Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Webseite per FTP-Server infiziert, Ursachenforschung

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 21.09.2012, 00:36   #1
peter21
 
Webseite per FTP-Server infiziert, Ursachenforschung - Standard

Webseite per FTP-Server infiziert, Ursachenforschung



Guten Morgen zusammen,

wie bereits im Titel erwähnt, wurde mein Webspace anscheinend Opfer eines Angriffs.

Auf dem FTP waren kryptische Ordnernamen jeweils mit einer index.html.
Die index.html hatte stets Malware.

Beim näheren Blick auf den ftp_log konnte ich feststellen, dass die Malware nicht über ein Skript oder ähnliches kam sondern direkt über den FTP Zugang!

Das Passwort war 10 Stellig, Buchstaben, Zahlen, Sonderzeichen. Ein Erraten also unmöglich.

Verbunden habe ich mich immer mit dem Webserver per SFTP.
Mein Rechner ergab keine Meldungen (Kaspersky IS 2013).


Wie würden hier die nächsten Schritte der Ursachenforschung aussehen?
Gerne würde ich erfahren wie es hierzu überhaupt kommen konnte.

Danke im Voraus
Peter

Alt 21.09.2012, 09:53   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Webseite per FTP-Server infiziert, Ursachenforschung - Standard

Webseite per FTP-Server infiziert, Ursachenforschung



Zitat:
Das Passwort war 10 Stellig, Buchstaben, Zahlen, Sonderzeichen. Ein Erraten also unmöglich.
Erraten nicht unmöglich aber unwahrscheinlich - das ist ein Unterschied
Mit welchem Client hast du die SFTP-Verbindungen ausgebaut? War das wirklich SFTP oder war es FTPS oder gar unverschlüsseltes FTP?
Die sind die Unterschied zu SFTP/FTPS/FTP klar?

Wurden auf dem Rechner, den du für diese FTP-Verbindung nutzt, vllt mal Schädlinge gefunden?
__________________

__________________

Alt 21.09.2012, 10:11   #3
peter21
 
Webseite per FTP-Server infiziert, Ursachenforschung - Standard

Webseite per FTP-Server infiziert, Ursachenforschung



Als Client habe ich FlashFXP verwendet.
Die Verbindungsmethode "SFTP over SSH" wurde ausgewählt.


Die sind die Unterschied zu SFTP/FTPS/FTP klar?

FTP unverschlüsselt,
SFTP, FTPS verschlüsselte Verbindung



Wurden auf dem Rechner, den du für diese FTP-Verbindung nutzt, vllt mal Schädlinge gefunden?

>> nein


Grüße
Peter
__________________

Alt 21.09.2012, 19:17   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Webseite per FTP-Server infiziert, Ursachenforschung - Standard

Webseite per FTP-Server infiziert, Ursachenforschung



Zitat:
Als Client habe ich FlashFXP verwendet.
Ich hatte hier schonmal einen ähnlichen Fall, problematisch war da, das Filezilla verwendet wurde; Filezilla hatte die FTP-Verbindungs-Lesezeichen gespeichert und darin auch das Passwort aber unverschlüsselt
FlashFXP sollte das nicht tun....

Was für ein FlashFXP hast du denn verwendet? Ein aktuelles? Aus welcher Quelle? Trialversion oder registriert?

Wie ist dein Webspace "aufgebaut", zB welcher FTP-Server läuft da?
Ist dein Webspaced komplett vom Hoster gemanaged oder hast du einen eigenen Root-Server, d.h. du bist vollkommen allein für deinen Server verantwortlich?
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 21.09.2012, 19:53   #5
peter21
 
Webseite per FTP-Server infiziert, Ursachenforschung - Standard

Webseite per FTP-Server infiziert, Ursachenforschung



Hallo Cosinus,
danke für Deinen Beitrag.

FlashFXP ist aktuell, von der Hersteller-Webseite heruntergeladen und registriert.

Webspace ist managed, Betriebssystem ist Cloudlinunx soweit ich weiß.
Verwaltungssoftware ist cPanel.

Zitat:
cPanel Version 11.32.4 (build 15)
Apache version 2.2.22
PHP version 5.3.10
MySQL version 5.1.63-cll
Perl version 5.10.1
Kernel version 2.6.32-320.4.1.lve1.1.4.el6.x86_64
cPanel Pro 1.0 (RC1)

Ich bin nocheinmal den FTP-Log durchgegangen.
Der erste Zugriff der von einer mir nicht bekannten IP-Adresse stattgefunden hat:

Code:
ATTFilter
Tue Jul 31 16:46:47 2012 0 [IP-Adresse] /home/[AccName]/b481d56a237f641ca47f5f9bc6b96f4a.html b _ i r [AccName] ftp 1 * c
Tue Jul 31 16:47:02 2012 0 [IP-Adresse] /home/[AccName]/.cpanel/490c23b8f7cc78d87710dd41490cf226.html b _ i r [AccName] ftp 1 * c
Tue Jul 31 16:47:13 2012 0 [IP-Adresse] /home/[AccName]/.gnupg/d25f2925d2e563d7c0bd338540304a44.html b _ i r [AccName] ftp 1 * c
Tue Jul 31 16:47:31 2012 0 [IP-Adresse] /home/[AccName]/.htpasswds/05d7f958b33d5ad2e1c5425c2ec4625c.html b _ i r [AccName] ftp 1 * c
Tue Jul 31 16:47:44 2012 0 [IP-Adresse] /home/[AccName]/.matplotlib/42a0d43b183d212d7b95229cd8ad89be.html b _ i r [AccName] ftp 1 * c
Tue Jul 31 16:47:56 2012 0 [IP-Adresse] /home/[AccName]/.sqmailattach/fe02eb1d2a8653ef09900dce0be36295.html b _ i r [AccName] ftp 1 * c
Tue Jul 31 16:48:10 2012 0 [IP-Adresse] /home/[AccName]/.sqmaildata/61ce4ef213479312cf1c75722746fc3e.html b _ i r [AccName] ftp 1 * c
Tue Jul 31 16:48:23 2012 0 [IP-Adresse] /home/[AccName]/.trash/cf8afac3dd215d8a49ba42d6f957a944.html b _ i r [AccName] ftp 1 * c
Tue Jul 31 16:48:36 2012 0 [IP-Adresse] /home/[AccName]/cpmove.psql/ba3210554fbc8db8cee6ea844e397056.html b _ i r [AccName] ftp 1 * c
Tue Jul 31 16:48:49 2012 0 [IP-Adresse] /home/[AccName]/cpmove.psql.1327875382/81a8ac34bed4b0171d57d77490eca7bf.html b _ i r [AccName] ftp 1 * c
Tue Jul 31 16:49:05 2012 0 [IP-Adresse] /home/[AccName]/cpmove.psql.1333541777/39843a5507ba869fbdc0c54d5b7254fd.html b _ i r [AccName] ftp 1 * c
Tue Jul 31 16:49:21 2012 0 [IP-Adresse] /home/[AccName]/etc/2d5040b5778532afd7954e35c0e454aa.html b _ i r [AccName] ftp 1 * c
Tue Jul 31 16:49:33 2012 0 [IP-Adresse] /home/[AccName]/home/fed6f3e1dea830f04de18f6b73ced7c6.html b _ i r [AccName] ftp 1 * c
Tue Jul 31 16:49:48 2012 0 [IP-Adresse] /home/[AccName]/mail/80960da8d354dd823d9e6cdf4b0eb74d.html b _ i r [AccName] ftp 1 * c
Tue Jul 31 16:50:01 2012 0 [IP-Adresse] /home/[AccName]/perl5/a76234aeaf9a370bf218d0c06bd9d646.html b _ i r [AccName] ftp 1 * c
Tue Jul 31 16:50:18 2012 0 [IP-Adresse] /home/[AccName]/public_ftp/768ef966ebdec33e3ef386fbf387960e.html b _ i r [AccName] ftp 1 * c
Tue Jul 31 16:50:32 2012 0 [IP-Adresse] /home/[AccName]/public_html/788fc3165933b1ccdb2920c39bd98142.html b _ i r [AccName] ftp 1 * c
Tue Jul 31 16:51:00 2012 0 [IP-Adresse] /home/[AccName]/tmp/432b09eaec41205202cf38b0bf804166.html b _ i r [AccName] ftp 1 *
         
danach 2 Monate nichts.

Dann:
Erneuter Login, andere IP, identisches Verhaltensmuster(!)
Genau in die gleichen Ordner wurde etwas hochgeladen - kryptische Namen (anders benannt, da wohl random) der HTML-Dateien.

Anmerkung: aus dem Log geht ja hervor, dass es ein Upload war (Incoming <=> i). Diese html-Dateien habe ich nie auf dem Server gesehen! - HiddenFiles sind on.

10 Tage später ging das Theater mit den index.html Dateien Los und den kryptischen Ordnernamen die erstellt wurden.
Das habe ich wiederrum gesehen.


Ebenfalls interessant:
Des wurde nie etwas heruntergeladen. Nur hochgeladen.
Es handelte sich um zig verschiedene IP-Adressen die geografisch nicht beieinander liegen.

Laut dem Hosting Anbieter gab es keine Bruteforce-Attacke, da nach 10 falschen Loginversuchen die IP gesperrt wird.

Ich hoffe das hilft ein wenig weiter.
Peter


Alt 21.09.2012, 21:53   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Webseite per FTP-Server infiziert, Ursachenforschung - Standard

Webseite per FTP-Server infiziert, Ursachenforschung



Im Moment erkenne ich so keine Schwachstelle im System, ...
Bestünde denn der Verdacht einer andersweitigen missbräuchlichen Nutzung? Kennt noch jmd. anders noch dieses Passwort? Wann wurde das Passwort zuletzt geändert?
__________________
--> Webseite per FTP-Server infiziert, Ursachenforschung

Alt 22.09.2012, 15:34   #7
peter21
 
Webseite per FTP-Server infiziert, Ursachenforschung - Standard

Webseite per FTP-Server infiziert, Ursachenforschung



Vom Hosting-Anbieter habe ich nun einen noch detaillierteren FTP-Log bekommen.

Warum ich die kryptischen Dateien nicht auf dem FTP Server gesehen habe, war folgender Grund:
Die Datei wurde hochgeladen und direkt gelöscht. Nächste hochgeladen, nächste direkt wieder gelöscht.

Eine Zeile ist nun aber besonders interessant!

Code:
ATTFilter
Sep 3 13:29:49 b2 pure-ftpd: (ACC_NAME@IP) [ERROR] Can't open /home/ifrachecker/includes/script/ftpcheck/../..//temp/http_root_test_htaccess_13402_5b9891439cf936523a7512adccfce822.tmp: Operation not permitted
         
Was sagst uns diese Zeile genau?


Zitat:
Bestünde denn der Verdacht einer andersweitigen missbräuchlichen Nutzung? Kennt noch jmd. anders noch dieses Passwort?
Das kann ich ausschließen

Zitat:
Wann wurde das Passwort zuletzt geändert?
Dies war schon etwas länger her. Bestimmt vielleicht 1 Jahr.

Gruß

Geändert von peter21 (22.09.2012 um 15:41 Uhr)

Antwort

Themen zu Webseite per FTP-Server infiziert, Ursachenforschung
direkt, ftp, guten, infiziert, kaspersky, konnte, log, meldungen, morgen, opfer, ordner, passwort, rechner, schei, skript, stelle, ursachenforschung, webseite, webspace, würde, überhaupt, zahlen, zugang, zusammen, ähnliches



Ähnliche Themen: Webseite per FTP-Server infiziert, Ursachenforschung


  1. CryptoPHP: Hinterlistiger Schadcode hat zehntausende Server infiziert
    Nachrichten - 28.11.2014 (0)
  2. Auf meinem Server wird meine webseite befallen, evtl. liegt das an meinem Computer / Befall?
    Plagegeister aller Art und deren Bekämpfung - 01.05.2014 (27)
  3. Darkleech infiziert reihenweise Apache-Server
    Nachrichten - 03.04.2013 (0)
  4. Eigene Webseite mit Trojaner infiziert
    Überwachung, Datenschutz und Spam - 01.04.2013 (1)
  5. GVU auf WIN 2008 Server nur 1 Benutzerkonto infiziert
    Log-Analyse und Auswertung - 06.03.2013 (2)
  6. Avira meldet JS/Blacole.KH.3 und KH.2 - Server wurde per Ftp infiziert
    Log-Analyse und Auswertung - 10.02.2013 (1)
  7. FTP Daten durch Trojaner ausgesät? Webseite wurde per FTP mit Code infiziert!
    Log-Analyse und Auswertung - 20.04.2012 (4)
  8. Bestimmte Webseite per Bowser und deren Server via FTP nicht aufrufbar
    Log-Analyse und Auswertung - 01.03.2012 (5)
  9. System infiziert. USB-Stick und Datensicherung auch infiziert?
    Plagegeister aller Art und deren Bekämpfung - 05.07.2011 (2)
  10. Windows 2003 Server W32/Downadupjob.gen!A infiziert C:/windows/tasks/AT1.job
    Log-Analyse und Auswertung - 08.04.2010 (3)
  11. Hotmail Account gehackt - Ursachenforschung
    Log-Analyse und Auswertung - 17.10.2009 (1)
  12. 1und1-Server infiziert gehostete Websites
    Plagegeister aller Art und deren Bekämpfung - 29.09.2009 (5)
  13. Ftp server (Filezilla / Quick n´easy FTP server lite)
    Alles rund um Windows - 10.01.2009 (7)
  14. Meine Webseite mit JS/Psyme infiziert, wie werde ichs los???
    Plagegeister aller Art und deren Bekämpfung - 23.01.2008 (0)
  15. gefährliche webseite,wer anklickt wird infiziert !
    Plagegeister aller Art und deren Bekämpfung - 03.01.2005 (15)
  16. Ursachenforschung nach Programmfehlern
    Plagegeister aller Art und deren Bekämpfung - 07.05.2004 (1)
  17. 802.1.x Radius Server, Wlan und Win 2000 server
    Alles rund um Windows - 19.10.2003 (5)

Zum Thema Webseite per FTP-Server infiziert, Ursachenforschung - Guten Morgen zusammen, wie bereits im Titel erwähnt, wurde mein Webspace anscheinend Opfer eines Angriffs. Auf dem FTP waren kryptische Ordnernamen jeweils mit einer index.html. Die index.html hatte stets Malware. - Webseite per FTP-Server infiziert, Ursachenforschung...
Archiv
Du betrachtest: Webseite per FTP-Server infiziert, Ursachenforschung auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.