nicht angemeldet
Hello,
- Dann solltest du recherchieren, woher der Angriff kam und welche Sicherheitslücke ausgenutzt wurde. Mit dem Wissen, dass es sich um einen Massenangriff handelt, wirst du vermutlich schnell mit einer Suchmaschine fündig. Hat das eingeschleuste Skript auf irgend eine andere Seite weitergeleitet, oder gab es einen charakteristischen Text zu sehen? Das wären Suchbegriffe, die sich bei der Recherche gut eignen.
ja, so gehe ich auch immer und recht erfolgreich damit um, wenn sich ein rechner irgendwann merkwürdig verhält. Bei diesem konkreten Problem finde ich kaum was verwertbares im Netz. Firebug zeigt zwei Requests auf externe Ressourcen im Network-Panel an, die ich nicht zuordnen kann und die verdächtig sein könnten:
1. das js, dass für das Popup verantwortlich zu sein scheint wird von einer lets-study-english.com geladen, mit der ich nichts anfangen kann.
2. dann gibt es einen Request auf eine 0.gravatar.com, den ich nicht zuordnen kann
... aber google gibt mir keine desbezüglich eindeutigen Hinweise.
Ich habe gerade einen neuen Anhaltspunkt:
Mein FTP-Client zeigt an, dass sämtlichen Dateien/Verzeichnisse auf oberster Dateiebene ein Änderungsdatum "vor 3 Tagen" haben und in der index.php ist am Ende ein "<script ...". Das kann ich nun natürlich einfach wieder rausschmeissen und das Problem wird damit behoben sein, aber eben nicht dauerhaft und vor Allem würde ich das gerne interpretieren, um das Problem
dauerhaft und vollständig zu beseitigen:
Ich gehe nun davon aus, dass irgendWAS einen FTP-Zugang zum Server hat. Das grenzt das Problem ein und schliesst Sicherheitslücken im PHP-Code (z.b. mysql-injection) weitgehend aus aber auch nachdem ich das System bereitigt hätte, wäre diesem irgendWAS der FTP-Zugang noch bekannt und das Problem wird sich potentiell wiederholen. Ändere ich die Passwörter aller FTP-User stellt sich immernoch die Frage, wie ist das irgendWAS an den FTP-Zugang gekommen
und könnte das wieder passieren?
Kann da tatsächlich nur der Kunde (oder sonstwer) mit dem Passwort unvorsichtig umgegangen sein oder kann es vielleicht doch sein, dass 1&1 die undichte Stelle ist, bei denen sich irgendwelche Bots Zugang zum Kundenwebspace verschaffen können.
gruss,
heinetz