Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Website infiziert - wie weiter vorgehen? (https://www.trojaner-board.de/133587-website-infiziert-vorgehen.html)

Kraligor 11.04.2013 21:11
Website infiziert - wie weiter vorgehen?
 
Hallo zusammen,

Google meldete mir per Mail, dass meine Website (hxxp:// feed . the1nter . net - ACHTUNG, NICHT KLICKEN! und noch eine weitere Subdomain) infiziert sei. Weitere Recherche zeigte mir 46 Dateien (hauptsächlich innerhalb von Wordpress, aber auch eine index.html), in die ein iFrame (<iframe src="hxxp:// protocolmindm . com/ img2/ count . htm" width="1" height="1" frameborder="0"> - AUCH HIER: NICHT KLICKEN!) injiziert wurde.

Die Ursache dürfte Malware sein, die ich mir vor etwa einem Monat eingefangen hatte (trotz MSE und sorgsamem Surfen, besten Dank Microsoft - im Übrigen schon die 3. Infektion trotz MSE), ich vermute mal einen Keylogger, oder es hat mein FTP-Passwort bei FileZilla ausgespäht. Nach der Infektion änderte ich zwar alle Passwörter, nur das von der Website hatte ich wohl vergessen. Der Rechner ist natürlich neu aufgesetzt worden, die meiste Zeit bin ich sowieso mit Linux unterwegs.

Weiteres Vorgehen:
* Dateien vom Server nehmen, scannen (bringt das überhaupt etwas?) via Bash iFrames entfernen
* Dateien wieder hochladen, Domain erneut mit Virustotal prüfen
* Google informieren

Genügt das? Oder kann sich da auch online ein aktives Programm eingenistet haben, und die iFrames sind nur die Auswirkung davon? Können meine Datenbanken auch befallen sein, ohne dass Virustotal es bemerkt?


Vielen Dank schon einmal und viele Grüße :)
Oli

Kraligor 13.04.2013 10:59
Ich habe die komplette Seite vom Netz genommen, alle Passwörter geändert, Wordpress neu aufgesetzt (mit der alten Datenbank), und alle Seiten mit dem iFrame gereinigt. Nun sollte alles wieder passen. :)

Zudem hat mein Hoster die Seite noch überprüft. Als nächstes ist dann das Google-Review dran, ich gebe Bescheid, wie's ausgeht.

Zudem habe ich nun noch das WordPress-Plugin WordFence installiert, das mir dabei helfen sollte, dass so etwas nicht mehr passiert.

Google hat die Seite wieder freigegeben, zumindest erscheint keine Malwarewarnung mehr, wenn man danach sucht.

Schade, dass sich von den bislang 277 Besuchern dieses Threads niemand gemeldet hat, da hätte ich mir doch mehr erwartet. Wie auch immer - vielleicht hilft meine Lösung ja jemandem anders.

Viele Grüße :)
Oli

Kirsten68 13.04.2013 22:35
Wir hatten dasselbe Problem.

hier auch:
- Malware?! - h**p://www.joomlaportal.de/joomla-2-5-sicherheit/294895-malware.html
- protocolmindm - Website infiziert - BoerseBZ - h**p://www.boerse.bz/netzwelt/webmaster/1435350-protocolmindm-website-infiziert.html
EDIT: ^ Meine Links wurden von der Boardsoft rausgefiltert und stattdessen hier unten Google Adsense eingesetzt :( - Hallo gehts noch liebes Trojaner Board???

In unserem FTP Logfile hat man auch den Übeltäter gefunden:
Fri Apr 12 01:23:45 2013 0 77.238.8.69 783 /www/htdocs/.../index.php b _ o r ftp-user ftp 0 * c
Es wurden tatsächlich nur index.php Dateien manipuliert.

Die einzige Frage die bleibt: Wie ist der Täter an die FTP Daten gekommen?
- Malware?
- FTP Sniffing? (wir verwenden erst seit heute SFTP)


Alle Zeitangaben in WEZ +1. Es ist jetzt 19:37 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129