Security Hilfe, auf meinen Webseiten ist schädlicher Scriptcode!
Transcription
Security Hilfe, auf meinen Webseiten ist schädlicher Scriptcode!
Security Hilfe, auf meinen Webseiten ist schädlicher Scriptcode! Sie haben vermutlich ein Problem mit schädlichem Code, wenn Sie Ihre eigenen Webseiten besuchen und Ihr Virenscanner Alarm schlägt Wenn Sie eine Mail von unserem Abuse-Department bekommen, daß Ihre Webseiten schädlich sind Wenn Sie eine Mail von Google bekommen, daß Ihre Webseiten schädlich sind und Google Surfer davor warnen wird Wenn Ihre Seiten geändert wurden und Sie sich nicht erklären können, von wem Keine Panik! Oft ist das Problem schnell behoben. Dieser Artikel widmet sich aber auch den Ursachen. Zunächst stellen wir fest, was genau passiert ist und "reinigen" Ihre Webseiten. Wie finde ich den Schadcode? Ganz wichtig: Bei Infektionsverdacht vermeiden Sie unbedingt, Ihre Webseite zu besuchen und sich ggf. selber zu infizieren. Installieren Sie die Firefox-Extension "NoScript" (Link) und verbieten Sie JavaScript auf Ihrer Seite. Erst dann können Sie gefahrlos darauf surfen. Besuchen Sie die als schädlich gemeldete Seite und speichern Sie sie ab (an eine Stelle, wo Sie sie wiederfinden). Öffnen Sie die HTML-Datei und halten Sie Ausschau nach folgenden möglichen Problemen: 1. IFrame-Exploit: Ein HTMl-Element namens <iframe>, das ein Attribut src="http://" und danach eine IP-Adresse oder Domainname hat, die Ihnen unbekannt sind, ist fast immer verdächtig. Von dort wird meist schädliche Software automatisch auf den Computer des Besuchers geladen. Die IFrame-Exploits finden sich häufig direkt nach dem HTML-Tag <body> oder direkt vor dem abschließenden Tag </body> am Ende der Seite. 2. JavaScript-Exploit: Ein JavaScript-Tag <script> und danach vollkommen unleserlicher Code wie dieser hier: document.write(unescape('%3C%64%69%76%20%73%74...)). Dieses Javascript ist dazu da, verschleierten Code auf Ihre Webseite einzufügen, der im Endeffekt dasselbe macht wie ein IFrame-Exploit. Diese Codezeilen werden von den Angreifern oft ganz unten in der Datei angefügt. Nun haben Sie das konkrete Problem gefunden. Wiederholen Sie die Suche für alle infizierten Seiten. Wie lösche ich den Schadcode? Aktualisieren Sie nun Ihren Virenscanner auf Ihrem Computer, löschen die infizierte Seite und prüfen Sie, ob die gefundene Infektion auch auf Ihrem lokalen Backup Ihrer Website vorhanden ist. Wenn ja, haben Sie ein ernsteres Problem, da Sie zum Einen alle Seiten von Hand reinigen müssen und zum Anderen vermutlich ein Cracker Zugriff auf Ihren Computer bekommen hat. Aktualisieren Sie unbedingt Ihr Betriebssystem und Virenscanner, bevor Sie weitermachen. Seite 1 / 2 (c) 2017 filoo GmbH <[email protected]> | 16.01.2017 URL: https://www.filoo.de/faqindex.php?action=artikel&cat=22&id=54&artlang=de Security Die nicht mehr infizierten Seiten laden Sie per FTP auf Ihren Webspace hoch. Danach ändern Sie im Administrationsinterface unbedingt das FTP-Paßwort. Verwenden Sie Paßwörter mit mindestens 8 Zeichen Länge, Buchstaben und Zahlen sowie KEINE echten Wörter (wie "Password", "test123" etc.). Ordentliche Paßwörter sehen so aus: Uh3eeyoo poowei1I ohp6baiR phei0Lae aLa5Aya8 aekua1Si ve6QuaeS aiQu8eea Wenn Sie das FTP-Paßwort geändert haben und die Seiten nicht mehr infiziert sind, sollten Sie Ruhe haben. Aber wie ist der Angreifer reingekommen? Die häufigsten Ursachen sind: 1. Unsichere PHP-Skripte auf Ihrem Webspace, z.B. veraltete Forensoftware, CMS, etc. 2. Unsicheres, weil leicht zu ratendes FTP-Paßwort 3. Infektion mit einem Trojaner auf Ihrem PC (oder dem PC einer Person, die FTP-Zugriff auf Ihre Site hat) Die Sicherheit des Hostingservers ist nach unseren Erfahrungen in den allerseltensten Fällen das Problem - meist ist der Angriff durch eine Unachtsamkeit des Domainbesitzers ermöglicht worden. Eindeutige ID: #1053 Verfasser: Christopher Kunz Letzte Änderung: 2011-02-22 11:35 Seite 2 / 2 (c) 2017 filoo GmbH <[email protected]> | 16.01.2017 URL: https://www.filoo.de/faqindex.php?action=artikel&cat=22&id=54&artlang=de Powered by TCPDF (www.tcpdf.org)