Eigene Homepages mit JS/Blacole.KH.2 infiziert

Question

Hallo,

ich habe 3 Websites im Netz. Eine Seite lag bis vor kurzem auf einem anderen Webserver. Die anderen bei dem gleichen Webserver.

Seit vergangenem Jahr werden alle 3 Seiten mit einem (oder mehreren) bösartigen Script versehen. Nach einem Upload aller Seiten, ist alles wieder sauber. Dies hält aber nur etwa eine Woche an.

Ich habe mal eine infizierte Seite auf meinen PC gedownloaded, da hat sich dann AVIRA gemeldet und dieses bösartige Script ausgespuckt: "JS/Blacole.KH.2"

Mein Webspace-Anbieter meinte, es läge an mir und müsse daher "Sicherungen" installieren. Ich wechsle Passwörter und es geschieht immer wieder. Google hat zudem meinen Webspace-Anbieter angemahnt, er solle unverzüglich die betroffenen Seiten sperren.

2 Seiten nutze ich beuflich, die andere ist eine Webradio-Station.

Soll ich vielleicht auch eine Anzeige machen, gegen Unbekannt?

Ich suche dringend eine Lösung:-)

Grüße,
Daniel

Answer 1

Hallo,

Hatte heute das selbe Problem. Habe mir die
infizierten Seiten angesehen. Und festgestellt das dort
Code vorhanden ist der da nicht hingehört. Hab alle
gängigen Maßnahmen ergriffen und bis jetzt läuft's
einwandfrei. Ich warte die nächsten Tage noch ab. Und
dann werden wir sehen obs funzt.

Hoffe bei Dir klappt's wieder.

Answer 2

wie gesagt, hab die Seiten neu hochgeladen. Das ist aber keine Sicherheit.

Answer 3

Welches Tool hast benutzt zum Hochladen?

Answer 4

WS FTP Pro

Answer 5

Gut, zumindest nich FZ.
ja jetzt hilft nur noch abwarten und Tee trinken. Und die
Serverprotokolle im Blick behalten, ob sich was verdächtiges tut. Bei
mir war's wahrscheinlich so das jemand meine Passwörter abgegriffen
hat. Und so an den Quelltext kam.

Answer 6

Hallo zusammen mir ging es ähnlich, dann war drei Wochen Ruhe und Zack! Wieder.
Habt Ihr "normale" html Seiten oder ein CMS wie Typo3?

Bei mir werden nur Typo3 installationen befallen.
Habe alles dicht. Verzeichnisschutz, neue Passwörter, rsa und salted password Typo3 auf letztem Stand.

Mir fällt nix mehr ein???

Habt Ihr was neues

Answer 7

Hallo,

auf meiner Webseite hatte ich heute Nachmittag auch das Problem,
dass auf einmal der Blacole.kh Virus drin war. Ich benutze Joomla in
der neuesten Version.
Ich habe jetzt die alten Dateien vom Webserver gelöscht und werde
eine Sicherung einspielen. Danach Passwörter ändern.
Ich glaube jemand hat die Passwörter bei mir abgegriffen als ich mich
vom Computer meiner Mutter in Joomla eingeloggt habe. Vorher hatte
ich diese Probleme nämlich nicht.

Grüße,
Sascha

Answer 8

Hallo,

Auf meinem Server läuft alles mögliche. Selfmade und
CMS Systeme. Das Problem ist denk ich nicht die
Passwörter für die Software die läuft sondern die
Verbindungsdaten zum Server selbst. Also zuerst mal
alles vom Server löschen. Danach Zugangsdaten
ändern und Backup auf den Server spielen. Und bitte
immer auch zuerst das Betriebssystem prüfen ob das
Sauber ist. Und auf gar keinen Fall Filezilla benutzen.
Bei mir waren alle HTML Seiten befallen und
Index.PHP Seiten. Andere Skipte waren sauber.

Wer noch ne bessere Methode hat, kann sich ja mal
melden.

Gruß Moppi

Answer 9

Hallo,

habe alles immer so gemacht wie du. Alles löschen inkl SQL Datenbank und Backup wieder drauf.

Auch bei mir waren alle html Seiten aber auch alle Index.php befallen. Also auch Typo3 Backend, SQL Dumper usm.

An das Server BS komme ich nicht dran weil besagte Seiten leider bei einem Webhoster sind. Der schwört natürlich Stein und Bein das er nichts dafür kann.

Und jedesmal nach zwei bis drei Wochen ist "ER" wieder da. Jetzt schon zum dritten mal. Hab auch schon die komplette Typo3 Security Checklist durch und habe alles auf dem neusten Stand.
Sperre sogar die FTP und SSH Zugänge wenn ich nicht auf die Seite muss.
Das kann ja nicht ewig so weiter gehen. Mehrmals täglich die Seite zu checken. Muss ich aber zur Zeit weil Google das sehr schnell mitbekommt wenn man Schadcode auf seiner Seite hat.

Aber was hat es denn mit dem FZ auf sich? Ich mein klar, er speichert die Passwörter im Klartext aber mein Rechner selbst ist ja Schädlingsfrei. Oder gibt es noch andere Probleme mit FZ?
Werde auf jeden Fall jetzt mal einen anderen Client benutzen.

Ich wünsch uns Glück das wir jetzt "sauber" bleiben

Answer 10

Guten Morgen.

Ich vertraue Filezilla einfach nich mehr, nachdem ich mitbekommeh
hab was unverschlüsselte Passwörter anrichten. Sicher es hätte aich
nen Keylogger sein können. Aber wie können dann Seiten befallen sein
auf denen seid Monaten nichts geändert worden ist und die Zudem
dann auch noch auf einem separaten Server liegen. (nich Fragen
warum... Is ne Langzeitstudie). Irgendwie ist irgendwer an die
Passwörter für die von mir betreuten Server gekommen und das
einzige Tool das alle Pw kennt ist nun mal Filezilla. Und an Zufälle
glaub ich in dem Fall nich.

Sicher das BS vom Server auf Viren zu prüfen ist recht schwierig. Ich
meinte aber auch eher dein lokales BS. Aber wenn das Sauber ist
dürfte da ja nicht das Problem liegen.

Ich werd mir in den nächsten Tagen mal ne Testumgebung aufbaun
um die Sicherheit zu erhöhen.

Na mal sehen was passiert.

Wir kriegen das wieder hin ;)