Website mit Malware infiziert

Metapher · 12. November 2019 um 19:07

Hallo Experten,

mein (berufliche) website wurde von einer inzwischen nicht unbekannten tschechischen Quelle („jafi…“) infiziert. Die Seite wurde in Folge auch von google gesperrt und mit der üblichen Warnmeldung versehen.

Ok, ich werde das reparieren. Code löschen und neu hochladen. Der Angriff bestand in einem Eintrag mit einem „.php“-Link im Quellcode der Seiten. Was diese Malware anrichtete bei den Besuchern meiner Seite, weiß ich leider nicht. Meine Fragen sind nun folgende:

Wie kommt jemand in den Quellcode hinein? Muß er dazu einen Zugang zu dem Server meines Vertrauens haben? D.h. muß er dazu mein dortiges PW geknackt haben?
Und wenn ja. Auf welchem Wege könnte er an dieses PW gekommen sein? Reicht es, das PW zu ändern?

Danke im Voraus für Antwort
Gruß
Metapher

Anonym_9ef2f4f04a3e · 12. November 2019 um 19:07

Passwörter ändern

Ok, ich werde das reparieren. Code löschen und neu hochladen.
Der Angriff bestand in einem Eintrag mit einem „.php“-Link im
Quellcode der Seiten. Was diese Malware anrichtete bei den
Besuchern meiner Seite, weiß ich leider nicht. Meine Fragen
sind nun folgende:

Wie kommt jemand in den Quellcode hinein? Muß er dazu einen
Zugang zu dem Server meines Vertrauens haben? D.h. muß er dazu
mein dortiges PW geknackt haben?

Oder irgendwelche Lücken.

Und wenn ja. Auf welchem Wege könnte er an dieses PW
gekommen sein?

Z.b. mit einem Trojaner auf deinem PC.

Reicht es, das PW zu ändern?

Bei uns hat es gereicht. Und zwar in ziemlich kryptisches Zeug.

Gruß

Stefan

Danke im Voraus für Antwort
Gruß
Metapher

Allesquatsch · 12. November 2019 um 19:08

Hallo Metapher,

Wie kommt jemand in den Quellcode hinein? Muß er dazu einen
Zugang zu dem Server meines Vertrauens haben? D.h. muß er dazu
mein dortiges PW geknackt haben?

Üblicherweise nein.

Die häufigste Ursache ist die Installation von irgendwelchen Standardplattformen oder deren Add-Ons. Ich tippe also mal darauf, dass auf Deiner Webseite irgendeine CMS-, Foren-, Galerie- oder sonstwas Software hattest. Sogar in bestimmten Versionen von PHP selbst sind schon Fehler entdeckt worden, über die man Code zur Ausführung unterschieben konnte.

Über solche Programmierfehler kommt man auf die Systemebene, ohne vorher Dein Kennwort zu kennen. Das Kennwort für den Websitezugang sollte deshalb ein anderes sein, denn sonst kann man nicht mal mehr selbst den Fehler ausmerzen.

Für Privatanwender ist es deshalb ratsam, möglichst statische Webseiten zu bauen, die das Risiko nicht haben, dass auf dem Webserver anfällige Prozesse laufen. Es bedarf regelmäßiger Überwachung und der zeitnahen Integration von Sicherheitsupdates, wenn man auf dem Server laufende Komponenten integrieren muss.

Ciao, Allesquatsch

Anonym_cba4bf · 12. November 2019 um 19:08

Hallo,

alles hat dir da ja schon viel erzählt, um genauer was zu sagen wäre es hilfreich, wenn du uns sagst, was du verwendest. also ein cms, statische seiten und ob du nur das hosting der seite oder den ganzen server hast.
guck dir mal den timestamp der datein an und dann ins log, was du da siehst, das hilft meistens schon bei der fehlersuche.

allgemein kann man aber sagen, dein system ist unsicher aktuell, du musst rausfinden, wie sie reingekommen sind und das beheben.

hth

PS: jede software immer auf dem aktuellen stand halten, das gibt für den desktop, server und oder webseite

fribbe · 12. November 2019 um 19:08

Hallo Metapher,

wenn ein - vor allem beruflich genutzer Server - einmal kompromitiert wurde, sollte dieser komplett neu aufgesetzt werden. Dies bist du dir und deinen Kunden schuldig.

Kein Mensch weiß, welche Schadsoftware nachgeladen wurde, wie denn der Status des Systems wirklich ist.

Zu:

„Wie kommt jemand in den Quellcode hinein? Muß er dazu einen Zugang zu dem Server meines Vertrauens haben?“

Ja, irgendeinen Zugang muß der Angreifer haben und hatte ihn ja.
Nein, „das“ Passwort mußte er nicht haben. Wird er aber wohl inzwischen.

Zu:

„Ok, ich werde das reparieren. Code löschen und neu hochladen. Der Angriff bestand in einem Eintrag mit einem „.php“-Link im Quellcode der Seiten.“

Dies reicht nicht aus.

Es ist außerordentlich komplex, ein infiziertes System zu säubern. Der Zeitaufwand lohnt sich in der Regel nicht, da eine Neuinstallation wesentlich schneller vonstatten geht und die einzige sichere Option ist.

Bei entsprechenden Datensicherungen dauert dies ja nicht länger als ein oder zwei Stunden.

Aktuell kannst dir ja nicht einmal mehr sicher sein, daß die Logeinträge korrekt sind.

Tools wir „rkhunter“ könnten hilfreich sein, aber auch hier gibt es keine 100-prozentige Gewißheit, daß das System sauber ist.

Grüße

fribbe

Metapher · 12. November 2019 um 19:09

Danke an …
… alle für die nützlichen Hinweise.

Gruß
M.