Eigene Homepages mit JS/Blacole.KH.2 infiziert

Question

Hallo,

ich habe 3 Websites im Netz. Eine Seite lag bis vor kurzem auf einem anderen Webserver. Die anderen bei dem gleichen Webserver.

Seit vergangenem Jahr werden alle 3 Seiten mit einem (oder mehreren) bösartigen Script versehen. Nach einem Upload aller Seiten, ist alles wieder sauber. Dies hält aber nur etwa eine Woche an.

Ich habe mal eine infizierte Seite auf meinen PC gedownloaded, da hat sich dann AVIRA gemeldet und dieses bösartige Script ausgespuckt: "JS/Blacole.KH.2"

Mein Webspace-Anbieter meinte, es läge an mir und müsse daher "Sicherungen" installieren. Ich wechsle Passwörter und es geschieht immer wieder. Google hat zudem meinen Webspace-Anbieter angemahnt, er solle unverzüglich die betroffenen Seiten sperren.

2 Seiten nutze ich beuflich, die andere ist eine Webradio-Station.

Soll ich vielleicht auch eine Anzeige machen, gegen Unbekannt?

Ich suche dringend eine Lösung:-)

Grüße,
Daniel

Answer 1

Tja, auch bei mir hat der Webhoster gesagt, dass von seiner Seite aus alles getan wurde, um seine Server "sicher" zu machen.

Versteh dann nicht, wieso alle paar Wochen wieder auf meinen Seiten rumgescriptet wird. Habe ja Passwort geändert. Nur seh ich das nicht mehr ein, ständig neue Passwörter zu überlegen.

Der Weboster hat mir nur gesagt, dass ich die Zugangsberechtigungen für Ordner und Dateien noch weiter einschränken soll - hab ich nun auch getan.

Ob's hilft?

Answer 2

Das mit den Zugangsberechtigungen ist humbug.
Wenn sich jemand mit deinem Login auf den Server
schaltet, nutzt das mal gar nichts.

Ich weiß ehrlich gesagt auch keine Patentlösung, ich
weiß nur das irgendwo ein leck sein muss, was die
scripter ausnutzen, und das muss dicht.

Wir als Admins unserer Seiten können nur dafür
sorgen das unsere Systeme immer aktuell und Sauber
sind, genügend Backups gefahren werden, und alle
paar Monate mal die Passwörter ändern.

Answer 3

@hitXLDaniel

Dateiberechtigungen einschränken hat mein Hoster auch gesagt.
Waren aber eh nur die nötigsten Verzeichnisse ungeschützt.

Aber die beste Antwort hat mein Kollege von Starto bekommen:
Er soll doch bis das Problem gefunden ist den Schreibschutz der ganzen Domain aktivieren!! Und das bei Typo3 ??????
Also ich denke das auch die "großen" Provider nicht immer wissen was sie so erzählen

Answer 4

Nabend,

das viele nicht wissen was sie erzählen liegt meiner Meinung am
Outsourcen von Support in irgendwelche Callcenter. Die Mitarbeiter
werden zwar geschult, aber das reicht in den meisten Fällen auch nur
für Standardanfragen.

Wie auch immer Schreib und Dateiberechtigungen nutzen nur was
wenn man auch dem Hacker eine Rolle zuweist.... Und soweit mein
Kenntnisstand ist fragen die vorher nicht ob sie auf den Servern was
ändern dürfen.

Manche Aussagen von Providern klingen so als ob sie den Kunden
einfach nur ruhigstellen wollen. Denn es kann ja (aus deren sicht) nur
am Kunden liegen. Soll ja niemand mitbekommen das große Provider
ein Sicherheitsleck haben.

Ich hoffe nur das der Spuk bald ein Ende hat.

Answer 5

Habe gerade ein sehr langes und seltsamerweise sehr aufschlussreiches Supportgespräch gehabt.

Das Problem scheint nicht bei FZ selbst zu liegen sondern das FTP Transfer über Port 21 allgemein eben unverschlüsselt passiert. Egal welcher Client.
Mir wurde nun empfohlen über eine SFTP/SSH Verbindung über Port 22 meinen Zugang zu benutzen und den FTP Zugang komplett zu deaktivieren.
Weiterer Vorteil laut Support: Diesen Port nutzten sehr wenige, daher geht es meist auch schneller. (Stimmt bei mir :-) )


Mal sehen ob es was hilft

Answer 6

ui, klingt mal nach einem neuen und interessanten Tipp:-)
Mein Support hat mir eine kostenpflichtige Überwachung meiner Pages empfohlen (70,00 EURO / Page und Jahr).

Da ich nicht so fit bin, könntest Du mir mal die Schritte erklären, wie ich das über mein FTP-Programm einstellen muss? Ich habe "WS FTP Pro".

Gruß
Daniel

Answer 7

So, am 15.02. gabs wieder einen Angriff... musste die Seiten erneut hochladen.
Ich könnt' verzweifeln...

Answer 8

@hitXLDaniel :

Das mit dem SSH ist von deinem Provider abhängig. Habe bei Strato eine ganz andere Serveradresse als für FTP und einen anderen Port. Habe auf meiner Seite jetzt FTP komplett gesperrt.
Mal schauen ob das das Leck war.

Hatte jedoch mit WINSCP Schwierigkeiten. Kam im Root des Stratoservers raus. Und dann den "Weg" zu meinem Webspace zu finden war leider ohne Support nicht möglich.
Filezilla witzigerweise kam genau in "meinem" root raus???
Benutze auch noch Filezilla da SSH definitiv verschlüsselt ist und meine eigenen Rechner wie gesagt sauber sind


Gruß