Trojaner?

[cYbercOsmOnauT]

Mich würde interessieren ob jemand der diese Probleme mit kompromittierten Javascript-Files hat/hatte irgendeine Ajax-Implementation verwendet.

JavaScript läuft lokal auf dem Rechner des Users und hat keinen Zugriff auf Serverdateien. Auch via AJAX werden nur Daten zu einem Skript gesendet und dessen Antwort ausgewertet. Das Skript wiederum läuft meist mit dem Uswe www-data und dessen Rechten. Diese sind sehr gering. Solange die Dateien nicht gerade von PHP selber erzeugt ober mit globalem Schreibrecht versehen wurden, kann ein PHP-Skript nicht viel reissen auf dem Server. Als Angriffsszenario eignet es sich jedenfalls nicht, weil kaum jemand PHP mehr Rechte gibt, oder die Dateien mit chmod a+w belegt.

[Magnolio]

Bitte mal den Beginn des Threads lesen - das Problem befällt alle Dateien mit der Endung js - und zwar unabhängig davon ob die Dateien zum Shop gehören oder nicht. Bei mir waren alle js-Dateien auf dem gesamten Webspace betroffen.

[Matt]

Das Problem beginnt aber mit geklauten FTP-Passwörtern durch Trojaner auf dem lokalen Rechner, nicht auf dem Server. JS-Dateien aus dem Backup drüberbügeln bekämpft die Symptome, nicht die Ursache.

[cYbercOsmOnauT]

Bitte mal den Beginn des Threads lesen - das Problem befällt alle Dateien mit der Endung js

Bitte mal kapieren was ich schrieb. Die JS Dateien die der Browser lädt lagern wo?

Meine Erklärung sollte klarstellen, das ein Angriffsszenario über AJAX auf Serverdateien kaum durchführbar ist und somit eher wegfällt. Viel erfolgreicher ist ein Szenario wie ihn Matt beschrieb, denn mit FTP Zugang hat man zu 99% Schreibzugriff auf die Dateien die man infizieren möchte.

[p3e]

Kann mich Matt und cYbercOsmOnauT nur anschließen. Nach all dem was ich hier lese, sind Eure FTP-Zugangsdaten ausgelesen worden.

[digicam]

Ja genau, Aber wie? Das ist die Frage. Ich bin im Internet immer sehr vorsichtig und hab nur probeweise den Shop online gestellt. Und prompt ist er gehackt worden. Ich habe Virenscanner und Firewall und mach regelmäßig Software-Updates. Trotzdem ist es MIR passiert... Das kratzt schon ein bissle an meinem Ego. Ist es wirklich so einfach einen Modified E-Shop zu hacken?
digicam

[p3e]

Ich rede davon, dass alles darauf hindeutet, dass die FTP-Passwörter geklaut wurden. Die Lücke wäre in dem Fall nicht der Shop. Die Lücke wäre auf einem der Rechner, die per FTP Zugiff auf deinen Webspace bzw. Server haben.

[Matt]

Und das muss nicht mal dein eigener FTP-Zugang sein, der da gehackt wurde. Ich will keinem Hoster was unterstellen, aber ich hab schon alles gesehen...

Und ja, Vorsicht ist die Mutter der Porzellankiste, das einspielen von Softwareupdates eine gute Idee genau wie das betreiben eines Virenscanners. Trotzdem bist du nicht unverwundbar. Absolute Sicherheit gibt es nicht. Mein Bruder hat sich letzt auch was über einen DriveBy auf einer infizierten Seite, die er regelmäßig besucht, eingefangen. Und der weiß auch was er tut.

[Magnolio]

Schade dass ihr alle meine Frage nicht gelesen habt. Dass das Problem die geklauten FTP-Passwörter sein könnten bestreite ich ja gar nicht - aber meine Frage war ob bei denen, die die Dateien bereinigt haben, der Virus wiedergekommen ist.

[astaller]

Bei mir bis jetzt nicht!

MfG
Achim S.

[digicam]

Bei mir auch noch nicht.
digicam