Unbekannte Veränderungen machen "alles" unbrauchbar

    Hallo zusammen,


    ich habe seit einigen Tagen - eigentlich seitdem Netcup mit "Attacke" Probleme hat selbst 'komische Probleme' mit meinem Hosting.

    In einem Verzeichnis verändern sich täglich - in machen verzeichnissen sekündlich - die .htaccess-Dateien bzw. werden in sämtlichen Verzeichnissen erstellt und machen ein Aufrufen der Seite unmöglich.

    #Nachtrag: Sekündlich stimmt wohl nicht, wenn ich alles lösche, bleibt alles "gelöscht" und erstellt sich beim ersten Versuch vom Aufrufen der Seite wieder.


    Wenn diese mühselig einzel gelöscht werden, sind diese spätestens am nächsten Tag wieder da.
    Hinzu kommt, dass einige/viele php/html-Dateien ein lange Code vorangestellt ist.

    Von beiden ein Screenshot im Anhang.

    ( Es betriff sehr viele Verzeichnisse und Anwendungen )


    Ich bitte dringend um Hilfe.

    Freundliche Grüße,

    Hast Du ältere Backups, die garantiert noch nicht betroffen sind?


    Falls nicht, ist das meistens ein Kampf gegen Windmühlen. Du weißt nicht, was alles verändert wurde. Das zu 100% manuell zu bereinigen ist schwierig bis unmöglich und erfordert Wissen und Zeit. Eine komplette Neuinstallation ist da meistens schneller und besser.


    Unabhängig davon: Wenn Du ein älteres Backup einspielst, könnte der Angreifer die ausgenutzte Lücke gleich wieder verwenden. Hattest Du alle Updates installiert, auch von Plugins? Kannst Du ausschließen, dass Deine verwendeten Geräte keinen Trojaner drauf haben? FTP-Passwörter u.ä. solltest Du sicherheitshalber sowieso ändern.

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

    Gefällt mir 2
    Zitat von KB19

    Hast Du ältere Backups, die garantiert noch nicht betroffen sind?


    Falls nicht, ist das meistens ein Kampf gegen Windmühlen. Du weißt nicht, was alles verändert wurde. Das zu 100% manuell zu bereinigen ist schwierig bis unmöglich und erfordert Wissen und Zeit. Eine komplette Neuinstallation ist da meistens schneller und besser.


    Unabhängig davon: Wenn Du ein älteres Backup einspielst, könnte der Angreifer die ausgenutzte Lücke gleich wieder verwenden. Hattest Du alle Updates installiert, auch von Plugins? Kannst Du ausschließen, dass Deine verwendeten Geräte keinen Trojaner drauf haben? FTP-Passwörter u.ä. solltest Du sicherheitshalber sowieso ändern.

    BackUps habe ich leider nicht wirklich.. die Backup-Funktion von Netcup konnte ich in diesem Fall auch knicken, haben es nicht geschafft innerhalb von einer Woche auf die Mails zu reagieren bzw. zu agieren.

    Das ganze kommt ist er seit ca. 1 Woche.


    FTP Zugänge sind bereits geändert.

    Updates kann ich keine aufspielen, nutze kein Wordpress o.ä.

    Zitat von ichhalt033

    Alles "neu" geht natürlich nicht

    Leider ist das nicht selten die einzige Option, die am Ende noch übrig bleibt. :(

    Einspielen eines Backups ("Kein Backup - Kein Mitleid" ;)) wird nur dann helfen, wenn es vor dem Hack erstellt wurde und wenn man dann auch die Schwachstelle stopft, die den Hack erlaubt hat.

    In der Regel ist das System so kompromittiert, dass ein einfaches "Bereinigen" nicht mehr klappt.

    Zitat von ichhalt033

    ...nutze kein Wordpress o.ä.

    sondern?

    Zitat von ichhalt033

    Updates kann ich keine aufspielen, nutze kein Wordpress o.ä.

    Wenn das verwendete System keine Updates mehr bekommt und die Lücke nicht "nur" ein geknacktes oder gestohlenes Passwort ist, ist das aber ganz schlecht. Dann muss die Schwachstelle nämlich definitiv erst einmal gesucht werden, weil eine Neuinstallation andernfalls garantiert in wenigen Stunden wieder kompromittiert wird.


    Ich hoffe, dass Du die betroffene Website in Plesk direkt gesperrt bzw. offline genommen hast? (z.B. durch Ändern des Dokumentenstamms im CCP auf einen leeren Ordner)

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

    Zitat von KB19

    Wenn das verwendete System keine Updates mehr bekommt und die Lücke nicht "nur" ein geknacktes oder gestohlenes Passwort ist, ist das aber ganz schlecht. Dann muss die Schwachstelle nämlich definitiv erst einmal gesucht werden, weil eine Neuinstallation andernfalls garantiert in wenigen Stunden wieder kompromittiert wird.


    Ich hoffe, dass Du die betroffene Website in Plesk direkt gesperrt bzw. offline genommen hast? (z.B. durch Ändern des Dokumentenstamms im CCP auf einen leeren Ordner)

    Ich weiß ja nicht woher das Problem kommt - nur das alle Verzeichnisse betroffen sind

    Zitat von ThomasChr

    Naja, du weißt doch schonmal dass die Dateien beim aufrufen der Seite wieder erzeugt werden. Das heißt diese Seite hat den Viruscode drin. Was ist es denn für eine Seite? Welche Technologie nutzt sie wenn nicht Wordpress?

    Wenn hinter html/php/js wordpress steckt, dann "nutze ich das wohl auch" aber nie bewusst davon etwas installiert..


    #Nachtrag: Wordpress-Plugin im CCP ist nicht aktiviert

    Ok, anders gefragt: Wer hat das verwendete System programmiert? Oder von wo hast Du das ursprünglich heruntergeladen? Wer hat das installiert?

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

    Zitat von ichhalt033

    PHP

    Und das muss von irgendwo her sein bzw. von irgendwem programmiert worden sein. Hat das einen Namen und ist öffentlich verfügbar? Oder ist das selbst programmiert bzw. von einem Unternehmen eingekauft?

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

    Zitat von KB19

    Und das muss von irgendwo her sein bzw. von irgendwem programmiert worden sein. Hat das einen Namen und ist öffentlich verfügbar? Oder ist das selbst programmiert bzw. von einem Unternehmen eingekauft?

    Teilweise gekauft, teilweise selbstprogrammiert. Nur über Netcup Web-Editor oder Filezilla.

    Zitat

    Teilweise gekauft, teilweise selbstprogrammiert


    War das eine Firma? Wie heißt sie?

    War das ein "Webdesigner"/"Webprogrammierer"? Gibt es Kontaktdaten zu ihnen? Falls du sie nicht nennen möchtest: kontaktiere sie zumindest und beschreibe das Problem.


    Zitat

    Nur über Netcup Web-Editor oder Filezilla.


    Bedeutet das, dass du Änderungen über diese Tools an dem Code durchgeführt hast?


    Zu meinen PHP Zeiten habe ich relativ viel von php-einfach gelernt. Ins besondere sei https://www.php-einfach.de/experte/php-sicherheit/ erwähnenswert für mögliche Sicherheitslücken.

    Zitat

    BackUps habe ich leider nicht wirklich.. die Backup-Funktion von Netcup konnte ich in diesem Fall auch knicken, haben es nicht geschafft innerhalb von einer Woche auf die Mails zu reagieren bzw. zu agieren.


    Ich bin mir nicht sicher, aber unterstützt das WCP nicht automatische Backups: https://helpcenter.netcup.com/…backup-wiederherstellung/ Du solltest aber schnell sein wenn es nur 7 tage alte Backups sind.


    Ich denke, dass es aber auch einen "BACKUP MANAGER" im WCP gibt, habe persönlich kein Webhosting aber administriere eine Website die ein Webhosting hier nutzt. WCP unter Konto>Website sichern könnte eventuell ein automatisiertes Backup eingerichtet sein, falls es irgendjemand eingerichtet hat.

    Manchen soll WordFence geholfen haben https://wordpress.org/support/…-automatic-in-all-folder/

    Ja, das WCP unterstützt sowas. Aber natürlich muss es eingerichtet werden. Und das hört sich ja nicht unbedingt danach an. Aber nachschauen schadet sicher nichts, vorhandene Backups werden aufgelistet im Backup-Manager. Ich habe gerade mal ein Backup auf "Serverspeicher" gemacht. Ging relativ schnell, waren auch nur 30 GB in meinem Webhosting 8000. Das könnte ich jetzt z.B. runterladen und lokal sichern oder wo auch immer. Man kann das Backup auch direkt auf Remote Speicher machen, allerdings nur per FTP oder FTPS. Aber immerhin. Also mal nachschauen.