| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Schädlicher Quellcode in PHP-Dateien auf FTP-Server hinzugefügtWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
15.06.2014, 08:49
| #1 | |
| |  Schädlicher Quellcode in PHP-Dateien auf FTP-Server hinzugefügt Hallo, Ich habe von meinem Hosting-Provider eine E-Mail erhalten, dass bei einem routinemäßigen Virenscan Dateien mit Schadcode gefunden wurden. Betroffen sind nach näherer Analyse alle PHP-Skripte auf meiner Homepage, die entweder das Schlüsselwort index oder login im Dateinamen beinhalten. Laut meinem Provider sind 2 mögliche Ursachen denkbar: 1) Sicherheitslücken in oft nicht aktualisierten Scripten wie CMS, Shop, Forum, Gästebücher usw. 2) Befall mit Schadcode auf dem PC, mit dem die Webseite bearbeitet wurde. Die Webseite (von einem Verein) bearbeite ausschließlich ich - also wäre im Fall 2 wohl mein PC betroffen. In den betroffenen Seiten habe ich tatsächlich Code gefunden, der definitiv nicht von mir stammt und ans unveränderte Ende meines Codes angehängt wurde: Option 1 (Sicherheitslücken in Skripten) halte ich für nicht so realistisch, da keine der betroffenen Dateien Formulare mit Eingabemöglichkeiten für den Benutzer beihalteten. Das Gästebuch (einzige Eingabemöglichkeit) war nicht betroffen. Einige der veränderten Seiten liegen zudem in geschützten Bereichen. Ich halte es für wahrscheinlicher, dass jemand automatisiert (ansonsten wäre denke ich kein Muster bei den Dateinamen erkennbar) direkt über den FTP-Account die betroffenen PHP-Skripte verändert hat. Ein Beispiel für den hinzugefügten Code: Zitat:
1) Provider wurde gehacked so dass Angreifer Zugriff auf die kompletten Webserver haben (in meinen Augen unwahrscheinlich, da andere Seiten die ich beim gleichen Provider hoste nicht betroffen sind) 2) Jemand hat die Zugangsdaten zu meinem FTP-Account "erraten" 3) Ich habe einen Trojaner auf meinem Rechner, über den jemand die Zugangsdaten ausgespäht hat Ich habe einen Virenscan mit aktuellster Kaspersky-Version laufen lassen - nichts gefunden. Zusätzlich ahbe ich einmal Trojan Remover laufen lassen - da wurde einiges an AdWare umbenannt, aber Hinweise auf einen Trojaner konnte ich auch da nicht finden. Der erste Schritt wäre nun ja erst mal das Passwort für den FTP-Account zu ändern, aber das macht denke ich ja nur Sinn, wenn sichergestellt ist, dass das geänderte Passowrt nicht gleich wieder ausgespäht wird. Reichen Kaspersky und Trojan Remover aus, um sicherzustellen, dass ich keinen Trojaner habe? Oder wäre es generell ratsam, zur Sicherheit den ganzen PC platt zu machen? Können eigentlich "normale" Dateien (Dokumente wie Word, Excel, PPT, Videodateien, Bilder, ...) auch von einem möglichen Trojaner infiziert sein? Oder legt sich ein Trojaner gewöhnlich eher in andere Dateien (Betriebssystem-Dateien, ...) so dass ich bedenkenlos nochmal die wichtigsten Dateien auf eine Festplatte ziehen könnte falls ich den Rechner neu installieren muss? (Hintergrund: mein letztes Datei-Backup ist erstens 2-3 Wochen alt und somit würde etwas verloren gehen, und außerdem kann ich ja nicht sagen, ob ich vor diesen 2-3 Wochen bereits den Trojaner hatte) Viele Grüße, Metallica81 |
| Themen zu Schädlicher Quellcode in PHP-Dateien auf FTP-Server hinzugefügt |
| adware, agent, befall, bilder, dateien, e-mail, excel, festplatte, forum, hintergrund, homepage, infiziert, neu, nichts, passwort, rechner, remote, remover, scan, seiten, server, sicherheitslücke, trojaner, trojaner; php; schadcode, webseite, zugriff, ändern |
Baum-Darstellung