hirschnr.1 Geschrieben 21. Juli 2009 Teilen Geschrieben 21. Juli 2009 Hallo zusammen, leider bin ich absolut kein IT-Experte, aber ich versuche mal, mein Problem möglichst genau zu beschreiben. Etwa am 18.6. führte der Aufruf unserer Domain, die bei Strato gehostet ist (samt Shop, befallen war allerdings nur der Index der html-Webseite) zur Firefox-Meldung, dies sei eine als attackierend gemeldete Seite; ich erhielt eine Warnmeldung von Google mit der Aufforderung zur Überprüfung und Ursachenbeseitigung. Bei Ansicht des Quelltextes von index.html fand ich ein Skript vor </head> (später auch zwischen Head und Body oder am Anfang von Body). Ich habe ein gif angehängt, dass das Skript zeigt. Bei Aufruf unserer Seite marschierte der Firefox dann auf eine chinesische Seite, die allerdings immer mal wieder wechselt. Laut der letzten Google-Warnung gehts nach hit-senders.cn. Ich habe daraufhin das FTP-Passwort geändert, meinen PC (einmal mehr) auf Viren gescannt (Sophos fand Mal/WaledPakA und Mal/EncPk-HJ) und gereinigt und index.html in alter Form wieder hochgeladen, Google erfolgreich um Review gebeten und mich in Sicherheit gewähnt. Das Gefühl trog: Paar Tage später war das Skript wieder auf index.html – ohne dass in der Zwischenzeit von mir etwas hochgeladen worden wäre! Google hat jetzt alle vier URLs und zusätzlich die shop…-URLs mit der Meldung „Als attackierend gemeldete Website!“ versehen. Strato sagt natürlich gar nix zu der Sache, außer, dass wir den Siteguard aktivieren sollen, was wir (nebst erneuter Reinigung und nochmaligem Ändern des Passwortes) gemacht haben. Problem ist, dass beim letzten Mal drei Wochen vergangen sind, bis das Ding wiederkam. Sicher kann man sich also nicht sein.... diverse IT-Freunde von mir sind nun der Meinung, dass das Ding serverseitig attackiert wird, da wir ja selber beim letzten Mal keine Änderung vorgenommen haben... Für sachdienliche Hinweise wäre ich Euch sehr dankbar :-) VG, Steffi Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
bigvic Geschrieben 21. Juli 2009 Teilen Geschrieben 21. Juli 2009 Vielleicht hat der Shop oder ein anderes ausführbares Script auf deinem Auftritt eine Sicherheitslücke, die es erlaubt Dateien zu verändern. Da brauchts kein FTP-Zugang. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Crash2001 Geschrieben 21. Juli 2009 Teilen Geschrieben 21. Juli 2009 Oder aber der Webserver ist selber nicht sicher, so dass jemand schön bequem durch eine Hintertüre auf den Server kommt und in aller Ruhe die Dateien ändern/tauschen kann. Habt ihr da einen Rootserver/VServer, oder nur Webspace gemietet? Falls ersteres, den Server mal auf Rootkits und sonstige Schadsoftware scannen (gibts je nach Betriebssystem diverse Tools für). Falls nur gemieteter Webspace, dann mal den Anbieter anschreiben, dass er den Server überprüfen soll auf Einbruchsversuche o.ä. (oder direkt neu aufsetzen). Klar gibt es auch immer Sicherheitslücken in Scripten (da evtl mal, falls kommerzielle Software verwendet wird, den Anbieter kontaktieren, ob das Problem evtl bekannt ist und um einen Patch bitten) und einiges kann man auch selber schnell beheben (z.B. Abfragen überprüfen, ob sie gültige Werte enthalten, Dateiberechtigungen setzen, ...). Da hängts dann aber natürlich vom Script und den eigenen Fähigkeiten ab (falls z.B. der Webshop nicht direkt von Strato angeboten wird). Alleine schon dadurch, dass du die Dateien auf schreibgeschützt setzt, kann man da einiges verhindern. Wenn der Webserver in den Dateien nichts reinschreiben muss, sondern nur in eine Datenbank, dann sollte er auch keine Berechtigung dafür haben. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.