Infizierte Internetseite – wie passiert das???

Dieses Thema enthält 4 Antworten und 2 Teilnehmer. Es wurde zuletzt aktualisiert von  oldi-40 21. November 2014 at 01:24.

Ansicht von 5 Beiträgen - 1 bis 5 (von insgesamt 5)
  • Autor
    Beiträge
  • #44031

    Hallo zusammen,

    eine Kundin von mir erstellt die Internetseite
    http://www.kirche-gleschendorf.de/
    Die Seite war in der letzten Zeit mehrfach infiziert und wurde von Google nicht angezeigt…
    Jetzt interessiert es mich mal, wie die Infizierung auf die Seite kommt!!!!
    Die erste Variante, das Notebook, wo programmiert wurde war Viren verseucht und lief unter XP. So können die Daten versucht direkt ins Internet gelangt sein! :info:
    Die Seiten liegen bei Strato. Kann das Passwort geknackt worden sein und so wurden die Daten missbraucht???
    Gibt es z.B. bei Strato eine Logdatei, wo die Zugriffe/Anmeldung protokoliert wird???
    Habt Ihr noch andere Ideen???
    Herzlichen Dank!!!

    Liebe Grüße
    (ein muss alles wissen…) Ulli

    #152422

    oldi-40
    Moderator

    Hallo upiethe,

    Jetzt interessiert es mich mal, wie die Infizierung auf die Seite kommt!!!!
    Die erste Variante, das Notebook, wo programmiert wurde war Viren verseucht und lief unter XP. So können die Daten versucht direkt ins Internet gelangt sein!

    Virenverseucht glaube ich nicht, eher Links auf verseuchte Seiten.
    Das kann ein Passwortproblem sein, ist aber nur eine Vermutung.
    Dazu müsste man den Quelltext der gesperrten Seite analysieren.

    Ich habe das mal Intern gemeldet und hoffe auf eine Antwort der Kollegen von der Initiative S. Die Seite am besten dort mal anmelden.

    Nebenbei, XP ist unsicher.
    Du kannst ja mal Logs vom Notebook senden.

    Suchlauf mit Farbar Recovery Scan Tool – USB-Stick – abges. Modus

    Lade Farbar Recovery Scan Tool herunter und speichere das Programm auf einem USB-Stick. Schließe den USB-Stick an das infizierte System an. User mit 64-Bit-Systemen laden bitte diese x64-Version herunter.

    Starte den Computer in den abgesicherten Modus mit Eingabeaufforderung:

      [*] Gib nun bitte notepad ein und drücke Enter.[*] Im Textdokument => Datei => Speichern unter und wähle Computer
      Nun wird Dir u. a. der Laufwerksbuchstabe des USB-Sticks angezeigt.
      Merke Dir den Laufwerksbuchstaben.[*] Schließe Notepad wieder.[*] Gib nun bitte folgenden Befehl in der Eingabeaufforderung ein:
      x:frst.exe
      Hinweis: x
      steht für den Laufwerksbuchstaben Deines USB-Sticks, ggfs. anpassen.[*] Akzeptiere den Disclaimer mit Yes und klicke Scan

    Das Tool erstellt einen Bericht namens FRST.txt auf Deinem USB-Stick. Poste den Inhalt bitte hier als Anhang, indem Du über den Button “Erweitert” im Textfeld auf “Anhänge verwalten” gehst und die FRST.txt als Anhang hochlädst.

    Tschau

    #152421

    Anonym

    @upiethe 122290 wrote:

    Jetzt interessiert es mich mal, wie die Infizierung auf die Seite kommt!!!!
    Die erste Variante, das Notebook, wo programmiert wurde war Viren verseucht und lief unter XP. So können die Daten versucht direkt ins Internet gelangt sein! :info:
    Die Seiten liegen bei Strato. Kann das Passwort geknackt worden sein und so wurden die Daten missbraucht???
    Gibt es z.B. bei Strato eine Logdatei, wo die Zugriffe/Anmeldung protokoliert wird???
    Habt Ihr noch andere Ideen???

    Da die Seite aus reinem HTML zu sein scheint, kommt ein Hack über eine Sicherheitslücke im Quellcode der Webseite nicht in Betracht. Die Vermutung, dass das Passwort für den FTP-Account missbraucht wurde liegt daher sehr nahe. Hierzu gibt es mehrere Möglichkeiten:

    – Das Passwort war zu leicht und konnte “ausprobiert” werden!
    – Auf dem Rechner befindet sich ein Passwort-Stealer, der das Passwort gemopst und in den Untergrund gemeldet hat
    – die Kundin nutzt ein kompromottiertes FTP-Programm, weil sie es aus einer falschen Quelle geladen hat
    – die Kundin lädt das Zeug selbst schon “virenverseucht” hoch
    – Vllt. hat die Kundin noch einen “Test-Account”, den Sie vergessen hat abzuschalten? Mit Passwort “12345” oder “test”.

    Im Nachgang jetzt zu sehen, woran das liegt ist schwierig. In der Regel geht man anhand des Zeitstempels der “manipulierten” Datei durch die FTP und ACCESS-Logs des Servers und schaut sich an, was kurz vor dem Zeitpunkt passiert ist, als die Datei erstellt oder geändert wurde.

    Grüße,
    TK, ABBZ

    #152424

    Juhu zusammen,

    es ist mal wieder soweit. Meine Kundin meldet den nächsten Angriff. Schaut doch mal auf
    http://www.kirche-gleschendorf.de/
    Da kommt sofort der Warnhinweis von Google. Soll ich mal mit Strato Kontakt aufnehmen, um Logfiles oder ein Einlogprotokoll oder so vorliegt???
    Oder was würdet Ihr machen???:cry:

    Vielen Dank!!!!

    LG Ulli

    #152423

    oldi-40
    Moderator

    Hallo upiethe,

    Im Nachgang jetzt zu sehen, woran das liegt ist schwierig. In der Regel geht man anhand des Zeitstempels der “manipulierten” Datei durch die FTP und ACCESS-Logs des Servers und schaut sich an, was kurz vor dem Zeitpunkt passiert ist, als die Datei erstellt oder geändert wurde.

    Soll ich mal mit Strato Kontakt aufnehmen, um Logfiles oder ein Einlogprotokoll oder so vorliegt???

    Die Idee mit den Logfiles ist schon mal OK.
    Irgendwie handelt sich es um einen externen Link den Googel bemängelt.

    Zur Zeit -21. Nov 14 ist die Seite sauber, aber was war vorher?

    Dazu benötigt man eine zeitnahe Meldung, in der die Seite nicht geändert wurde.

    Die Google-Warnung bezieht sich auf 90 Tage.

    Tschau

Ansicht von 5 Beiträgen - 1 bis 5 (von insgesamt 5)

Das Thema „Infizierte Internetseite – wie passiert das???“ ist für neue Antworten geschlossen.