|
Schädlicher Quellcode in PHP-Dateien auf FTP-Server hinzugefügt Hallo, Ich habe von meinem Hosting-Provider eine E-Mail erhalten, dass bei einem routinemäßigen Virenscan Dateien mit Schadcode gefunden wurden. Betroffen sind nach näherer Analyse alle PHP-Skripte auf meiner Homepage, die entweder das Schlüsselwort index oder login im Dateinamen beinhalten. Laut meinem Provider sind 2 mögliche Ursachen denkbar: 1) Sicherheitslücken in oft nicht aktualisierten Scripten wie CMS, Shop, Forum, Gästebücher usw. 2) Befall mit Schadcode auf dem PC, mit dem die Webseite bearbeitet wurde. Die Webseite (von einem Verein) bearbeite ausschließlich ich - also wäre im Fall 2 wohl mein PC betroffen. In den betroffenen Seiten habe ich tatsächlich Code gefunden, der definitiv nicht von mir stammt und ans unveränderte Ende meines Codes angehängt wurde: Option 1 (Sicherheitslücken in Skripten) halte ich für nicht so realistisch, da keine der betroffenen Dateien Formulare mit Eingabemöglichkeiten für den Benutzer beihalteten. Das Gästebuch (einzige Eingabemöglichkeit) war nicht betroffen. Einige der veränderten Seiten liegen zudem in geschützten Bereichen. Ich halte es für wahrscheinlicher, dass jemand automatisiert (ansonsten wäre denke ich kein Muster bei den Dateinamen erkennbar) direkt über den FTP-Account die betroffenen PHP-Skripte verändert hat. Ein Beispiel für den hinzugefügten Code: Zitat:
1) Provider wurde gehacked so dass Angreifer Zugriff auf die kompletten Webserver haben (in meinen Augen unwahrscheinlich, da andere Seiten die ich beim gleichen Provider hoste nicht betroffen sind) 2) Jemand hat die Zugangsdaten zu meinem FTP-Account "erraten" 3) Ich habe einen Trojaner auf meinem Rechner, über den jemand die Zugangsdaten ausgespäht hat Ich habe einen Virenscan mit aktuellster Kaspersky-Version laufen lassen - nichts gefunden. Zusätzlich ahbe ich einmal Trojan Remover laufen lassen - da wurde einiges an AdWare umbenannt, aber Hinweise auf einen Trojaner konnte ich auch da nicht finden. Der erste Schritt wäre nun ja erst mal das Passwort für den FTP-Account zu ändern, aber das macht denke ich ja nur Sinn, wenn sichergestellt ist, dass das geänderte Passowrt nicht gleich wieder ausgespäht wird. Reichen Kaspersky und Trojan Remover aus, um sicherzustellen, dass ich keinen Trojaner habe? Oder wäre es generell ratsam, zur Sicherheit den ganzen PC platt zu machen? Können eigentlich "normale" Dateien (Dokumente wie Word, Excel, PPT, Videodateien, Bilder, ...) auch von einem möglichen Trojaner infiziert sein? Oder legt sich ein Trojaner gewöhnlich eher in andere Dateien (Betriebssystem-Dateien, ...) so dass ich bedenkenlos nochmal die wichtigsten Dateien auf eine Festplatte ziehen könnte falls ich den Rechner neu installieren muss? (Hintergrund: mein letztes Datei-Backup ist erstens 2-3 Wochen alt und somit würde etwas verloren gehen, und außerdem kann ich ja nicht sagen, ob ich vor diesen 2-3 Wochen bereits den Trojaner hatte) Viele Grüße, Metallica81 |
hi, Bitte lade dir die passende Version von Farbar's Recovery Scan Tool auf deinen Desktop:  FRST 32-Bit | FRST 64-Bit(Wenn du nicht sicher bist: Lade beide Versionen oder unter Start > Computer (Rechtsklick) > Eigenschaften nachschauen)
|
Hallo, Ist erledigt. Hier die FRST.txt von meinem normalen Windows-Account, mit dem ich auch den FTP-Zugang verwende: FRST Logfile: Code: Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version:12-06-2014 02Und noch Addition.txt: Code: Additional scan result of Farbar Recovery Scan Tool (x86) Version:12-06-2014 02Soll ich das Ganze auch nochmal mit dem Admin-Account laufen lassen, oder reicht das so aus? Viele Grüße, Metallica81 |
Unsere Tools brauchen immer Adminrechte. XP? Ernsthaft? Du weißt darüber Bescheid? Adware & Co. deinstallieren
Solltest Du ein Programm nicht finden oder nicht deinstallieren können, mache bitte mit dem nächsten Schritt weiter: Downloade dir bitte  Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.
Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers |
Vielen Dank für die weiteren Tipps. Revo Uninstaller wurde wie beschrieben ausgeführt. Die betroffenen Attention-Installationen wurden alle deinstalliert. mbar.exe wurde ausgeführt. Es kam eine Meldung, dass kein CleanUp erforderlich ist. Die Log-Einträge: Code: Malwarebytes Anti-Rootkit BETA 1.07.0.1012Durchsucht mbar.exe wirklich wenn ich es mit dem Administrator-Account ausführe auch alle Dateien von dem Account, mit dem ich normalerweise arbeite und mit dem ich auch das betroffene FTP-Programm nutze? Hintergrund meiner Frage: In der Log-Datei sieht man ja, dass mbar.exe 404.965 Objekte gescannt hat. Kaspersky Internet Secuity hat aber gestern 669.104 Dateien durchsucht. Viele Grüße, Metallica81 |
ein echtes AV Programm durchsucht jeden Scheiss der Festplatte bei einem Deepscan. Ein spezielles Tool wie ein Rootkit Scanner wird zb die Privat-Filmchen mit der Liebsten aussen vor lassen. Die können zwar auch schön oder erschreckend sein, enthalten aber bestimmt kein Rootkit :blabla: Aber Du kannst den Scan gerne im betroffenen Account wiederholen. |
Bedeutet der mbar-Scan ohne Fund, dass der PC wirklich sauber ist, oder muss ich noch irgendwas unternehmen um sicherzugehen? Dann könnte ich ja einfach das FTP-Passwort ändern und alles wäre wieder OK... Wie kommt denn jemand so gezielt auf meinen FTP-Account wenn ich keinen Trojaner habe. Oder ist es theoretisch möglich, dass mein Kaspersky den Trojaner inzwischen beseitigt hat, aber vorher schon etwas passiert war? |
Theoretisch möglich ist alles. man brauch auch kein FTP Passwort um ne Seite zu hacken. Ich kann dir nur sagen dass der Rechner sauber ist laut Logfiles. |
Vielen Dank für die Hilfe! Habe eine kleine Spende da gelassen. |
Gern Geschehen :) |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 03:37 Uhr. |
Copyright ©2000-2025, Trojaner-Board