Security Hilfe, auf meinen Webseiten ist schädlicher Scriptcode!

Security
Hilfe, auf meinen Webseiten ist schädlicher Scriptcode!
Sie haben vermutlich ein Problem mit schädlichem Code,
wenn Sie Ihre eigenen Webseiten besuchen und Ihr Virenscanner Alarm schlägt
Wenn Sie eine Mail von unserem Abuse-Department bekommen, daß Ihre Webseiten
schädlich sind
Wenn Sie eine Mail von Google bekommen, daß Ihre Webseiten schädlich sind und
Google Surfer davor warnen wird
Wenn Ihre Seiten geändert wurden und Sie sich nicht erklären können, von wem
Keine Panik! Oft ist das Problem schnell behoben. Dieser Artikel widmet sich aber auch den
Ursachen.
Zunächst stellen wir fest, was genau passiert ist und "reinigen" Ihre Webseiten.
Wie finde ich den Schadcode?
Ganz wichtig: Bei Infektionsverdacht vermeiden Sie unbedingt, Ihre Webseite zu besuchen und
sich ggf. selber zu infizieren. Installieren Sie die Firefox-Extension "NoScript" (Link) und
verbieten Sie JavaScript auf Ihrer Seite. Erst dann können Sie gefahrlos darauf surfen.
Besuchen Sie die als schädlich gemeldete Seite und speichern Sie sie ab (an eine Stelle, wo
Sie sie wiederfinden). Öffnen Sie die HTML-Datei und halten Sie Ausschau nach folgenden
möglichen Problemen:
1. IFrame-Exploit: Ein HTMl-Element namens <iframe>, das ein Attribut src="http://" und danach
eine IP-Adresse oder Domainname hat, die Ihnen unbekannt sind, ist fast immer verdächtig.
Von dort wird meist schädliche Software automatisch auf den Computer des Besuchers
geladen.
Die IFrame-Exploits finden sich häufig direkt nach dem HTML-Tag <body> oder direkt vor dem
abschließenden Tag </body> am Ende der Seite.
2. JavaScript-Exploit: Ein JavaScript-Tag <script> und danach vollkommen unleserlicher Code
wie dieser hier: document.write(unescape('%3C%64%69%76%20%73%74...)). Dieses
Javascript ist dazu da, verschleierten Code auf Ihre Webseite einzufügen, der im Endeffekt
dasselbe macht wie ein IFrame-Exploit. Diese Codezeilen werden von den Angreifern oft ganz
unten in der Datei angefügt.
Nun haben Sie das konkrete Problem gefunden. Wiederholen Sie die Suche für alle infizierten
Seiten.
Wie lösche ich den Schadcode?
Aktualisieren Sie nun Ihren Virenscanner auf Ihrem Computer, löschen die infizierte Seite und
prüfen Sie, ob die gefundene Infektion auch auf Ihrem lokalen Backup Ihrer Website vorhanden
ist. Wenn ja, haben Sie ein ernsteres Problem, da Sie zum Einen alle Seiten von Hand reinigen
müssen und zum Anderen vermutlich ein Cracker Zugriff auf Ihren Computer bekommen hat.
Aktualisieren Sie unbedingt Ihr Betriebssystem und Virenscanner, bevor Sie weitermachen.
Seite 1 / 2
(c) 2017 filoo GmbH <[email protected]> | 16.01.2017
URL: https://www.filoo.de/faqindex.php?action=artikel&cat=22&id=54&artlang=de
Security
Die nicht mehr infizierten Seiten laden Sie per FTP auf Ihren Webspace hoch. Danach ändern
Sie im Administrationsinterface unbedingt das FTP-Paßwort. Verwenden Sie Paßwörter mit
mindestens 8 Zeichen Länge, Buchstaben und Zahlen sowie KEINE echten Wörter (wie
"Password", "test123" etc.). Ordentliche Paßwörter sehen so aus: Uh3eeyoo poowei1I
ohp6baiR phei0Lae aLa5Aya8 aekua1Si ve6QuaeS aiQu8eea
Wenn Sie das FTP-Paßwort geändert haben und die Seiten nicht mehr infiziert sind, sollten Sie
Ruhe haben.
Aber wie ist der Angreifer reingekommen?
Die häufigsten Ursachen sind:
1. Unsichere PHP-Skripte auf Ihrem Webspace, z.B. veraltete Forensoftware, CMS, etc.
2. Unsicheres, weil leicht zu ratendes FTP-Paßwort
3. Infektion mit einem Trojaner auf Ihrem PC (oder dem PC einer Person, die FTP-Zugriff
auf Ihre Site hat)
Die Sicherheit des Hostingservers ist nach unseren Erfahrungen in den allerseltensten Fällen
das Problem - meist ist der Angriff durch eine Unachtsamkeit des Domainbesitzers ermöglicht
worden.
Eindeutige ID: #1053
Verfasser: Christopher Kunz
Letzte Änderung: 2011-02-22 11:35
Seite 2 / 2
(c) 2017 filoo GmbH <[email protected]> | 16.01.2017
URL: https://www.filoo.de/faqindex.php?action=artikel&cat=22&id=54&artlang=de
Powered by TCPDF (www.tcpdf.org)