| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Webseite per FTP-Server infiziert, UrsachenforschungWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
21.09.2012, 00:36
| #1 |
| |  Webseite per FTP-Server infiziert, Ursachenforschung Guten Morgen zusammen, wie bereits im Titel erwähnt, wurde mein Webspace anscheinend Opfer eines Angriffs. Auf dem FTP waren kryptische Ordnernamen jeweils mit einer index.html. Die index.html hatte stets Malware. Beim näheren Blick auf den ftp_log konnte ich feststellen, dass die Malware nicht über ein Skript oder ähnliches kam sondern direkt über den FTP Zugang! Das Passwort war 10 Stellig, Buchstaben, Zahlen, Sonderzeichen. Ein Erraten also unmöglich. Verbunden habe ich mich immer mit dem Webserver per SFTP. Mein Rechner ergab keine Meldungen (Kaspersky IS 2013). Wie würden hier die nächsten Schritte der Ursachenforschung aussehen? Gerne würde ich erfahren wie es hierzu überhaupt kommen konnte. Danke im Voraus Peter |
|
21.09.2012, 09:53
| #2 | |
| /// Winkelfunktion /// TB-Süch-Tiger™   | Webseite per FTP-Server infiziert, UrsachenforschungZitat:
Mit welchem Client hast du die SFTP-Verbindungen ausgebaut? War das wirklich SFTP oder war es FTPS oder gar unverschlüsseltes FTP? Die sind die Unterschied zu SFTP/FTPS/FTP klar? Wurden auf dem Rechner, den du für diese FTP-Verbindung nutzt, vllt mal Schädlinge gefunden?
__________________ |
|
21.09.2012, 10:11
| #3 |
| | Webseite per FTP-Server infiziert, Ursachenforschung Als Client habe ich FlashFXP verwendet.
__________________Die Verbindungsmethode "SFTP over SSH" wurde ausgewählt. Die sind die Unterschied zu SFTP/FTPS/FTP klar? FTP unverschlüsselt, SFTP, FTPS verschlüsselte Verbindung Wurden auf dem Rechner, den du für diese FTP-Verbindung nutzt, vllt mal Schädlinge gefunden? >> nein Grüße Peter |
|
21.09.2012, 19:17
| #4 | |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Webseite per FTP-Server infiziert, UrsachenforschungZitat:
FlashFXP sollte das nicht tun.... Was für ein FlashFXP hast du denn verwendet? Ein aktuelles? Aus welcher Quelle? Trialversion oder registriert? Wie ist dein Webspace "aufgebaut", zB welcher FTP-Server läuft da? Ist dein Webspaced komplett vom Hoster gemanaged oder hast du einen eigenen Root-Server, d.h. du bist vollkommen allein für deinen Server verantwortlich?
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
21.09.2012, 19:53
| #5 | |
| | Webseite per FTP-Server infiziert, Ursachenforschung Hallo Cosinus, danke für Deinen Beitrag. FlashFXP ist aktuell, von der Hersteller-Webseite heruntergeladen und registriert. Webspace ist managed, Betriebssystem ist Cloudlinunx soweit ich weiß. Verwaltungssoftware ist cPanel. Zitat:
Ich bin nocheinmal den FTP-Log durchgegangen. Der erste Zugriff der von einer mir nicht bekannten IP-Adresse stattgefunden hat: Code:
ATTFilter Tue Jul 31 16:46:47 2012 0 [IP-Adresse] /home/[AccName]/b481d56a237f641ca47f5f9bc6b96f4a.html b _ i r [AccName] ftp 1 * c
Tue Jul 31 16:47:02 2012 0 [IP-Adresse] /home/[AccName]/.cpanel/490c23b8f7cc78d87710dd41490cf226.html b _ i r [AccName] ftp 1 * c
Tue Jul 31 16:47:13 2012 0 [IP-Adresse] /home/[AccName]/.gnupg/d25f2925d2e563d7c0bd338540304a44.html b _ i r [AccName] ftp 1 * c
Tue Jul 31 16:47:31 2012 0 [IP-Adresse] /home/[AccName]/.htpasswds/05d7f958b33d5ad2e1c5425c2ec4625c.html b _ i r [AccName] ftp 1 * c
Tue Jul 31 16:47:44 2012 0 [IP-Adresse] /home/[AccName]/.matplotlib/42a0d43b183d212d7b95229cd8ad89be.html b _ i r [AccName] ftp 1 * c
Tue Jul 31 16:47:56 2012 0 [IP-Adresse] /home/[AccName]/.sqmailattach/fe02eb1d2a8653ef09900dce0be36295.html b _ i r [AccName] ftp 1 * c
Tue Jul 31 16:48:10 2012 0 [IP-Adresse] /home/[AccName]/.sqmaildata/61ce4ef213479312cf1c75722746fc3e.html b _ i r [AccName] ftp 1 * c
Tue Jul 31 16:48:23 2012 0 [IP-Adresse] /home/[AccName]/.trash/cf8afac3dd215d8a49ba42d6f957a944.html b _ i r [AccName] ftp 1 * c
Tue Jul 31 16:48:36 2012 0 [IP-Adresse] /home/[AccName]/cpmove.psql/ba3210554fbc8db8cee6ea844e397056.html b _ i r [AccName] ftp 1 * c
Tue Jul 31 16:48:49 2012 0 [IP-Adresse] /home/[AccName]/cpmove.psql.1327875382/81a8ac34bed4b0171d57d77490eca7bf.html b _ i r [AccName] ftp 1 * c
Tue Jul 31 16:49:05 2012 0 [IP-Adresse] /home/[AccName]/cpmove.psql.1333541777/39843a5507ba869fbdc0c54d5b7254fd.html b _ i r [AccName] ftp 1 * c
Tue Jul 31 16:49:21 2012 0 [IP-Adresse] /home/[AccName]/etc/2d5040b5778532afd7954e35c0e454aa.html b _ i r [AccName] ftp 1 * c
Tue Jul 31 16:49:33 2012 0 [IP-Adresse] /home/[AccName]/home/fed6f3e1dea830f04de18f6b73ced7c6.html b _ i r [AccName] ftp 1 * c
Tue Jul 31 16:49:48 2012 0 [IP-Adresse] /home/[AccName]/mail/80960da8d354dd823d9e6cdf4b0eb74d.html b _ i r [AccName] ftp 1 * c
Tue Jul 31 16:50:01 2012 0 [IP-Adresse] /home/[AccName]/perl5/a76234aeaf9a370bf218d0c06bd9d646.html b _ i r [AccName] ftp 1 * c
Tue Jul 31 16:50:18 2012 0 [IP-Adresse] /home/[AccName]/public_ftp/768ef966ebdec33e3ef386fbf387960e.html b _ i r [AccName] ftp 1 * c
Tue Jul 31 16:50:32 2012 0 [IP-Adresse] /home/[AccName]/public_html/788fc3165933b1ccdb2920c39bd98142.html b _ i r [AccName] ftp 1 * c
Tue Jul 31 16:51:00 2012 0 [IP-Adresse] /home/[AccName]/tmp/432b09eaec41205202cf38b0bf804166.html b _ i r [AccName] ftp 1 *
Dann: Erneuter Login, andere IP, identisches Verhaltensmuster(!) Genau in die gleichen Ordner wurde etwas hochgeladen - kryptische Namen (anders benannt, da wohl random) der HTML-Dateien. Anmerkung: aus dem Log geht ja hervor, dass es ein Upload war (Incoming <=> i). Diese html-Dateien habe ich nie auf dem Server gesehen! - HiddenFiles sind on. 10 Tage später ging das Theater mit den index.html Dateien Los und den kryptischen Ordnernamen die erstellt wurden. Das habe ich wiederrum gesehen. Ebenfalls interessant: Des wurde nie etwas heruntergeladen. Nur hochgeladen. Es handelte sich um zig verschiedene IP-Adressen die geografisch nicht beieinander liegen. Laut dem Hosting Anbieter gab es keine Bruteforce-Attacke, da nach 10 falschen Loginversuchen die IP gesperrt wird. Ich hoffe das hilft ein wenig weiter. Peter |
|
21.09.2012, 21:53
| #6 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Webseite per FTP-Server infiziert, Ursachenforschung Im Moment erkenne ich so keine Schwachstelle im System, ... Bestünde denn der Verdacht einer andersweitigen missbräuchlichen Nutzung? Kennt noch jmd. anders noch dieses Passwort? Wann wurde das Passwort zuletzt geändert?
__________________ --> Webseite per FTP-Server infiziert, Ursachenforschung |
|
22.09.2012, 15:34
| #7 | ||
| | Webseite per FTP-Server infiziert, Ursachenforschung Vom Hosting-Anbieter habe ich nun einen noch detaillierteren FTP-Log bekommen. Warum ich die kryptischen Dateien nicht auf dem FTP Server gesehen habe, war folgender Grund: Die Datei wurde hochgeladen und direkt gelöscht. Nächste hochgeladen, nächste direkt wieder gelöscht. Eine Zeile ist nun aber besonders interessant! Code:
ATTFilter Sep 3 13:29:49 b2 pure-ftpd: (ACC_NAME@IP) [ERROR] Can't open /home/ifrachecker/includes/script/ftpcheck/../..//temp/http_root_test_htaccess_13402_5b9891439cf936523a7512adccfce822.tmp: Operation not permitted
Zitat:
Zitat:
Gruß Geändert von peter21 (22.09.2012 um 15:41 Uhr) |
|
| Themen zu Webseite per FTP-Server infiziert, Ursachenforschung |
| direkt, ftp, guten, infiziert, kaspersky, konnte, log, meldungen, morgen, opfer, ordner, passwort, rechner, schei, skript, stelle, ursachenforschung, webseite, webspace, würde, überhaupt, zahlen, zugang, zusammen, ähnliches |
Linear-Darstellung
