Schon wieder gehacked :-(

[Ragin]

Jo, alles wieder sauber

R.

[DarkViper]

Der Schadcode ist schon seit weit über einem Jahr bekannt und schon des Öfteren auf Websites aufgetaucht.
In den meisten Fällen wurde er über gehackte Server oder FTP-Zugänge eingeschleust.

[Schnetty]

Tach auch,

meine Webs sind wieder sauber. Alle FTP Passwörter geändert. In den Log-Files konnte ich IP´s von russischen Proxys finden, der Angreifer kann also überall und nirgendwo sitzen. Eine Datei wurde hochgeladen, ausgeführt und direkt wieder gelöscht. Diese hat dann nach verschiedenen, bestimmten Dateien gesucht und dort den Code eingebaut. Hat ein paar Stunden Arbeit gekostet.

Das beim Aufrufen dieses Freds einige Virenscanner anschlagen hätt ich mir auch denken können. Sollte sich mal wieder irgendwelcher Schadcode in irgendwelchen WB Seiten finden lassen und ich den nicht kennen, bau ich den Schnipsel als Bild ein. Dann kann man immer noch sehen um was es geht, aber die Virenscanner dürften dann still halten.


Greets
Schnetty

[Zoralina]

Hallo Schnetty,
mir ist dasselbe passiert, vor ein paar Tagen wurden mehrere Websites, die ich erstellt haben, vollgemüllt, vor allem die index-Dateien. Habe alles akribisch wieder rausgelöscht, was zu dieser Uhrzeit in den Quelltext reingehauen wurde.
Und die ftp-passwörter hab ich geändert.

Aber bin ich jetzt wieder sicher? Keine Ahnung, vielleicht wurden zu einem anderen Datum noch skripte abgeladen, die ich nicht finden kann, weil meine ftp-Logs nicht so weit zurückreichen.
Und die Datenbank, wie finde ich raus, ob da was passiert ist?

Bei mir kam der eindringling eindeutig über einen Trojaner, der ftp-Passwörter ausgeleden hat, seit wann, keine Ahnung. Evtl. kommt da noch mehr....

wie ist es dir ergangen, wie hast Du den Schadcode weggekriegt?

Freue mich über eine Nachricht von dir!

Zoralina

[DarkViper]

Habe alles akribisch wieder rausgelöscht, was zu dieser Uhrzeit in den Quelltext reingehauen wurde.
Und die ftp-passwörter hab ich geändert.

Das ist derzeit  die einzige Methode, die einem 'Normaluser' ohne sehr gute Systemkenntnisse zur Verfügung steht.

Aber bin ich jetzt wieder sicher? Keine Ahnung, vielleicht wurden zu einem anderen Datum noch skripte abgeladen, die ich nicht finden kann, weil meine ftp-Logs nicht so weit zurückreichen.
Und die Datenbank, wie finde ich raus, ob da was passiert ist?

Schnell und automatisch suchen, dazu benötigt man Shellzugang und Erfahrung mit diversen Unix-Kommandos.
Manuell suchen dauert ewig und frustriert nur.
Eine weitere Möglichkeit wäre, den vollständigen Quellcode auf die lokale Maschine herunterladen und dort dann mit geeigneten Tools nach dem Schädling suchen. Auch ein DB-Dump könnte so überprüft werden. (Wobei genau dieser Schädling die Datenbank meines Wissens bisher noch nicht angerührt hat.)
Die einfachste Methode ist ein Upgrade auf die aktuellste Version von WB, da hierbei sämtliche relevanten Dateien überschrieben, bzw. neu angelegt werden.

Bei mir kam der eindringling eindeutig über einen Trojaner, der ftp-Passwörter ausgeleden hat, seit wann, keine Ahnung. Evtl. kommt da noch mehr....

Ein aktueller Scanner auf der Arbeitsstation ist die halbe Miete - zumindest in der Windowswelt.
Mindestens ebenso wichtig ist jedoch, dass alle Passwörter regelmäßig gewechselt werden und vom Aufbau her sicher sind. Also besser keine 'Wörter' sondern willkürliche Buchstaben-/Zahlenfolgen mit ein/zwei Sonderzeichen und gemischter Groß-/Kleinschreibung, die praktisch nicht zu erraten sind. So Online-Passwort-Merkdienste sind zwar nett und praktisch, jedoch immer ein potentielles Risiko ebenso wie derartige lokale Programme aus relativ unbekannten Quellen.