wie Maleware auf Webseite identifizieren – SELFHTML-Forum Forum als Ergänzung zum SELFHTML-Wiki und zur Dokumentation SELFHTML https://forum.selfhtml.org/self wie Maleware auf Webseite identifizieren Tue, 03 Jan 17 14:11:49 Z https://forum.selfhtml.org/self/2017/jan/3/wie-maleware-auf-webseite-identifizieren/1683588#m1683588 https://forum.selfhtml.org/self/2017/jan/3/wie-maleware-auf-webseite-identifizieren/1683588#m1683588 <p>Hallo,</p> <p>ein Kunde von mir schaltet eine Google AdWords-Kampagne.</p> <p>Google hat dummerweise die Webseite des Kunden gesperrt, weil die Webseite angeblich Maleware beinhaltet.</p> <p>Könnt Ihr mir sagen wie man herausfinden kann, wo auf der Webseite die Maleware liegt bzw. um welche konkrete Malware es sich handelt?</p> <p>Gibt es spezielle Virenscanner für das Scannen von Servern bzw. Webseiten?</p> wie Maleware auf Webseite identifizieren Tue, 03 Jan 17 14:21:45 Z https://forum.selfhtml.org/self/2017/jan/3/wie-maleware-auf-webseite-identifizieren/1683591#m1683591 https://forum.selfhtml.org/self/2017/jan/3/wie-maleware-auf-webseite-identifizieren/1683591#m1683591 <p>Hallo Karl Heinz,</p> <blockquote> <p>Könnt Ihr mir sagen wie man herausfinden kann, wo auf der Webseite die Maleware liegt bzw. um welche konkrete Malware es sich handelt?</p> </blockquote> <p>Google sollte können. In der Meldung steht doch sicher ein bisschen mehr als nur „Malware gefunden“?</p> <blockquote> <p>Gibt es spezielle Virenscanner für das Scannen von Servern bzw. Webseiten?</p> </blockquote> <p>Ich kenne <a href="http://www.urlvoid.com/" rel="nofollow noopener noreferrer">http://www.urlvoid.com/</a></p> <p>Bis demnächst<br> Matthias</p> <div class="signature">-- <br> Dieses Forum nutzt Markdown. Im <a href="https://wiki.selfhtml.org" rel="nofollow noopener noreferrer">Wiki</a> erhalten Sie <a href="https://wiki.selfhtml.org/wiki/SELFHTML:Forum/Formatierung_der_Beitr%C3%A4ge" rel="nofollow noopener noreferrer">Hilfe bei der Formatierung Ihrer Beiträge</a>. </div> wie Maleware auf Webseite identifizieren Tue, 03 Jan 17 14:36:44 Z https://forum.selfhtml.org/self/2017/jan/3/wie-maleware-auf-webseite-identifizieren/1683593#m1683593 https://forum.selfhtml.org/self/2017/jan/3/wie-maleware-auf-webseite-identifizieren/1683593#m1683593 <p>Tach!</p> <blockquote> <p>Könnt Ihr mir sagen wie man herausfinden kann, wo auf der Webseite die Maleware liegt bzw. um welche konkrete Malware es sich handelt?</p> </blockquote> <p>Umherschauen, wo überall Zeug drin ist, das man nicht selbst dahingetan hat. Das ist naturgemäß schwierig, wenn man fremde Softwareprodukte einsetzt. Das meiste erkennt man daran, dass es sich zu tarnen versucht, wohingegen die eigentliche Software mit lesbarem Code daherkommt. Auch gibt es da Tricks wie überlange Zeilen, mit vielen Leerzeichen vorndran, die man nicht als bösartig erkennt, wenn Wrap (Umbrechen von Zeilen) ausgeschaltet ist. Außerdem ist das recht mühsam, wenn die Software aus vielen Dateien besteht. Das trifft aber meist auch für die eigene Software zu.</p> <p>Besser ist es, im Vorfeld bereits Maßnahmen zu ergreifen, um ungeplante Änderungen feststellen zu können. Zum Beispiel kann man dazu Tools wie <a href="http://aide.sourceforge.net/" rel="nofollow noopener noreferrer">AIDE</a> verwenden. Aber auch Versionskontrollsysteme, wie Git, können Änderungen aufspüren. Mit solchen kann man sogar den ursprünglichen Stand relativ leicht wiederherstellen, besonders wenn man ein unverfälschtes Repository oder eine Kopie davon an sicherem Ort hat.</p> <p>dedlfix.</p> wie Maleware auf Webseite identifizieren Tue, 03 Jan 17 14:56:58 Z https://forum.selfhtml.org/self/2017/jan/3/wie-maleware-auf-webseite-identifizieren/1683594#m1683594 https://forum.selfhtml.org/self/2017/jan/3/wie-maleware-auf-webseite-identifizieren/1683594#m1683594 <blockquote> <p>In der Meldung steht doch sicher ein bisschen mehr als nur „Malware gefunden“?</p> </blockquote> <p>Hier mal die Mail von Google:</p> <blockquote> <p>Lieber AdWords-Kunde,</p> <p>wir möchten Sie darauf hinweisen, dass eine Ihrer Websites gegen unsere Werberichtlinien verstößt. Daher werden Ihre Anzeigen, die mit dieser Website verknüpft sind, nicht mehr ausgeliefert. Zudem werden neue Anzeigen, die auf die Website verweisen, abgelehnt.</p> <p>So können Sie die Website korrigieren, damit Ihre Anzeigen wieder ausgeliefert werden:</p> <ol> <li>Nehmen Sie die erforderlichen Änderungen an der Website vor, die derzeit gegen unsere Richtlinien verstößt:</li> </ol> <p>Angezeigte URL: %%% Richtlinienverstoß: Malware und unerwünschte Software</p> <p>Details und Anleitungen:</p> <p>https://support.google.com/adwordspolicy/answer/6020954#311</p> <ol start="2"> <li>Reichen Sie Ihre Website zur erneuten Überprüfung ein. Folgen Sie dazu der Anleitung unter obigem Link. Wenn Ihre Website unsere Richtlinien befolgt, können wir die Anzeigen wieder freigeben. Wiederholte Sperrungen können dazu führen, dass Ihre Website dauerhaft von der Werbung mit Google ausgeschlossen wird. Wiederholte Verstöße gegen unsere Werberichtlinien können auch zur Sperrung Ihres AdWords-Kontos führen. Informieren Sie sich daher über unsere Richtlinien, um alle Probleme so schnell wie möglich beheben zu können. Weitere Informationen zu den AdWords-Richtlinien zur Kontosperrung finden Sie unter https://support.google.com/adwordspolicy/answer/164786?hl=de&utm_source=policy&utm_medium=email&utm_campaign=spsu.</li> </ol> <p>Mit freundlichen Grüßen Ihr Google AdWords-Team</p> </blockquote> <blockquote> <blockquote> <p>Gibt es spezielle Virenscanner für das Scannen von Servern bzw. Webseiten?</p> </blockquote> <p>Ich kenne <a href="http://www.urlvoid.com/" rel="nofollow noopener noreferrer">http://www.urlvoid.com/</a></p> </blockquote> <p>Habe ich getestet, das Tool sagt die Webseite ist in Ordnung.</p> <p>Sonst noch Ideen?</p> wie Maleware auf Webseite identifizieren Tue, 03 Jan 17 14:58:59 Z https://forum.selfhtml.org/self/2017/jan/3/wie-maleware-auf-webseite-identifizieren/1683595#m1683595 https://forum.selfhtml.org/self/2017/jan/3/wie-maleware-auf-webseite-identifizieren/1683595#m1683595 <p>Der Kunde hat die Webseite komplett platt gemacht und neu auf den Server hochgeladen. Trotzdem meckert der Google Bot noch immer.</p> wie Maleware auf Webseite identifizieren Wed, 04 Jan 17 10:43:48 Z https://forum.selfhtml.org/self/2017/jan/3/wie-maleware-auf-webseite-identifizieren/1683671#m1683671 https://forum.selfhtml.org/self/2017/jan/3/wie-maleware-auf-webseite-identifizieren/1683671#m1683671 <blockquote> <p>Umherschauen, wo überall Zeug drin ist, das man nicht selbst dahingetan hat.</p> </blockquote> <p>Es hat sich in meiner Praxis bei der Reparatur solcher, meist "eher so mittelmäßig betreuten" Webauftritte als gute Idee erwiesen mal nach dem Datum der Dateien und ins Access-Log zu schauen. Insbesondere POST-Requests sind sehr interessant. Für weitere Forschung ist dann grep hilfreich...</p> wie Maleware auf Webseite identifizieren Wed, 04 Jan 17 11:21:08 Z https://forum.selfhtml.org/self/2017/jan/3/wie-maleware-auf-webseite-identifizieren/1683679#m1683679 https://forum.selfhtml.org/self/2017/jan/3/wie-maleware-auf-webseite-identifizieren/1683679#m1683679 <blockquote> <p>Sonst noch Ideen?</p> </blockquote> <p>Kann dein Kunde noch erfolgreich Mails an Empfänger, welche Telekom-Kunden sind, versenden?</p> wie Maleware auf Webseite identifizieren Tue, 03 Jan 17 15:04:19 Z https://forum.selfhtml.org/self/2017/jan/3/wie-maleware-auf-webseite-identifizieren/1683596#m1683596 https://forum.selfhtml.org/self/2017/jan/3/wie-maleware-auf-webseite-identifizieren/1683596#m1683596 <p>Tach!</p> <blockquote> <p>Der Kunde hat die Webseite komplett platt gemacht und neu auf den Server hochgeladen. Trotzdem meckert der Google Bot noch immer.</p> </blockquote> <p>Der besucht die Seite ja auch nicht dauernd, sondern erst wenn er wieder Lust dazu hat. Solange bleibt die Information aktiv. Da hilft nur warten. Gegebenenfalls haben die Google-Webmaster-Tools etwas zum Beschleunigen.</p> <p>dedlfix.</p> wie Maleware auf Webseite identifizieren Tue, 03 Jan 17 15:36:05 Z https://forum.selfhtml.org/self/2017/jan/3/wie-maleware-auf-webseite-identifizieren/1683601#m1683601 https://forum.selfhtml.org/self/2017/jan/3/wie-maleware-auf-webseite-identifizieren/1683601#m1683601 <p>Hallo Karl Heinz,</p> <blockquote> <p>Der Kunde hat die Webseite komplett platt gemacht und neu auf den Server hochgeladen. Trotzdem meckert der Google Bot noch immer.</p> </blockquote> <p>Es sollten auch sämtliche Passwörter geändert werden, denn man kann ja davon ausgehen, dass dein Kunde die Malware nicht selbst hineingeschrieben hat.</p> <p>Bis demnächst<br> Matthias</p> <div class="signature">-- <br> Dieses Forum nutzt Markdown. Im <a href="https://wiki.selfhtml.org" rel="nofollow noopener noreferrer">Wiki</a> erhalten Sie <a href="https://wiki.selfhtml.org/wiki/SELFHTML:Forum/Formatierung_der_Beitr%C3%A4ge" rel="nofollow noopener noreferrer">Hilfe bei der Formatierung Ihrer Beiträge</a>. </div> wie Maleware auf Webseite identifizieren Wed, 04 Jan 17 10:47:27 Z https://forum.selfhtml.org/self/2017/jan/3/wie-maleware-auf-webseite-identifizieren/1683673#m1683673 https://forum.selfhtml.org/self/2017/jan/3/wie-maleware-auf-webseite-identifizieren/1683673#m1683673 <blockquote> <p>Der Kunde hat die Webseite komplett platt gemacht und neu auf den Server hochgeladen. Trotzdem meckert der Google Bot noch immer.</p> </blockquote> <p>Wenn es die selbe CMS-Version ist dann hat der neue Besitzer Deines Webservers auch in "Nullkommanix" wieder genau so Zugriff wie vorher und wird den von ihm gewünschten Zustand wieder herstellen.</p> wie Maleware auf Webseite identifizieren Tue, 03 Jan 17 15:56:25 Z https://forum.selfhtml.org/self/2017/jan/3/wie-maleware-auf-webseite-identifizieren/1683602#m1683602 https://forum.selfhtml.org/self/2017/jan/3/wie-maleware-auf-webseite-identifizieren/1683602#m1683602 <p>Hallo und guten Abend,</p> <blockquote> <p>Es sollten auch sämtliche Passwörter geändert werden, denn man kann ja davon ausgehen, dass dein Kunde die Malware nicht selbst hineingeschrieben hat.</p> </blockquote> <p>MMn sollte Karl Heinz uns erstmal offenbaren, was er noch alles von außen nachlädt. Vermutlich verwwendet die Seite auch eine jQuery-Bibliothek (oder mehrere). Die muss auch irgendwoher kommen. Und verwendet die Seite ein CMS? Dann stecken die Lücken vielleicht auch in dessen "Kernel"?</p> <p>Und wenn Datenbankinhalte in die Seite eingestanzt werden, können auch darin Lücken stecken. Die müssen gar nicht dauerhaft vorhanden sein, wenn das DBMS ein Leck hat.</p> <p>Grüße<br> TS</p> <div class="signature">-- <br> es wachse der Freifunk<br> <a href="http://freifunk-oberharz.de" rel="nofollow noopener noreferrer">http://freifunk-oberharz.de</a> </div> wie Maleware auf Webseite identifizieren Wed, 04 Jan 17 10:52:11 Z https://forum.selfhtml.org/self/2017/jan/3/wie-maleware-auf-webseite-identifizieren/1683674#m1683674 https://forum.selfhtml.org/self/2017/jan/3/wie-maleware-auf-webseite-identifizieren/1683674#m1683674 <p>Tach!</p> <blockquote> <p>Es hat sich in meiner Praxis bei der Reparatur solcher, meist "eher so mittelmäßig betreuten", Webauftritte als gute Idee erwiesen, mal nach dem Datum der Dateien [...] zu schauen.</p> </blockquote> <p>Einige sind aber auch clever und setzen das Modifikationsdatum der hinzugefügten oder geänderten Datei auf eins von einer anderen im Verzeichnis vorhandenen Datei. Man kann sie aber trotzdem entlarven, denn in dem Fall sind meist die Millisekunden auf 000 gestellt und nicht auf einen zufälligen Wert.</p> <p>Bei WordPress hilft auch, im upload-Verzeichnis das Zugreifen auf .php sperren. Der Upload ist eigentlich nur für Bilder vorgesehen.</p> <pre><code class="block language-apache">Options -Indexes <FilesMatch "\.(php|html)$"> Order Deny,Allow Deny from all </FilesMatch> </code></pre> <p>dedlfix.</p> wie Maleware auf Webseite identifizieren Wed, 04 Jan 17 19:56:54 Z https://forum.selfhtml.org/self/2017/jan/3/wie-maleware-auf-webseite-identifizieren/1683741#m1683741 https://forum.selfhtml.org/self/2017/jan/3/wie-maleware-auf-webseite-identifizieren/1683741#m1683741 <p>Hallo und guten Abend,</p> <blockquote> <p>Es hat sich in meiner Praxis bei der Reparatur solcher, meist "eher so mittelmäßig betreuten" Webauftritte als gute Idee erwiesen mal nach dem Datum der Dateien und ins Access-Log zu schauen. Insbesondere POST-Requests sind sehr interessant. Für weitere Forschung ist dann grep hilfreich...</p> </blockquote> <p>Speziell die File-Upload-Module haben diverse Lücken. Da kann man die Server meistens mit wenigen Statements (Post-Requests) übernehmen, wenn die Applikation inzwischen keine fail2ban-Klasse für App-interne Authentification-Fehler hat...</p> <p>Das muss die Application selbstverständlich dann auch erstmal verlässlich loggen!</p> <p>Grüße<br> TS</p> <div class="signature">-- <br> es wachse der Freifunk<br> <a href="http://freifunk-oberharz.de" rel="nofollow noopener noreferrer">http://freifunk-oberharz.de</a> </div> wie Maleware auf Webseite identifizieren Wed, 04 Jan 17 11:12:34 Z https://forum.selfhtml.org/self/2017/jan/3/wie-maleware-auf-webseite-identifizieren/1683677#m1683677 https://forum.selfhtml.org/self/2017/jan/3/wie-maleware-auf-webseite-identifizieren/1683677#m1683677 <blockquote> <p>Bei WordPress hilft auch,</p> </blockquote> <blockquote> <ul> <li>im upload-Verzeichnis das Zugreifen auf .php sperren.</li> </ul> </blockquote> <ul> <li>den schreibenden Zugriff auf Dateien und fast alle Verzeichnisse zu unterbinden: <code>chmod -R a-w ./ ; chmod o+w ./wp-upload</code></li> <li>bei Zugriffen auf das wp-admin-Verzeichnis eine zusätzlichen HTTP-Authorisierung zu verlangen</li> <li>...</li> </ul> wie Maleware auf Webseite identifizieren Wed, 04 Jan 17 19:59:45 Z https://forum.selfhtml.org/self/2017/jan/3/wie-maleware-auf-webseite-identifizieren/1683742#m1683742 https://forum.selfhtml.org/self/2017/jan/3/wie-maleware-auf-webseite-identifizieren/1683742#m1683742 <p>Hallo und guten Abend,</p> <blockquote> <p>Bei WordPress hilft auch, im upload-Verzeichnis das Zugreifen auf .php sperren. Der Upload ist eigentlich nur für Bilder vorgesehen.</p> </blockquote> <ol> <li>Keine Uploads in durch http/s erreichbare Bereiche gestatten.</li> <li>Sämtliche Script-Ausführugnen in den durch http/s erreichbaren Upload-Verzeichnissen unterbinden!</li> </ol> <p>Grüße<br> TS</p> <div class="signature">-- <br> es wachse der Freifunk<br> <a href="http://freifunk-oberharz.de" rel="nofollow noopener noreferrer">http://freifunk-oberharz.de</a> </div> wie Maleware auf Webseite identifizieren Wed, 04 Jan 17 11:27:41 Z https://forum.selfhtml.org/self/2017/jan/3/wie-maleware-auf-webseite-identifizieren/1683682#m1683682 https://forum.selfhtml.org/self/2017/jan/3/wie-maleware-auf-webseite-identifizieren/1683682#m1683682 <p>Tach!</p> <blockquote> <blockquote> <p>Bei WordPress hilft auch,</p> </blockquote> <ul> <li>den schreibenden Zugriff auf Dateien und fast alle Verzeichnisse zu unterbinden: <code>chmod -R a-w ./ ; chmod o+w ./wp-upload</code></li> </ul> </blockquote> <p>Die Angreifer kommen in der Regel durch Lücken im Webauftritt, sind also Owner und können dann weiterhin schreiben.</p> <p>Unüberschreibbares dem root zu übereignen hilft auch nur bedingt, denn diese Dateien kann man weiterhin löschen, weil das eine Schreiboperation im Verzeichnis ist. Dem Benutzer kann man meist das Schreibrecht auf das Verzeichnis nicht entziehen. <code>chattr +i</code> hilft dann, die Datei unveränderlich (immutable) zu machen. Das ist aber recht ungewöhnlich und man muss sich das merken, dass das auf diese Weise gesperrt ist.</p> <blockquote> <ul> <li>bei Zugriffen auf das wp-admin-Verzeichnis eine zusätzlichen HTTP-Authorisierung zu verlangen</li> </ul> </blockquote> <p>Ja, das kann man selbst mit einem erratbaren 0815-Passwort "sichern". Hier geht es hauptsächlich darum, dass die Bots beim Aufrufen scheitern.</p> <p>dedlfix.</p> wie Maleware auf Webseite identifizieren Wed, 04 Jan 17 11:50:45 Z https://forum.selfhtml.org/self/2017/jan/3/wie-maleware-auf-webseite-identifizieren/1683683#m1683683 https://forum.selfhtml.org/self/2017/jan/3/wie-maleware-auf-webseite-identifizieren/1683683#m1683683 <blockquote> <p>Tach!</p> <blockquote> <blockquote> <p>Bei WordPress hilft auch,</p> </blockquote> <ul> <li>den schreibenden Zugriff auf Dateien und fast alle Verzeichnisse zu unterbinden: <code>chmod -R a-w ./ ; chmod o+w ./wp-upload</code></li> </ul> </blockquote> <p>Die Angreifer kommen in der Regel durch Lücken im Webauftritt, sind also Owner und können dann weiterhin schreiben.</p> </blockquote> <p>nach <code>chmod -R a-w ./</code> kann auch der Owner zunächst nicht scheiben (ich weiß: mit vi könnte er es erzwingen, dass dieses das Schreiben kurz erlaubt) und auch keine neuen Dateien anlegen. Er müsste die (meist in tausende neue und bestehende PHP-Skripte installierte) Webshell benutzen um sich das wieder zu erlauben. Sind die aber weg, dann hat er ein Problem.</p> <p>Zu Klarstellung: Ich meinte <strong>ZUSÄTZLICH</strong>. Denn klar ist ja, wenn in wp-uploads wieder PHP-Skripte landen können (der Fehler ist sowas von "asbach"...) dann dürfen die natürlich nicht ausgeführt werden.</p> <p>Natürlich kann man Wordpress auch als Linux-Paket installieren (landet in /usr/share/) und dann verlinken bzw. in der http-config Aliase setzen. Viele Hoster bieten das auch an, aber dann kann man natürlich nicht ohne weiteres jede shitty Erweiterung nutzen. Aber genau an den Dingern (oft in Templates beigepackt) liegt es auch, dass viele Wordpress- oder Joomla-Installationen nicht mit Updates gepflegt werden.</p> wie Maleware auf Webseite identifizieren Wed, 04 Jan 17 21:43:59 Z https://forum.selfhtml.org/self/2017/jan/3/wie-maleware-auf-webseite-identifizieren/1683757#m1683757 https://forum.selfhtml.org/self/2017/jan/3/wie-maleware-auf-webseite-identifizieren/1683757#m1683757 <p>Tach!</p> <blockquote> <blockquote> <p>Bei WordPress hilft auch, im upload-Verzeichnis das Zugreifen auf .php sperren. Der Upload ist eigentlich nur für Bilder vorgesehen.</p> </blockquote> <ol> <li>Keine Uploads in durch http/s erreichbare Bereiche gestatten.</li> </ol> </blockquote> <p>Damit nimmst du WordPress die Funktionalität, Bilder hinzuzufügen. Wenn der Seitenbetreiber damit leben kann ...</p> <blockquote> <ol start="2"> <li>Sämtliche Script-Ausführugnen in den durch http/s erreichbaren Upload-Verzeichnissen unterbinden!</li> </ol> </blockquote> <p>Genau das ist das Ziel meines Vorschlags.</p> <p>dedlfix.</p>