Author Topic: Schadcode  (Read 4304 times)

0 Members and 1 Guest are viewing this topic.

Offline Bastet

  • Newbie
  • *
  • Posts: 46
    • View Profile
Schadcode
« on: February 06, 2017, 09:36:28 AM »
Hallo zusammen

Gestern Abend habe ich die Meldung erhalten, dass unter meinem Account Schadecode identifiziert wurde.

Quote
Folgende Dateien wurden als eindeutigen Schadcode identifiziert:

-rwxr-xr-x 1 ftpelf34743 psacln 4821 Feb  5 01:38 /home/httpd/vhosts/xn--elfentrume-w5a.ch/httpdocs/asdfygumnb.php
-rw-r--r-- 1 ftpelf34743 psacln 10836 Feb  5 02:43 /home/httpd/vhosts/xn--elfentrume-w5a.ch/httpdocs/cache/object99.php
-rw-r--r-- 1 ftpelf34743 psacln 132 Feb  5 02:43 /home/httpd/vhosts/xn--elfentrume-w5a.ch/httpdocs/data/media/10/model.php
-rwxrwxrwx 1 ftpelf34743 psacln 71283 Feb  5 02:44 /home/httpd/vhosts/xn--elfentrume-w5a.ch/httpdocs/member.php
-rw-r--r-- 1 ftpelf34743 psacln 10946 Feb  5 02:44 /home/httpd/vhosts/xn--elfentrume-w5a.ch/httpdocs/msd1.24.4/language/pt_br/lang_log.php
-rw-r--r-- 1 ftpelf34743 psacln 11565 Feb  5 02:44 /home/httpd/vhosts/xn--elfentrume-w5a.ch/httpdocs/msd1.24.4/work/search.php
-rw-r--r-- 1 ftpelf34743 psacln 16251 Feb  5 02:43 /home/httpd/vhosts/xn--elfentrume-w5a.ch/httpdocs/shop/admin-3b284f7737d8f605202c344e9297726c/admin_account.php
-rw-r--r-- 1 ftpelf34743 psacln 10500 Feb  5 02:43 /home/httpd/vhosts/xn--elfentrume-w5a.ch/httpdocs/shop/cache/diff.php
-rw-r--r-- 1 ftpelf34743 psacln 14132 Feb  5 02:44 /home/httpd/vhosts/xn--elfentrume-w5a.ch/httpdocs/shop/includes/autoload_func.php
-rw-r--r-- 1 ftpelf34743 psacln 11426 Feb  5 02:43 /home/httpd/vhosts/xn--elfentrume-w5a.ch/httpdocs/shop/includes/languages/english/page_4.php
-rw-r--r-- 1 ftpelf34743 psacln 11978 Feb  5 02:43 /home/httpd/vhosts/xn--elfentrume-w5a.ch/httpdocs/shop/logs/ajax.php
-rw-r--r-- 1 ftpelf34743 psacln 12106 Feb  5 02:44 /home/httpd/vhosts/xn--elfentrume-w5a.ch/httpdocs/shop/msd1.24.4/msd_cron/cache.php
-rw-r--r-- 1 ftpelf34743 psacln 17540 Feb  5 03:41 /home/httpd/vhosts/xn--elfentrume-w5a.ch/httpdocs/system.php
-rw-r--r-- 1 ftpelf34743 psacln 154659 Feb  5 03:17 /home/httpd/vhosts/xn--elfentrume-w5a.ch/httpdocs/templates/Bastet/images_english/dump.php

Getroffene Massnahmen seitens KREATIVMEDIA:

- Sperrung der Dateien, welche Schadcode enthalten ausgenommen .htaccess-Dateien
- Änderung des FTP-Passworts
- Umstellung auf FastCGI und Rechtekorrektur

Zu treffende Massnahmen Ihrerseits:

1. Umgehende Prüfung und Aktualisierung jeglicher
eingesetzten Web-Applikationen.

2. Prüfung aller Arbeitsstationen mit FTP-Zugriff
auf die genannte Webseite auf Viren und Trojaner und deren
Bereinigung.

3. Allfällige Umstellung auf verschlüsselten FTP-Verkehr.

4. Änderung des FTP-Passworts via Plesk Admin-Tool.
Das Passwort darf nicht mehr auf das Vorgängige
zurückgesetzt werden, da dieses bekannt und
somit nicht mehr sicher ist.

5. Entfernung des Schadcodes.
Die Dateien können hierzu auf 644 gesetzt werden,
um diese danach zu bereinigen.

Nun habe ich ja überhaupt keine Ahnung, was ich damit anfangen soll und bitte um Hilfe.

 
Viele Grüsse

Sabine

Offline nobby

  • 4images Guru
  • *******
  • Posts: 2.873
    • View Profile
Re: Schadcode
« Reply #1 on: February 06, 2017, 10:54:11 AM »
Hallo,

hier gibt man Dir doch schon an der Hand was Du tun solltest.

-----
Zu treffende Massnahmen Ihrerseits:

1. Umgehende Prüfung und Aktualisierung jeglicher
eingesetzten Web-Applikationen.

2. Prüfung aller Arbeitsstationen mit FTP-Zugriff
auf die genannte Webseite auf Viren und Trojaner und deren
Bereinigung.

3. Allfällige Umstellung auf verschlüsselten FTP-Verkehr.

4. Änderung des FTP-Passworts via Plesk Admin-Tool.
Das Passwort darf nicht mehr auf das Vorgängige
zurückgesetzt werden, da dieses bekannt und
somit nicht mehr sicher ist.

5. Entfernung des Schadcodes.
Die Dateien können hierzu auf 644 gesetzt werden,
um diese danach zu bereinigen.
-----

Du musst das nur abarbeiten.

nobby

Offline Bastet

  • Newbie
  • *
  • Posts: 46
    • View Profile
Re: Schadcode
« Reply #2 on: February 06, 2017, 11:05:29 AM »
Hallo

Das sagt mir alles nichts, ausser Punkt 4.
Wie führe ich denn diese ganzen Prüfungen aus?
Viele Grüsse

Sabine

Offline nobby

  • 4images Guru
  • *******
  • Posts: 2.873
    • View Profile
Re: Schadcode
« Reply #3 on: February 06, 2017, 03:24:59 PM »
Hallo,

Du hast doch sicher von deinem Provider mal Zugangsdaten bekommen.
Dein Provider benutzt das Toll von PLESK.

Per FTP mit den Zugangsdaten einloggen und Passwort ändern.

Da es mit 4images nichts zu tun hat musst Du dich an deinem Provider wenden.

nobby

Offline Bastet

  • Newbie
  • *
  • Posts: 46
    • View Profile
Re: Schadcode
« Reply #4 on: February 06, 2017, 04:14:26 PM »
Ja, das habe ich inzwischen gemacht.
Viele Grüsse

Sabine