Hallo,
ich hoffe, dass mein Beitrag hier rein passt.
Ich habe folgendes Problem. Ich habe Webspace auf dem das Script meines Autoreggers liegt. Es werden täglich einige Datein (index.php, config.php u.a.) manipuliert. Es wird immer ein iFrame eingefügt und die Seite ist danach nicht mehr im Internet erreichbar. Jetzt habe ich die manipulierten Datein regelmäßig mit den Backup-Datein wieder ausgetauscht. Ich habe den betroffenen Datein nur die Leseberechtigung (444) gegeben, aber sie werden weiterhin verändert. Der eingefügte iFrame ist immer ein Script aus den Ländern .ru und .sk
Kann mir hier jemand helfen, wie meine Files vor diesen Veränderungen schützen kann? Die Seite läuft auf www.bo4mail.de
Ich danke Euch schonmal!
Gruß
Christian
Hilfe! Datein werden auf dem Server manipuliert?
- boebert
- Erledigt
-
-
alle passwörter ändern! für ftp usw.
ticket an netcup, damit die in die logs schauen.
-
Hast du evtl. irgendnen Script aufn space was die veränderungen ausn netz nachläd? Nen Addon aus soner Quelle oder so?
Ansonsten wirklich mal Support anschreiben die sehen die Logs jaMfG
Andre -
Nein, da ist nichts mit auf dem Server, was etwas nachläd. Ich habe das Ursprungssript (clean und unverändert) auf den Server hochgeladen, aber einen Tag später ist der iFrame wieder drin...
Ich werde auf alle Fälle mal sämtliche Passwörter ändern. -
Solltest du auf alle Fälle.
Eine Frage noch. Das Ursprungs Script ist von dir selbst geschrieben? vielleicht ist diese Manipulation ja genau auf diesem Script heraus geschehen. Ich will da nix unterstellen oder so aber was scripte angeht sollte man wenn man es nicht selbst schreibt schon der Quelle vertrauen können.
Hatte sowas auch schon da lags an nem PHP Script was dateien nachgeladen hat womit versucht wurde halt filesharing zu betreiben.
Echt mal einfach die Scripte durch schauen und sofern das mit den PW ändern nix bringt,der Support in den logs nichts findet,die Scripts mal posten.MfG
Andre -
Nein, das Script ist nicht selber von mir programmiert. Ich habe es fertig gekauft. Das selbe Script,welches ich verwende gibt es aber vielfach, nur mit anderem Design. Ich habe mich auch schon mal in dem Supportforum, wo ich das Script her habe mit anderen Benutzern ausgetauscht, ob da die selben Probleme auftreten. Bisher bin ich der einzigste mit diesem Problem.
-
Wir haben in unserem Forum momentan ein ähnliches Problem. Kontrolliere deinen Rechner mal bitte auf Viren/Trojaner. Bei usnerem Fall war es ein Keylogger. Genauere Auswertung liegt jedoch nicht vor. Das Ändern der FTP Daten brachte da leider nichts. Eine Installation eines Frischen Virenscanners ebenfalls nicht, da dieser sofort wieder deaktiviert wurde. Der Onlinescanner von Kaspersky dekte jedoch einige Dateien auf: http://www.kaspersky.com/de/virusscanner
-
Erfahrungsgemäß wird das Phänomen von Spyware verursacht, die die FTP-Passwörter ausspäht. Die Spyware ist meist in "gecrackter" illegal herunter geladener Software, wie z.B. MS Frontpage, integriert. Dieses ist jetzt bereits mehrfach bei Kunden vorgefallen.
Unser Tipp: Den Arbeits-PC komplett neu aufsetzen, nur Software von bekannten Herstellern nutzen und das FTP-Passwort ändern.
-
Das kuriose ist aber, dass die Änderungen in den Datein immer nachts oder am frühen morgen vorgenommen werden. In dieser Zeit ist mein Rechner nicht angegeschaltet. Also kann diese Änderung nur von außerhalb kommen.
-
Zitat von boebert;8076
Das kuriose ist aber, dass die Änderungen in den Datein immer nachts oder am frühen morgen vorgenommen werden. In dieser Zeit ist mein Rechner nicht angegeschaltet. Also kann diese Änderung nur von außerhalb kommen.
Die Spyware telefoniert nach Russland und dann werden automatisiert die Dateien manipuliert.
-
boebert
Ein beliebter Ansatz sind auch Sicherheitslücken in (meist veralteter Software). Damit meine ich insbesondere WebApps also z.B. Forensoftware oder CMS / Blog-Systeme ....Ansonsten hilft hier ein Dateivergleich, mit einem Backup, um herauszufinden was hinzugekommen/verändert worde ist. (Nur eine Baustelle)
Die jeweilige (Standard-)Software muß dafür nicht aktiv verlinkt sein. Es reicht, wenn Sie als Dateileiche in Deinem Webspace herumliegt, die Tools suchen gerne diverse Standardpfade ab.
-
Oder aber eben werden die FTP Daten nach, in dem Fall Russland, verschcikt und der Bot dann in der nacht gestartet. Der rechner muss damit nicht an sein.
-
Hallo,
ich danke Euch allen für Eure Tips!!
Ich habe das Problem in den Griff bekommen. Ich habe den Rechner neu aufgesetzt und sämtliche Passwörter geändert und seit dem gibt es keine Manipulationen mehr!
Viele Grüße
Christian