Hacking Angriff? Codes auf der Startseite

[menthol]

Hallo,

seit einigen Tagen arbeite ich an meinem Shop. Da dieser noch nicht bereit für die Öffentlichkeit ist, habe ich das Verzeichnis mit htaccess geschützt. Heute Morgen habe ich beim Aufruf der Seite plötzlich seltsamen Code auf der Seite unterhalb des Shoplogos und ganz unten im Footer entdeckt:

Dies erscheint ganz oben:

Code: PHP  [Auswählen]

sp="split";aq="0"+"x";w=window;ff=String;z="y";ff=ff.fromCharCode;try{document["bod"+z]++}catch(d21vd12v){... Code der Attacke...}">Startseite

Unten im Footer steht dann das:

Code: PHP  [Auswählen]

sp="split";aq="0"+"x";w=window;ff=String;z="y";ff=ff.fromCharCode;try{document["bod"+z]++}catch(d21vd12v){... Code der Attacke...}">

Woher das plötzlich kommt kann ich mir nicht erklären. Gestern wurde am Shop zwar Arbeiten durchgeführt, aber nichts direkt im Code an Datein. Lediglich Anpassung der Artikelmerkmale und eine Aktivierung bei Webmastertools (Upload der Google Datei)
Für die Webmastertools war der Verzeichnisschutz gerade einmal 5 Minuten inaktiv.

Als ich den seltsamen Code mal gegoogelt habe, musste ich feststellen, dass Google gleich mehrer Seiten mit dem Code findet. Z.B. :www.suntime-radio.de/  Mit Warnung von Google !
Übrigens lässt sich der Code anklicken, ist also ein Link:
WWW.meineseite.de/%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%

Was zum Henker ist das?

Linkback: https://www.modified-shop.org/forum/index.php?topic=26360.0

[Phantom]

Da kennt wahrscheinlich jemand Dein FTP Passwort. Mit welchem Programm machst Du FTP?
Überprüfe Deinen PC auf Viren und Trojaner.

[menthol]

Danke für die Antwort. Ich arbeite mit Filezilla...habe in der Zwischenheit mal etwas Fehleranalyse betrieben. Filezilla legt die Daten im Klartext ab. Wahrscheinlich ist die Sicherheitslücke lokal auf dem Rechner. Bin im Moment dabei den betroffenen Rechner zu überprüfen.

Alex

[noRiddle (revilonetz)]

Leider gibt es noch immer zu wenig Aufklärung darüber was passieren kann wenn man ungeschützte Rechner benutzt um sich in Systeme einzuloggen, ob FTP oder simples Login in Administrationen von Webseiten.
Just for the record:
Die Zahl der weltweit "gekaperten" Rechner wird auf eine dreistellige Millionenzahl geschätzt.

Wem eine professionelle Antiviren-Software zu teuer ist (gerade mal um die 40,- EUR/Jahr), der hat nichts verstanden und gefährdet nicht nur sich selbst.

Gruß,
noRiddle

*NACHTRAG*
Man kann Filezilla daran hindern Passwörter zu speichern (Tante Suchmaschine bemühen).
Und, nach jeder Nutzung Quickconnect und Verlauf löschen.
Oder Windows SCP oder ähnliches verwenden.
Am wichtigsten ist jedoch, wie gesagt, eine gute Anti-Virus-Software.

[menthol]

Danke für die Tips...
Habe leider aus Bequemlichkeit die Passwörter gespeichert. Gerade am Anfang wenn man viel an der Seite rumbastelt, ist das halt sehr praktisch...

Den Win SCP hatte ich früher mal genutzt, werde wohl wieder umsteigen.

Zum Thema Virenscanner:Was ist denn ein guter Scanner? Im Moment läuft bei mir Avira als Basisschutz.
Ja gut, hinterher ist man natürlich immer schlauer. Hätte man nur mal eine Versicherung abgeschlossen bevor das Haus abbrannte So ist es dann leider auch mit kostenpflichtigen Angeboten was Virensoftware angeht.

40 EUR im Jahr sind natürlich nicht viel, leider kommen halt viele andere Posten (Hoster, Versicherungen, Waren, Shopgebühren auf anderen Kanälen, Werbung, rechtliche Beratung) zusammen. Da wird man leider schnell nachlässig, weil bisher gabs ja nie ein Problem.

Alex

[noRiddle (revilonetz)]

AVIRA ist sicherlich eine gute Wahl, aber nicht der kostenlose Basis-Schutz
- das ist für'n "hohlen Zahn" und nicht ausreichend -
sondern Internet Security 2013.
Die arbeiten, wie auch andere (Kaspersky, AVG, usw.) 24 Stunden an Updates, denn täglich kommen neue Viren und Trojaner ins Netz.
Bis zu 20 Update-Dateien bekomme ich täglich von Avira und schnell sind sie auch wenn's brennt weil ein neuer Trojaner unterwegs ist.

Ohne guten Virenschutz, egal was man sonst für Kosten hat, geht man ein unkalkulierbares Risiko ein.

Gruß,
noRiddle

[menthol]

Hallo,

in der Zwischenzeit konnte ich den Angriff teilweise nachvollziehen. Vielleicht ist das ja für manchen eine kleine Hilfe.
Der Script Virus hat sich offenbar über den Rechner mit dem FTP Programm auf den Webserver eingeschlichen. Dabei wurden scheinbar die unverschlüsselten Passwörter von Filezilla ausgelesen. Die Infektion des Rechners kam offebar von der Site einer dt. Maschinenbaufirma. Nach einem Telefonat mit der Firma, wurde mir ein Befall der Rechner und des Servers bestätigt.
Auch in diesem Fall setzten der Webmaster Filezilla mit unverschlüsselten Passwörtern ein.
Bei dem Virus handelt es sich um Blacole. Es wird nahezu jede Datei am Webserver ausgetauscht und modifiziert. In meinem Fall war eine neue Installation der Site die beste Lösung.

Als Fazit bleibt:
Backups Backups Backups
Passwörter nicht unverschlüsselt speichern.
Aktueller Virenschutz
Site vom Server nehmen, bevor Suchmaschinen einen Blacklisteintragen vergeben.

Alex

[JZ_Aqua]

Hallo
Nach meiner Meinung wird das Problem immer mal wieder auf die Software, in dem Fall FileZilla,  geschoben (obwohl man das natürlich besser machen könnte), aber die Gründe liegen in der Regel ja eher woanders.
Wie im Shopbetrieb auch, schützt Unwissenheit leider nicht und so muss ich mich einfach informieren, den Computer auf dem neusten Stand halten, eine aktuelle kostenpflichtige Antivirensoftware einsetzen, Patches gerade von Java usw. zeitnah einspielen, ebenso die Updates des Betriebssystems usw.

Wenn das geschieht und nichts auf den Rechner kommt, kann Filezilla die Passwörter auch irgendwo hin malen, es passiert dann nichts.

Das ist ungefähr das selbe wie mit diesem Märchen von der Unsicherheit bei cmod 777. So lange niemand auf den Server kommt können das ruhig fast alle Dateien haben, kenne das zb. von verschiedenen Forenscripts. Ist ein Angreifer mal auf dem Server, nutzt auch cmod 444 nix mehr.

Genau so verhält es sich bei einem Rechner.

Das ist jetzt mal allgemein zu dem Thema gesagt, nicht das wieder einige meinen sich irgendwelche Schuhe anziehen zu müssen.

Ich hatte damit in der ganzen Zeit noch nie das Problem, das mein Rechner kompromittiert wurde.

Das mit den Open Eyes ist zwar immer noch wichtig, aber wie man ja lesen kann war hier eine eigentlich wohl seriöse Webseite der Malwareverbreiter und die Einfallstore dazu werden in der Regel und wenn man sich informiert auch geschlossen.

Ich empfehle hier auch den Newsletter vom BMI, die hier manchmal schneller mit der Meldung sind als die automatische Updateroutine gerade immer wieder bei den Adobesachen.

[noRiddle (revilonetz)]

Java:
Auch wenn man immer auf dem neuesten Stand sein sollte, ich würde Java im Browser ohnehin deaktivieren, Java ist einfach gefährlich.
Wo braucht man das heutzutage noch ?
Es gibt da so Rundumansichten auf manchen Seiten die mit Java laufen, will man die sehen kann man ja Java kurzzeitig aktivieren.

Filezilla:
Wer sich ein wenig darum kümmert kann das Speichern der Passworte verhindern (mal Tante Suchmaschine bemühen).
Außerdem nach jedem Nutzen "Quickconnect-Leiste" leeren und "Verlauf" ebenso.
Ich benutze Filezilla immer mal wieder, der ist einfach gut und so schön übersichtlich.

Ansonsten hast du natürlich Recht mit dem was du sagst.
Da aber immer mal wieder neue Viren, Trojaner und vor allem Rootkits nicht sofort von den Antivirus-Software-Firmen erkannt und geblockt werden, ist es trotzdem fahrlässig mit in Klartext gespeicherten Passworten eines FTP-Programms zu arbeiten.

Gruß,
noRiddle

[fishnet]

Wenn das geschieht und nichts auf den Rechner kommt, kann Filezilla die Passwörter auch irgendwo hin malen, es passiert dann nichts.

Genau, und wenn eine Firma ordentliche Tür- und Fensterschlösser hat, dann kann sie auch ihre kompletten Bargeldeinnahmen auf dem Tisch liegen lassen, dann passiert schon nichts 

[JZ_Aqua]

Hallo NoRiddle

Da hast Du auf jeden Fall Recht und das eine (Rechnersicherheit) soll natürlich nicht dazu verleiten unsichere Funktionen weiterhin zu nutzen.
Im Fall von Java werde ich eben Java auch deaktivieren, hatte ich schon länger vor aber bisher nicht gemacht. Ich habe das Wort Java auch eher als (Gesamt)Begriff und Beispiel für öfter zu patchende Software genutzt als als Funktion generell.

Ich nutze auch teilweise WinSCP aber auch Filezilla, im Grunde aus den selben Gründen.

[JZ_Aqua]

@fishnet
Da frage ich mich manchmal warum ich so ausführlich schreibe, lese doch mal den gesamten Text und sorry das mir da leider keine andere "Extreme" einfiel um das zu beschreiben.

Mann mann, nix zum Thema beitragen aber immer dieses blöde rumgehacke auf einen Satzfetzen.
Braucht Ihr so was?

Sorry aber so was macht einen dann ärgerlich wenn man sachlich was beitragen wollte. Und der Rest entbehrt jeglicher Grundlage oder mache ich den Eindruck das ich demaßen bekloppt bin so etwas zu tun.

Wäre es nicht so warm hättest auch mehr geschrieben wie zb. hätte ich auch ungeschützten Verkehr solange ich innen desinfiziert bin oder was.

Ja, echt zum kotzen.....ist schon das zweite mal und das ärgert dann.

[menthol]

Hallo
Nach meiner Meinung wird das Problem immer mal wieder auf die Software, in dem Fall FileZilla,  geschoben (obwohl man das natürlich besser machen könnte), aber die Gründe liegen in der Regel ja eher woanders.

Das ist ungefähr das selbe wie mit diesem Märchen von der Unsicherheit bei cmod 777. So lange niemand auf den Server kommt können das ruhig fast alle Dateien haben, kenne das zb. von verschiedenen Forenscripts. Ist ein Angreifer mal auf dem Server, nutzt auch cmod 444 nix mehr.

Da gebe ich Dir schon recht, man liest immer wieder von FileZilla und der bösen Sicherheitslücke...Natürlich war in meinem Fall und bei meiner Infektionsquelle sicherlich nicht FileZilla ursächlich Schuld. Man wird einfach irgendwann nachlässig, Passwörter speichern ist einfach bequem.
FileZilla habe ich auch nur deshalb erwähnt, weil es offenbar für meine Infektion ein typischer Baustein war, der Code hat eben unter anderem die gespeichertern Passwörter von FileZilla ausgelesen.
Ich hatte jetzt seit Jahren das erste mal mit solch einem Angriff zu tun, wird schon nichts passieren. Dann trifft es einem halt doch mal. Über FileZilla möchte ich mich auch nicht beklagen, ich halte das Tool noch immer für sehr gelungen. Was das Speichern von Passwörtern aber anbelangt, habe ich jetzt wohl doch umgedacht und halte es so wie vor Jahren noch:
Soweit es möglich ist, Passwörter nirgends auf dem/den Rechnern speichern.
Das ist natürlich auch nur ein kleiner Beitrag zur Sicherheit.

Alex