Alle Dateien auf Server geändert?

Internet Internet Sicherheit
#1

Hi,

ich habe da eine Frage:

Auf meinem Webspace liegen 2 Seiten.

Heute Morgen, um ca. 5 Uhr wurden fast alle PHP und js dateien bearbeitet. Kam mir erst mal komisch vor. Als ich sie mir ansah, wusste ich auch was geändert wurde. Es wurde ein böses script eingeschlossen.

jetzt mal meine Frage.

welche Möglichkeiten und Sicherheitslücken gibt es, um ohne FTP Zugang auf die Dateien zu kommen und direkt auf dem Server zu bearbeiten?

Ich habe jetzt mal alle Passwörter geändert. Hoffe das recht erstmal.

#2

Hallo Artur,

Zu:

„welche Möglichkeiten und Sicherheitslücken gibt es, um ohne FTP Zugang auf die Dateien zu kommen und direkt auf dem Server zu bearbeiten?“

Diverse. Von Fehlern in der Rechtevergabe, Fehlern in installierten Programmen, Konfigurationsfehler, Kennwortvergabe usw. Über die Absicherung von Servern gibt eine Vielzahl von dicken und lesenswerten Büchern.

Zu:

„Ich habe jetzt mal alle Passwörter geändert. Hoffe das recht erstmal“

NEIN. Nur eine komplette Neuinstallation bringt dir und den Besuchern die notwendige Sicherheit, daß das System nicht weiterhin kompromitiert ist. In der Regel bringt die Änderung der Passworte wenig bis nichts (schadet natürlich niemals). Gehe davon aus, daß es sich nur noch formal um dein System handelt.

Dannach solltest du natürlich auch die Sicherheit des Server überprüfen (lassen).

Genaueres läßt sich angesichts fehlender Detailinformationen nicht sagen.

Grüße

godam

#3

Hallo,

ich vermute mal, da ist jemand über eine alte cms installation eingestiegen, das passiert, wenn man seinen kram nicht pflegt.

Also Logs sichten, software updaten und am besten jemand ransetzen, der ahnung hat…

hth

#4

Hallo,

niemand weiß, ob die veränderten Dateien nicht nur ein Erscheinungsbild sind oder ob es nicht bereits ein rootkit u.ä. installiert wurde. Die Integrität des System ist nicht mehr gewährleistet. Eine Neuinstallation ist einzig vernünftige Weg.

Man darf ja nicht vergessen, daß nicht nur der Betreiber dieser Internetpräsenz das Opfer ist, die Besucher dieser Seite sind ja ebenso gefährdet.

Da aber nach wie vor niemand weiß, um was es sich bei dem „Webspace“ handelt, wo und wie das Ganze läuft, welche Version welches Betriebssystems vorhanden ist usw. kann man keine weitergehenden hilfreichen Ratschläge geben.

Grüße

godam

#5

Hallo,

daher der tipp jemand ranzusetzen, der Ahnung hat :wink:

hth