Moin!

heute morgen bin ich aus allen Wolken gefallen. Nach dem Aufruf meiner Internetseiten, wird eine Verbindung nach ultimatecomfort . ru aufgebaut und Java gestartet und ein Dateidownload begonnen.

Ein Blick in den Quelltext offenbarte Wahnsinniges: Nach dem </html> Tag wurde ein Script eingefügt:
[...]
Und das auch noch auf allen Seiten (egal ob *.php oder *.html), die in meinem Vertragsverzeichnis sich befinden.
Wie kann denn soetwas passieren? Die Daten auf meiner Festplatte sind sauber und nach einem neuen Upload war auch nichts mehr davon zu sehen.

Ändere unbedingt dein FTP-Passwort. Und dann sei so nett und nenne hier mal öffentlich dein altes Passwort. Dann kann man abschätzen, ob dieses Passwort sicher oder leicht erratbar war.

Du bist innerhalb von relativ kurzer Zeit der dritte oder vierte Webspace-Inhaber, der sich hier im Forum mit einer infizierten Website meldet. Das kann nicht alles aufgrund von irgendwelchen Sicherheitslücken in verwendeten PHP-Skripten passieren, sondern dürfte eher an mangelnder Passwortsicherheit liegen.

Wenn du dein Passwort hier nennst und es sich als unsicher erweist, kann dein Fall für die Zukunft wenigsten als Demonstrationsbeispiel dienen für alle anderen, die noch kommen werden.

- Sven Rautenberg