4images Forum & Community
4images Issues / Ausgaben => Discussion & Troubleshooting => Topic started by: Bastet on February 06, 2017, 09:36:28 AM
-
Hallo zusammen
Gestern Abend habe ich die Meldung erhalten, dass unter meinem Account Schadecode identifiziert wurde.
Folgende Dateien wurden als eindeutigen Schadcode identifiziert:
-rwxr-xr-x 1 ftpelf34743 psacln 4821 Feb 5 01:38 /home/httpd/vhosts/xn--elfentrume-w5a.ch/httpdocs/asdfygumnb.php
-rw-r--r-- 1 ftpelf34743 psacln 10836 Feb 5 02:43 /home/httpd/vhosts/xn--elfentrume-w5a.ch/httpdocs/cache/object99.php
-rw-r--r-- 1 ftpelf34743 psacln 132 Feb 5 02:43 /home/httpd/vhosts/xn--elfentrume-w5a.ch/httpdocs/data/media/10/model.php
-rwxrwxrwx 1 ftpelf34743 psacln 71283 Feb 5 02:44 /home/httpd/vhosts/xn--elfentrume-w5a.ch/httpdocs/member.php
-rw-r--r-- 1 ftpelf34743 psacln 10946 Feb 5 02:44 /home/httpd/vhosts/xn--elfentrume-w5a.ch/httpdocs/msd1.24.4/language/pt_br/lang_log.php
-rw-r--r-- 1 ftpelf34743 psacln 11565 Feb 5 02:44 /home/httpd/vhosts/xn--elfentrume-w5a.ch/httpdocs/msd1.24.4/work/search.php
-rw-r--r-- 1 ftpelf34743 psacln 16251 Feb 5 02:43 /home/httpd/vhosts/xn--elfentrume-w5a.ch/httpdocs/shop/admin-3b284f7737d8f605202c344e9297726c/admin_account.php
-rw-r--r-- 1 ftpelf34743 psacln 10500 Feb 5 02:43 /home/httpd/vhosts/xn--elfentrume-w5a.ch/httpdocs/shop/cache/diff.php
-rw-r--r-- 1 ftpelf34743 psacln 14132 Feb 5 02:44 /home/httpd/vhosts/xn--elfentrume-w5a.ch/httpdocs/shop/includes/autoload_func.php
-rw-r--r-- 1 ftpelf34743 psacln 11426 Feb 5 02:43 /home/httpd/vhosts/xn--elfentrume-w5a.ch/httpdocs/shop/includes/languages/english/page_4.php
-rw-r--r-- 1 ftpelf34743 psacln 11978 Feb 5 02:43 /home/httpd/vhosts/xn--elfentrume-w5a.ch/httpdocs/shop/logs/ajax.php
-rw-r--r-- 1 ftpelf34743 psacln 12106 Feb 5 02:44 /home/httpd/vhosts/xn--elfentrume-w5a.ch/httpdocs/shop/msd1.24.4/msd_cron/cache.php
-rw-r--r-- 1 ftpelf34743 psacln 17540 Feb 5 03:41 /home/httpd/vhosts/xn--elfentrume-w5a.ch/httpdocs/system.php
-rw-r--r-- 1 ftpelf34743 psacln 154659 Feb 5 03:17 /home/httpd/vhosts/xn--elfentrume-w5a.ch/httpdocs/templates/Bastet/images_english/dump.php
Getroffene Massnahmen seitens KREATIVMEDIA:
- Sperrung der Dateien, welche Schadcode enthalten ausgenommen .htaccess-Dateien
- Änderung des FTP-Passworts
- Umstellung auf FastCGI und Rechtekorrektur
Zu treffende Massnahmen Ihrerseits:
1. Umgehende Prüfung und Aktualisierung jeglicher
eingesetzten Web-Applikationen.
2. Prüfung aller Arbeitsstationen mit FTP-Zugriff
auf die genannte Webseite auf Viren und Trojaner und deren
Bereinigung.
3. Allfällige Umstellung auf verschlüsselten FTP-Verkehr.
4. Änderung des FTP-Passworts via Plesk Admin-Tool.
Das Passwort darf nicht mehr auf das Vorgängige
zurückgesetzt werden, da dieses bekannt und
somit nicht mehr sicher ist.
5. Entfernung des Schadcodes.
Die Dateien können hierzu auf 644 gesetzt werden,
um diese danach zu bereinigen.
Nun habe ich ja überhaupt keine Ahnung, was ich damit anfangen soll und bitte um Hilfe.
-
Hallo,
hier gibt man Dir doch schon an der Hand was Du tun solltest.
-----
Zu treffende Massnahmen Ihrerseits:
1. Umgehende Prüfung und Aktualisierung jeglicher
eingesetzten Web-Applikationen.
2. Prüfung aller Arbeitsstationen mit FTP-Zugriff
auf die genannte Webseite auf Viren und Trojaner und deren
Bereinigung.
3. Allfällige Umstellung auf verschlüsselten FTP-Verkehr.
4. Änderung des FTP-Passworts via Plesk Admin-Tool.
Das Passwort darf nicht mehr auf das Vorgängige
zurückgesetzt werden, da dieses bekannt und
somit nicht mehr sicher ist.
5. Entfernung des Schadcodes.
Die Dateien können hierzu auf 644 gesetzt werden,
um diese danach zu bereinigen.
-----
Du musst das nur abarbeiten.
nobby
-
Hallo
Das sagt mir alles nichts, ausser Punkt 4.
Wie führe ich denn diese ganzen Prüfungen aus?
-
Hallo,
Du hast doch sicher von deinem Provider mal Zugangsdaten bekommen.
Dein Provider benutzt das Toll von PLESK.
Per FTP mit den Zugangsdaten einloggen und Passwort ändern.
Da es mit 4images nichts zu tun hat musst Du dich an deinem Provider wenden.
nobby
-
Ja, das habe ich inzwischen gemacht.