Hilfe! Datein werden auf dem Server manipuliert?

    Hallo,

    ich hoffe, dass mein Beitrag hier rein passt.

    Ich habe folgendes Problem. Ich habe Webspace auf dem das Script meines Autoreggers liegt. Es werden täglich einige Datein (index.php, config.php u.a.) manipuliert. Es wird immer ein iFrame eingefügt und die Seite ist danach nicht mehr im Internet erreichbar. Jetzt habe ich die manipulierten Datein regelmäßig mit den Backup-Datein wieder ausgetauscht. Ich habe den betroffenen Datein nur die Leseberechtigung (444) gegeben, aber sie werden weiterhin verändert. Der eingefügte iFrame ist immer ein Script aus den Ländern .ru und .sk

    Kann mir hier jemand helfen, wie meine Files vor diesen Veränderungen schützen kann? Die Seite läuft auf www.bo4mail.de

    Ich danke Euch schonmal!

    Gruß
    Christian

    alle passwörter ändern! für ftp usw.


    ticket an netcup, damit die in die logs schauen.

    Logic will take you from A to B. Imagination will take you everywhere.(A.Einstein)
    Nur wer sein Ziel kennt findet auch den Weg!

    Hast du evtl. irgendnen Script aufn space was die veränderungen ausn netz nachläd? Nen Addon aus soner Quelle oder so?
    Ansonsten wirklich mal Support anschreiben die sehen die Logs ja


    MfG
    Andre

    Nein, da ist nichts mit auf dem Server, was etwas nachläd. Ich habe das Ursprungssript (clean und unverändert) auf den Server hochgeladen, aber einen Tag später ist der iFrame wieder drin...

    Ich werde auf alle Fälle mal sämtliche Passwörter ändern.

    Solltest du auf alle Fälle.
    Eine Frage noch. Das Ursprungs Script ist von dir selbst geschrieben? vielleicht ist diese Manipulation ja genau auf diesem Script heraus geschehen. Ich will da nix unterstellen oder so aber was scripte angeht sollte man wenn man es nicht selbst schreibt schon der Quelle vertrauen können.
    Hatte sowas auch schon da lags an nem PHP Script was dateien nachgeladen hat womit versucht wurde halt filesharing zu betreiben.
    Echt mal einfach die Scripte durch schauen und sofern das mit den PW ändern nix bringt,der Support in den logs nichts findet,die Scripts mal posten.


    MfG
    Andre

    Nein, das Script ist nicht selber von mir programmiert. Ich habe es fertig gekauft. Das selbe Script,welches ich verwende gibt es aber vielfach, nur mit anderem Design. Ich habe mich auch schon mal in dem Supportforum, wo ich das Script her habe mit anderen Benutzern ausgetauscht, ob da die selben Probleme auftreten. Bisher bin ich der einzigste mit diesem Problem.

    Wir haben in unserem Forum momentan ein ähnliches Problem. Kontrolliere deinen Rechner mal bitte auf Viren/Trojaner. Bei usnerem Fall war es ein Keylogger. Genauere Auswertung liegt jedoch nicht vor. Das Ändern der FTP Daten brachte da leider nichts. Eine Installation eines Frischen Virenscanners ebenfalls nicht, da dieser sofort wieder deaktiviert wurde. Der Onlinescanner von Kaspersky dekte jedoch einige Dateien auf: http://www.kaspersky.com/de/virusscanner

    Erfahrungsgemäß wird das Phänomen von Spyware verursacht, die die FTP-Passwörter ausspäht. Die Spyware ist meist in "gecrackter" illegal herunter geladener Software, wie z.B. MS Frontpage, integriert. Dieses ist jetzt bereits mehrfach bei Kunden vorgefallen.


    Unser Tipp: Den Arbeits-PC komplett neu aufsetzen, nur Software von bekannten Herstellern nutzen und das FTP-Passwort ändern.

    Das kuriose ist aber, dass die Änderungen in den Datein immer nachts oder am frühen morgen vorgenommen werden. In dieser Zeit ist mein Rechner nicht angegeschaltet. Also kann diese Änderung nur von außerhalb kommen.

    Zitat von boebert;8076

    Das kuriose ist aber, dass die Änderungen in den Datein immer nachts oder am frühen morgen vorgenommen werden. In dieser Zeit ist mein Rechner nicht angegeschaltet. Also kann diese Änderung nur von außerhalb kommen.


    Die Spyware telefoniert nach Russland und dann werden automatisiert die Dateien manipuliert.

    boebert
    Ein beliebter Ansatz sind auch Sicherheitslücken in (meist veralteter Software). Damit meine ich insbesondere WebApps also z.B. Forensoftware oder CMS / Blog-Systeme ....


    Ansonsten hilft hier ein Dateivergleich, mit einem Backup, um herauszufinden was hinzugekommen/verändert worde ist. (Nur eine Baustelle)


    Die jeweilige (Standard-)Software muß dafür nicht aktiv verlinkt sein. Es reicht, wenn Sie als Dateileiche in Deinem Webspace herumliegt, die Tools suchen gerne diverse Standardpfade ab.

    Hallo,

    ich danke Euch allen für Eure Tips!!

    Ich habe das Problem in den Griff bekommen. Ich habe den Rechner neu aufgesetzt und sämtliche Passwörter geändert und seit dem gibt es keine Manipulationen mehr!

    Viele Grüße
    Christian