Webseite gesperrt wg Malwareverbreitung

Post by **Oliver Georgi** » Sat 29. Mar 2014, 09:15

Alles herunterladen und alles prüfen. Es gibt üblicherweise noch mehr JS in template/lib.

@claus Einfach in

 wrappen.

andalucia · Post by **andalucia** » Sat 29. Mar 2014, 09:21

Ist OK. Ihr könnt ja mal Eure Seite checken lassen mit:
http://app.webinspector.com/
Das bringt zumindest das Ursprungsfile des Problems. Falls da was gefunden wird auch alle js dateien drumrum checken.

LG

Post by **update** » Sat 29. Mar 2014, 09:23

@Oliver: hab's gewrappt

Danke für den Hinweis!

andalucia · Post by **andalucia** » Sat 29. Mar 2014, 09:44

"Es gibt üblicherweise noch mehr JS in template/lib.".....

Ja, da waren alle js files in allen Ordnern modifiziert..... Habe sie grad alle durcheditiert.

LG

PS:
Und es kommt noch schlimmer. Kurz - ALLE js files in allen Ordnern wurden modifiziert

kukki · Post by **kukki** » Sat 29. Mar 2014, 12:19

Machs Dir doch nicht so schwer.

Sichere Dir die Verzeichnisse: /config/phpwcms; /template/inc_css; eventuell eigene Scripte (Js/ PHP)

Bügle die neuste Version von GitHub drüber. Danach bleiben noch einige JS/PHP-Scripte aus älteren Versionen übrig, soweit Du diese nutzt, erkennbar an dem entsprechenden Datum der Vefälschung 21.032014 (?), ansonsten rausschmeißen (bei mir war es Motools )- habe ich komplett entfernt, da ich damit nicht mehr arbeite. Die restliche kannst per Hand -bei 8-12 Stück kein Problem- korrigieren, da nur am Ende dieser Schadcode eingefügt wurde.

Für Deine Seite hast Du in einer Stunde oder weniger alles wieder im Griff

Wenn Du gut mit dem Confixx etc umgehen kannst, solltest Du vielleicht das Verzeichnis für das CMS wechseln in einen ganz anderen Namen

Melde Dich bei Google an und benutze die Webmastertools, damit diese Deine Website abprüfen können, dass Du alles abgeändert hast. (ich habe dafür den MEGA-Tag von Google eingesetzt). Nach 12 Stunden war alles vergessen und wieder normal.

Du kannst natürlich auch nach dem Vorbild auf meiner Spielwiese vorgehen, bleibt gehuppt wie gesprungen

andalucia · Post by **andalucia** » Sat 29. Mar 2014, 17:46

Seite läuft wieder, auch Guckel sagt OK. Trotzdem fragt man sich wie sowas passieren konnte.

LG
Klaus

Post by **juergen** » Sat 29. Mar 2014, 21:29

Hast du da auch wordpress laufen ?

Bin mal gespannt auf deine Antwort

andalucia · Post by **andalucia** » Sat 29. Mar 2014, 22:47

Nein, nix Wordpress oder sonstige Zusatzmodule, keine Individualprogrammierung etc. Einmal Standard phpwcms 1.5.4
Wie werden da ca 100 Dateien modifiziert? FTP geknackt?

LG

Post by **juergen** » Sun 30. Mar 2014, 08:56

Deswegen fragte claus nach der Anzahl der aktiven Seiten auf dem Server. Wenn man sich Zugang zum Server verschafft und hat superUser Rechte dann ist alles möglich. Dem Namen nach könnten die Dateien mal für wordpress gedacht sein.

Ohne den gesamten Server zu sehen muss man sich (leider) auf das verlassen was der Hoster sagt

dastel · Post by **dastel** » Mon 31. Mar 2014, 14:48

andalucia wrote:Nein, nix Wordpress oder sonstige Zusatzmodule, keine Individualprogrammierung etc. Einmal Standard phpwcms 1.5.4
Wie werden da ca 100 Dateien modifiziert? FTP geknackt?

LG

Ich hatte ein vergleichbares problem letzten Sommer! Hatte mir einen Keylogger eingefangen, der alle FTP Passworter ausgelesen hat...

ich kann nur empfehlen den / die Rechner die im System sind platt zu machen und neu aufzusetzen, sonst kommt der Besuch bald wieder

Bei mir waren es übrigens ca. 35 Kundeninstallationen die betroffen waren und bei mir waren nicht nur .js-Dateien betroffen sondern auch .txt, .html, .htm, und .php und das alles bis in die dritte Ordnerebene unterhalb vom Installationsverzeichniss. Nach diesem vorfall bin ich deutlich vorsichtiger geworden. Hat mich über eine Woche gekostet alles wieder ans laufen zu bekommen.

Post by **juergen** » Mon 31. Mar 2014, 21:50

Mein Chrome meckert die erste Seite dieses Foren Beitrags an es würde Malware verbreiten ... ich denke ich nehme die Bilderlinks raus !

Keine Ahnung ob das an der Seite als solches liegt oder was auch immer ..

Post by **juergen** » Mon 31. Mar 2014, 21:53

ja ist der Seitenname...

Arturii · Post by **Arturii** » Thu 27. Nov 2014, 16:13

Kann sowas auch auf Webseiten passieren, die nicht mit phpwcms gebaut sind? Der Internetauftritt meiner kleinen Firma läuft über 1&1. Sind da irgendwelche Fälle bekannt?

Post by **update** » Thu 27. Nov 2014, 16:50

Hab mal den Link zu Heinz und Heinz entfernt.
Nein, das Problem hat nichts mit phpwcms zu tun. Aber wenn der Rest kompromittiert ist, dann kann natürlich auch phpwcms davon betroffen sein...

Post by **juergen** » Thu 27. Nov 2014, 17:11

zudem.. wenn so ein Kasper nach ausführbaren Dateien sucht, wird er immer php und js - files als erste Wahl haben

Webseite gesperrt wg Malwareverbreitung

Re: Webseite gesperrt wg Malwareverbreitung

Re: Webseite gesperrt wg Malwareverbreitung

Re: Webseite gesperrt wg Malwareverbreitung

Re: Webseite gesperrt wg Malwareverbreitung

Re: Webseite gesperrt wg Malwareverbreitung

Re: Webseite gesperrt wg Malwareverbreitung

Re: Webseite gesperrt wg Malwareverbreitung

Re: Webseite gesperrt wg Malwareverbreitung

Re: Webseite gesperrt wg Malwareverbreitung

Re: Webseite gesperrt wg Malwareverbreitung

Re: Webseite gesperrt wg Malwareverbreitung

Re: Webseite gesperrt wg Malwareverbreitung

Re: Webseite gesperrt wg Malwareverbreitung

Re: Webseite gesperrt wg Malwareverbreitung

Re: Webseite gesperrt wg Malwareverbreitung