heinetz: Seite infiziert

Beitrag lesen

SELF-Forum

Seite infiziert

heinetz
Informationen zu den Bewertungsregeln

Hallo Forum,

ich bin vor Kurzem erstmals damit konfrontiert worden. Mein neuer Kunde meinte, seine Website sei in der Vergangenheit mal gehacked worden, worunter ich mir zuerst mal nichts vorstellen konnte. Einige Zeit später schien es einen erneuten Angriff gegeben zu haben. Er schickte mir einen Screenshot der Site zu auf dem ein Layer zu sehen war, auf dem ein Link zu sehen war ("Update Your VEOH-Player"). Beim Aufruf der Site mit meinem Browser wurde der Link dann auf angezeigt. Nach einem Blick in den Quellcode konnte ich dann das für den Layer verantwortliche Javascript sehen also machte ich mich auf die Suche in den Sourcefiles und fand Code, den ich nicht eingebaut hatte. Jemand anders musste sich also per FTP auf dem Server angemeldet und den Code in dem betreffenden File eingebaut haben, also die FTP-Zugangsdaten gehabt haben. Ich habe den Code entfernt und der Layer wurde nicht mehr angezeigt. Wenige Tage später passierte das selbe nochmal. Etwas Recherche und ich las von irgendwelchen Botnetzen und schlussfolgerte dass die FTP-Zugangdaten wohl irgendwann mal in die falschen "Hände" geraten waren. Due Zugangsdaten geändert und das Phänomen trat seit dem nicht wieder auf.

Jetzt weiss ich, was es bedeutet, wenn eine Website gehacked wird. (Ja?)

Nun bekomme ich gerade eine Mail von einem anderen Kunden. Der hat einen ähnlichen Screenshot von einem anderen Kunden bekommen.

Was kann ich tun, um die Sache aufzuklären?
Kann es sein, dass hier nicht die Site sondern der Client infiziert ist?

Was ich bisher getan habe:

1. Wenn ich die Site mit meinem Browser (OS X Firefox 27.0.1) aufrufe, wird der Layer nicht angezeigt. Auf mit dem IE9 auf meiner virtuellen Maschine nicht.

2. Im Quellcode finde ich auf keinen Content, der da nicht hingehört.

3. Ich habe diverse Security-Check-Seiten im Netz gefunden:

  • https://www.virustotal.com
  • http://www.unmaskparasites.com
  • http://sitecheck3.sucuri.net
  • http://safeweb.norton.com

Keine findet irgendetwas. Ist das verlässlich?

Was kann ich noch tun / was kann ich resümieren?

danke für Tipps und

beste gruesse,
heinetz

Beitrag melden
Informationen zu den Bewertungsregeln
0 16

Seite infiziert

heinetz
  • projektverwaltung
  1. 0
    M.
    1. 0
      heinetz
      1. 0
        Tom
        1. 0
          heinetz
          1. 0
            Texter mit x
            1. 0
              heinetz
              1. 0
                heinetz
              2. 0
                Texter mit x
                1. 0
                  Tom
                  1. 0
                    Texter mit x
      2. 0
        M.
  2. 0

    archivierter Thread

    1UnitedPower
    • zur info
  3. 0
    Bobby
  4. 0
    1UnitedPower
    1. 0
      heinetz