nur für die einzelne infizierte Installation.

[horst3309]

Ja, vielen Dank für die ausführliche Ausführung, aber dort ist kein WordPress installiert. Dann hatte jemand wohl das FTP Passwort.

[thomas_x3]

Die Entwickler von Filezilla sind einfach zu blöd eine Passwortverschlüsselung einzubauen. Das unter der fadenscheinigen Begründung, dass es sich bei dieser ja auch um eine Open Source Anwendung handeln müsse und bei der ja der Quelltext offenliegt.

Verwende WinSCP, in vielen Dingen besser als Filezilla.

[horst3309]

Ich verwende nun Keypass, einfach und genial!
Ist halt ein mal etwas Arbeit aber dann ist es perfekt!

Also Keypass in Vernindung mit Filezilla. Filezilla ohne Passwort Speicherung.