Webseite wird als attakierend eingestuft

  • Meine Seite wird seit heute als attakierend eingestuft.
    Zum Teil finde ich per ftp gestern veränderte Dateien, die den Zusatz (bewusst hier ohne php-tags)
    <?
    #da3e94#
    echo " <script type=\"text/javascript\" language=\"javascript\" > </script>";


    #/da3e94#
    ?>


    haben, wobei das echo so gar nicht sichtbar ist...


    Hauptsächlich sind js dateien betroffen, aber auch andere. Habe jetzt manuell alles aus diesen Datein entfernt.


    Wie kommt so etwas und wie kann ich mich schützen?

  • das hab ich u.a. im log von gestern (neben den vielen anderen):


    Sat Jun 15 23:11:18 2013 0 94.23.2.17 9346 /www/htdocs/w00fa8ed/compressed.js a _ i r w00fa8ed ftp 0 * c


    und die zugehörige Info zu der ip:
    [TABLE='width: 728, align: center']
    [TR='bgcolor: #ffffff']
    [TD='align: left']Details zur IP-Adresse 94.23.2.17[/TD]
    [/TR]
    [TR='bgcolor: #ffffff']
    [TD='align: left']
    % This is the RIPE Database query service. % The objects are in RPSL format. % % The RIPE Database is subject to Terms and Conditions. % See http://www.ripe.net/db/support/db-terms-conditions.pdf % Note: this output has been filtered. % To receive output for a database update, use the "-B" flag. % Information related to '94.23.0.0 - 94.23.63.255' inetnum: 94.23.0.0 - 94.23.63.255 netname: OVH descr: OVH SAS descr: Dedicated Servers descr: http://www.ovh.com country: FR admin-c: OK217-RIPE tech-c: OTC2-RIPE status: ASSIGNED PA mnt-by: OVH-MNT source: RIPE # Filtered % Information related to '94.23.0.0/16AS16276' route: 94.23.0.0/16 descr: OVH ISP descr: Paris, France origin: AS16276 mnt-by: OVH-MNT source: RIPE # Filtered % This query was served by the RIPE Database Query Service version 1.66.3 (WHOIS3) [/TD]
    [/TR]
    [/TABLE]

  • Du solltest sofort:
    * alle Dateien vom Webspace löschen (nicht runterladen)
    * alle Zugangsdaten zu deinem Webhosting ändern
    * deine eigenen Computer auf Viren hin prüfen (denn von da könnten "sie" das Passwort für den Webspace haben)
    * ggfs. auch vorhandene Datenbanken löschen


    Denn ein infiziertes Web kann nur negative Folgen für dich und deine Webseitenbesucher haben. Solltest Du irgendwo ein PHP-Script verwendet haben, welches Du als Backup noch bei dir lokal hast, schau es dir hinsichtlich Sicherheitsrisiken an bevor Du es wieder verwendest.

  • So, habe die Rücksetzung aller meiner Domains beantragt.


    Filezilla speichert die Passwörter ungesichert - was wohl hier mein Verhängnis war. Dabei pass ich schon so auf, wenn ich mir Testprogramme runterlade. Aber dieses mal hat es mich erwischt ....


    Am WE werde ich dann zusätzlich meinen Rechner testen und ggf. neu aufsetzen.


    Wie kann ich für die Zukunft Filezilla und notepad++ entsprechend sichern? Passwörter gar nicht erst speichern oder absichern?

  • Ich mach ein Update auf Gehirn 1.2 und Merk 1.1 - aber ob ich das Virenfrei bekomme :roll:


    Egal, sind die webspaces dann aufgeräumt und von Versuchs-Installationen befreit, die ich nicht selber entfernen konnte.


    Mich zehnmal in den Orsch beiß, das mir sowas passiert :mad:

  • So, alle webspaces "genullt", bei all-inkl ein Backup einspielen lassen, und bei evanzo do it by hand...


    Weg von filezilla und hin zu winscp (wurde mir auch von allinkl telefonisch empfohlen).
    Ich war wohl (in diversen Foren zu lesen) nicht die einzigste die es erwischt hat...
    In den webmaster-tools habe ich Antrag auf erneute Überprüfung gestellt - die haben aber alle Seiten erneut geprüft als die webspaces leer waren :twisted: - 404 Fehler ohne Ende.
    Bekomme ich Bescheid von der Überprüfung oder geht das einfach so?

  • Hab ich schon alles gemacht...
    Meldung durch google - im Laufe des Tages /des folgenden Tages (18.6 und 19.6) alle drei Seiten gelöscht (komplett) durch den jeweiligen Hoster, eine Seite (die all-inkl) mit einem Backup ersetzt, die beiden anderen manuell mit einem Backup auf der Festplatte ersetzt, dabei jede Datei durchgesehen. Alle mit Änderungsdatum von vor mindestens 6 Wochen (war faul).
    Angemeldet sind alle drei Seiten in den Webmastertools (schon länger), Überprüfung vor 5 Tagen beantragt - Malwarewarnung in google webmastertools bleibt

    Zitat

    Status der letzten Badware-Überprüfung dieser Website: Diese Website wird noch überprüft. Bitte versuchen Sie es später erneut.


    Für alle drei Seiten zeigt mir die Diagnostic-Seite folgendes an:

    Zitat

    [INDENT]Diese Website ist momentan nicht als verdächtig eingestuft.
    Ein Teil dieser Website wurde aufgrund verdächtiger Aktivitäten in den letzten 90 Tagen 1 mal auf die Liste gesetzt.


    [/INDENT]

  • mmmh eigentlich sollte google da etwas shcneller sein, wie ich meine...
    aber es scheint ao, als wäre die erste gefahr gebannt, jedoch bleibt es nicht aus auch mal nach deinen löchern zu suchen :)
    irgendwo her muss des ja gekommen sein

  • Ich habe fünf oder sechs verschiedene Scanner über meinen Rechner laufen lassen - aber nur einer hat was gefunden in einem Programm, welches ich mir auf einer spanischen (Uni) Seite geholt hatte, wobei das "seriös" aussieht (http://www.mybiosoftware.com/population-genetics/4733). Ob das jetzt letztendlich der Auslöser war ???
    Sicherheitshalber hab ich den Rechner so richtig neu aufgesetzt, somit sollte alles clean sein...


    Und die Meldung in den Webmastertools ist auch heute noch die gleiche :mad:, aber angezeigt werden die Seiten wieder normal