[Dringend/Problem] Automatisches ertellen von .htaccess und ändern von .php-files

  • Guten Abend zusammen,

    vorab: Das ist etwas länger und ein intensiveres Thema. Sollte hhier jemand dabei sein, der mit einen Tipp gibt, wie ich das Löse, für den setzte ich 100€ "Kopfgeld" / Belohnung aus!

    ich habe seit längerer Zeit ein Problem auf einem Netcup-Custon, aber der Support - inzwischen glaube ich hat keine Lust mehr zu helfen.
    Anfangs hieß es noch, dass allderdings etwas nicht stimmt und einige Einstellungen verändert wurden, inzwischen bekomme ich keine brauchbaren Antworten mehr.

    Es geht um folgendes Problem:
    In einigen - fast allen - meinen Verzeichnissen, werden immer wieder Dateien (nicht von mir oder einer Anwendung) erstellt und verändert:

    - Es werden lange, unlogische Zahlen- und Zeichenfolge vor PHP Dateien gesetzt (nur PHP)
    - Es werden .htaccess erstellt, welche die entsprechende Seite mit "Error 500" unbrauchbar macht
    - Es werden nur "index.php" / content.php / about.php verändert bzw. wenn nicht vorhanden erstellt
    - Dieses "Unwirksam" machen mittels .htaccess-Dateien passiert Nachts-Frühmorgens ( etwa zwischen 22 und 6 Uhr und alle paar Tage )

    Wie dies aussieht, ist inden Bildern angehängt.

    Anfangs dachte ich an ein Virus o.ä. - jedoch habe ich dies inzwischen weiter eingrenzen können.

    Durch diese "Codes" finde ich Dinge wie "WP Super Cache" obwohl komischerweiße gar kein Plugin oder gar Wordpress installiert ist sowie auch Dinge zu Monarx einer "Security Solution" - aber auch dies wurde nicht installiert.

    Wenn ich die oben genannten Probleme beseitige, durch "händisches" bereinigen aller Dateien (was natürlich echt mühselig ist) funktioniert das ganze wieder - bis es einige Tage bis Wochen später wieder "befallen" ist.

    Achja, Zugänge sind alle geändert worden, FTP-Zugänge ebenso.

    Kennt soetwas jemand, hat jemand eine Idee?


  • Alles einreissen, aus sauberer Quelle neu installieren und reinen Content (DB-Inhalte, Grafiken etc.) aus einer Sicherung wiederherstellen.


    Klassisches Vorgehen bei einem kompromittiertem System ... und das dürfte bei Dir der Fall sein. In Zukunft möglichst wenige / gut gewartete Komponenten verwenden, diese immer aktuell halten und Härtungsmaßnahmen ergreifen.


    Alles andere ist m. E. verschwendete Lebenszeit.

  • Alles einreissen, aus sauberer Quelle neu installieren und reinen Content (DB-Inhalte, Grafiken etc.) aus einer Sicherung wiederherstellen.


    Klassisches Vorgehen bei einem kompromittiertem System ... und das dürfte bei Dir der Fall sein. In Zukunft möglichst wenige / gut gewartete Komponenten verwenden, diese immer aktuell halten und Härtungsmaßnahmen ergreifen.


    Alles andere ist m. E. verschwendete Lebenszeit.


    Alles "neu machen" ist keine Option Dafür laufen zuviele Dinge - aber die einzelnen Codes sind teilweise überschaubar und können händisch bereinigt werden, was auch schon gemacht wurde. Dennoch hat irgendetwas zugriff; was aber von meiner Seite nicht kommt.
    Und genau deshalb wäre dann bei einem wechsel auch Netcup keine Option mehr, da das Problem nicht von mir kommen kann.

    Deshalb aber auch der ausführliche Beitrag, um das Problem so zu lösen. :(


  • Alles "neu machen" ist keine Option

    Alles "neu machen" ist in solchen Fällen leider meist die einzige Option.

    Händisch bereinigen hilft da in den seltensten Fällen, weil das System wahrscheinlich komplett kompromittiert ist und du so die Ursache nicht beseitigst.

    (Nicht unwahrscheinlich, dass ein löchriges WP-Plugin das Einallstor ist)

  • Die Zeiten wann die Dateien erstellt wurden schonmal mit den Logfiles des Webserver korreliert?

    Leider gerade keine aktuellen. Ich kann die Logs leider nicht lesen bzw. verstehe davon nicht zuviel.


    Alles "neu machen" ist in solchen Fällen leider meist die einzige Option.

    Händisch bereinigen hilft da in den seltensten Fällen, weil das System wahrscheinlich komplett kompromittiert ist und du so die Ursache nicht beseitigst.

    (Nicht unwahrscheinlich, dass ein löchriges WP-Plugin das Einallstor ist)

    Ja wäre mir natürlich am liebsten. Aber leider wie gesagt, aktuell keine Option.
    Ist ist kein WP-Plugin installiert.

  • > Optimistisch und offen für Ideen & Anregungen


    Sorry, das klingt jetzt hart: Aber mit Deinen Skills wird Dir das nicht gelingen.


    Du kannst freilich alles "cleanen" und dann dein Access-Log überwachen und das Filesystem auf Änderungen überwachen und die Zeitstempel wenn ein neues File entsteht oder eines geändert wird mit den Requests korrellieren ... daraus dann ableiten wo eine Eintritts-Stelle sein muss ... aber das Teil ist garantier zig-fach mit derleit Backdorrs versehen. Das ist einfach eine endlos-mühsame Arbeit und du wirst nie Gewissheit haben.

  • > Optimistisch und offen für Ideen & Anregungen


    Sorry, das klingt jetzt hart: Aber mit Deinen Skills wird Dir das nicht gelingen.


    Du kannst freilich alles "cleanen" und dann dein Access-Log überwachen und das Filesystem auf Änderungen überwachen und die Zeitstempel wenn ein neues File entsteht oder eines geändert wird mit den Requests korrellieren ... daraus dann ableiten wo eine Eintritts-Stelle sein muss ... aber das Teil ist garantier zig-fach mit derleit Backdorrs versehen. Das ist einfach eine endlos-mühsame Arbeit und du wirst nie Gewissheit haben.

    Und wie wäre es; wenn das Hosting "Plattgemacht" wird und ich Verzeichnis für Verzeichnis (Tage-Woche versetzte) aufspiele und beobachte?

    Das Problem; es laufen unheimliche viele Mails auf diesem Hosting; wegen des Mail-Servers kann ich dies nicht einfach "austauschen"

  • Nicht desto trotz muss man das doch lösen können.

    Bitte den verlinkten Artikel genau lesen. Nach dem gibt es 36 Varianten und es kann wohl beliebiger Code ausgeführt werden, der nach Ausführung rückstandslos entfernt wird. Somit bliebe nur die Anfertigung eines Abzugs der virtuellen Festplatte (etwa aus dem Rettungssystem heraus) und die Überprüfung jeder einzelnen Datei (denn diese könnte durch den Schadcode korrumpiert worden sein). Das ist ohne genaues Konfigurationsmanagement (um zu wissen, was der Soll-Inhalt aller Binärprogramme, Konfigurationsdateien, usw. ist) gar nicht zu leisten.

    "Mut zur Lücke" ist hier keine Option, denn derartige angegriffene Server dienen ja in der Regel dem Zweck, auch Nutzer der dortigen Dienste anzugreifen – alles außer einer sofortigen Abschaltung ist also schlichtweg grob fahrlässig (und kann ggf. auch Schadensersatzforderungen nach sich ziehen, abhängig von existierenden Verträgen/laufenden Diensten).

    VServer IOPS Comparison Sheet: https://docs.google.com/spreadsheets/d/1w38zM0Bwbd4VdDCQoi1buo2I-zpwg8e0wVzFGSPh3iE/edit?usp=sharing

    Thanks 1 Happy Duck 1 Like 2
  • Dein Mailing muss ja nicht geändert werden, evtl. die Kennwörter (falls da was kompromittiert ist, z.B. weil Credentials in den PHP-Scripts irgendwo hinterlegt waren).


    Dein Webhosting leerst du komplett aus und spielt einen sauberen Stand aus einem Backup ein.



    Anmerkung/Nachtrag: Ich gehe davon aus, der Fragesteller benutzt ein Webhosting und keinen vServer (andernfalls würde die gewählte Rubrik hier keinen Sinn machen!)

  • Dein Mailing muss ja nicht geändert werden, evtl. die Kennwörter (falls da was kompromittiert ist, z.B. weil Credentials in den PHP-Scripts irgendwo hinterlegt waren).


    Dein Webhosting leerst du komplett aus und spielt einen sauberen Stand aus einem Backup ein.

    Dazu muss ich wissen, was "Sauber" ist .. bzw im Umkehrschluss wo es herkommt

  • Sauber ist das, was du aus offiziellen Quellen runterlädst. Und deine Seite/n neu aufbaust.
    Dabei auch die kompletten Passwörter änderst.

    Wäre es nicht viel ok, aber es sind einige, teilweise komplexe Projekte. Das mal "neu" zu machen.. uff.

    Da wäre es weniger Aufwand ein Script zu entwickeln, dass die Schadsoftware immer wieder löscht.

    Man bekommt solche WordPress Installation schon bereinigt. Allerdings ist das recht zeitintensiv. Dazu müsste man sich die komplette Installation vorab anschauen können.

    (...) ich habe doch kein einziges WordPress Plugin installiert...

  • da das Problem nicht von mir kommen kann.

    Wenn es nicht von dir kommen kann, also von außerhalb deines Webhostings kommen muss, kannst du es auch nicht lösen. In einem Webhosting-Paket hast du nicht die technischen Möglichkeiten, um anhand des Laufzeitverhaltens herauszufinden, was da los ist. Bei einer Kompromittierung auf dem Hostsystem wäre es aber auch mit vollem Zugriff darauf sehr schwierig, weil man dann davon ausgehen müsste, dass die Bordmittel unwirksam gemacht wurden. Von außerhalb des Systems (z.B. bei einer VM) bräuchtest du forensisches Spezialwissen, um mehr als eine reine Analyse der vorhandenen Dateien anstellen zu können. Nadeln in Heuhaufen sind leichter zu finden. Mit deinem Ansatz, "kann nicht von mir kommen" und "neu aufsetzen ausgeschlossen", wirst du kaum Hilfe finden. Leute, die sich den Stress mit so einem "Auftraggeber" machen, sind nicht für 100€ zu bekommen. Wer gleich mal die wahrscheinlichste Ursache und die sinnvollste Behebung kategorisch ausschließt, braucht ein dickeres Portemonnaie.