Webseite wurde gesperrt – habe alles neu aufgesetzt,brauche Hilfe bei der Überprüfung

Dieses Thema enthält 2 Antworten und 3 Teilnehmer. Es wurde zuletzt aktualisiert von  msi 6. November 2015 at 09:32.

Ansicht von 3 Beiträgen - 1 bis 3 (von insgesamt 3)
  • Autor
    Beiträge
  • #44413

    Hallo meine Webseite wurde nach einem Hackerangriff gesperrt (Joomla),

    nun habe ich die aktuelle Version aufgespielt und eine ältere Datenbanksicherung verwendet.
    Leider bin ich mir nicht sicher ob die Seite jetzt frei von Schädlingen ist.

    Admins wurden in der Datenbank überprüft, neue Passwortvergabe ist erfolgt usw.

    Auf meinem PC läuft Kaspersky, habe einen sitecheck per sucuri.net vorgenommen. Eine Menge php Dateien von Schadsoftware befreit usw.

    Hat jemand noch eine Idee? Vielen Dank!

    #157072

    oldi-40
    Moderator

    Hallo genervtundwie,

    ich habe deine Anfrage mal intern weitergeleitet.

    Du bist ein Fall für die Initiative-S.

    Tschau

    #157071

    msi
    Teilnehmer

    Hallo genervtundwie,

    will man eine richtige Analyse von deinem Webspace machen, dann muss man die original Zeitstempel der Dateien haben um damit auf dem Webspace nach weiteren Dateien zu suchen und den Angriff in den Logs-Dateien nachvollziehen zu können. Das Bereinigen mit Tools wie einem Anti-Virus ist zwar schön und gut, aber leider auch häufig nicht vollständig. Und auch das einspielen von Backups macht wirklich nur dann Sinn, wenn man vorher analysiert hat, wann der Angriff stattgefunden hat. Sonst lädt man die Schadsoftware im Zweifel einfach wieder mit hoch.

    Was man versuchen kann ist sich anhand der Access-Logs lang zu hangeln um zu schauen, ab wann denn der Schadcode der in deinen Dateien war aufgerufen wurde.

    Hast du den Stand der Dateien zum Zeitpunkt der Infektion festgehalten (Backups, Aufgeschrieben)?

    Mit Zeitstempeln ist die Analyse des Webspaces am einfachsten.

    Was für ein Schadcode, wurde auf der Webseite eingefügt?

    Falls es Schadcode ist, der ein eindeutiges Aufrufmuster beim Aufrufen (in den Access-Logs) hinterlässt kann man evtl. hieran den Zeitpunkt der Infektion nachvollziehen und dann herausfinden, wie die Schadsoftware auf den Space kam.

    Waren auch neue Dateien auf dem Webspace?

    Für neue Dateien gilt das gleiche, wie für Dateien mit eindeutigem Aufrufmuster.

    Viele Grüße,
    msi

Ansicht von 3 Beiträgen - 1 bis 3 (von insgesamt 3)

Du musst angemeldet sein, um auf dieses Thema antworten zu können.