|
Webseite per FTP-Server infiziert, Ursachenforschung Guten Morgen zusammen, wie bereits im Titel erwähnt, wurde mein Webspace anscheinend Opfer eines Angriffs. Auf dem FTP waren kryptische Ordnernamen jeweils mit einer index.html. Die index.html hatte stets Malware. Beim näheren Blick auf den ftp_log konnte ich feststellen, dass die Malware nicht über ein Skript oder ähnliches kam sondern direkt über den FTP Zugang! Das Passwort war 10 Stellig, Buchstaben, Zahlen, Sonderzeichen. Ein Erraten also unmöglich. Verbunden habe ich mich immer mit dem Webserver per SFTP. Mein Rechner ergab keine Meldungen (Kaspersky IS 2013). Wie würden hier die nächsten Schritte der Ursachenforschung aussehen? Gerne würde ich erfahren wie es hierzu überhaupt kommen konnte. Danke im Voraus Peter |
Zitat:
Mit welchem Client hast du die SFTP-Verbindungen ausgebaut? War das wirklich SFTP oder war es FTPS oder gar unverschlüsseltes FTP? Die sind die Unterschied zu SFTP/FTPS/FTP klar? Wurden auf dem Rechner, den du für diese FTP-Verbindung nutzt, vllt mal Schädlinge gefunden? |
Als Client habe ich FlashFXP verwendet. Die Verbindungsmethode "SFTP over SSH" wurde ausgewählt. Die sind die Unterschied zu SFTP/FTPS/FTP klar? FTP unverschlüsselt, SFTP, FTPS verschlüsselte Verbindung Wurden auf dem Rechner, den du für diese FTP-Verbindung nutzt, vllt mal Schädlinge gefunden? >> nein Grüße Peter |
Zitat:
FlashFXP sollte das nicht tun.... Was für ein FlashFXP hast du denn verwendet? Ein aktuelles? Aus welcher Quelle? Trialversion oder registriert? Wie ist dein Webspace "aufgebaut", zB welcher FTP-Server läuft da? Ist dein Webspaced komplett vom Hoster gemanaged oder hast du einen eigenen Root-Server, d.h. du bist vollkommen allein für deinen Server verantwortlich? |
Hallo Cosinus, danke für Deinen Beitrag. FlashFXP ist aktuell, von der Hersteller-Webseite heruntergeladen und registriert. Webspace ist managed, Betriebssystem ist Cloudlinunx soweit ich weiß. Verwaltungssoftware ist cPanel. Zitat:
Ich bin nocheinmal den FTP-Log durchgegangen. Der erste Zugriff der von einer mir nicht bekannten IP-Adresse stattgefunden hat: Code: Tue Jul 31 16:46:47 2012 0 [IP-Adresse] /home/[AccName]/b481d56a237f641ca47f5f9bc6b96f4a.html b _ i r [AccName] ftp 1 * cDann: Erneuter Login, andere IP, identisches Verhaltensmuster(!) Genau in die gleichen Ordner wurde etwas hochgeladen - kryptische Namen (anders benannt, da wohl random) der HTML-Dateien. Anmerkung: aus dem Log geht ja hervor, dass es ein Upload war (Incoming <=> i). Diese html-Dateien habe ich nie auf dem Server gesehen! - HiddenFiles sind on. 10 Tage später ging das Theater mit den index.html Dateien Los und den kryptischen Ordnernamen die erstellt wurden. Das habe ich wiederrum gesehen. Ebenfalls interessant: Des wurde nie etwas heruntergeladen. Nur hochgeladen. Es handelte sich um zig verschiedene IP-Adressen die geografisch nicht beieinander liegen. Laut dem Hosting Anbieter gab es keine Bruteforce-Attacke, da nach 10 falschen Loginversuchen die IP gesperrt wird. Ich hoffe das hilft ein wenig weiter. Peter |
Im Moment erkenne ich so keine Schwachstelle im System, ... Bestünde denn der Verdacht einer andersweitigen missbräuchlichen Nutzung? Kennt noch jmd. anders noch dieses Passwort? Wann wurde das Passwort zuletzt geändert? |
Vom Hosting-Anbieter habe ich nun einen noch detaillierteren FTP-Log bekommen. Warum ich die kryptischen Dateien nicht auf dem FTP Server gesehen habe, war folgender Grund: Die Datei wurde hochgeladen und direkt gelöscht. Nächste hochgeladen, nächste direkt wieder gelöscht. Eine Zeile ist nun aber besonders interessant! Code: Sep 3 13:29:49 b2 pure-ftpd: (ACC_NAME@IP) [ERROR] Can't open /home/ifrachecker/includes/script/ftpcheck/../..//temp/http_root_test_htaccess_13402_5b9891439cf936523a7512adccfce822.tmp: Operation not permittedZitat:
Zitat:
Gruß |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 04:00 Uhr. |
Copyright ©2000-2025, Trojaner-Board