Aus aktuellem Anlass eine Warnung verbunden mit ein paar Fragen.
Gestern Nacht erreichten mich per Mail Meldungen, dass auf einer von mir betreuten Webseite (ich kümmere mich um den content, mit dem hosting hab ich nichts am hut) "merkwürdige Dinge" vor sich gehen würden. Ein sofortiger check hat ergeben, dass tatsächlich Seiten dahingehend manipuliert wurden, dass versteckte Frames mit einer chinesischen Seite in alle dateien mit index, home und start als namen eingefügt wurden. Mithilfe dieser Manipulation sollten wohl Trojaner auf die Benutzerrechner geschleust werden. Eine google suche hat mittlerweile ergeben, dass mehrere Seiten auf diese Art wohl relativ zeitgleich angegriffen wurden:
claus-lampert.de/2009/03/01/an…webseiten-betstarwagercn/
designateonline.com/discussion…?DiscussionID=5259&page=1
Von daher als erstes die Warnung an alle Leute mit Webseiten: checkt mal eure index/home/start dateien! Der iframe wurde direkt nach dem body-tag eingefügt.
Dann mein großes Problem mit dieser sache:
Der angriff auf meine seite hat am freitag ca 2 stunden nach einem update meinerseits an dieser seite stattgefunden. Das hat mich natürlich sofort zu der vermutung gebracht, dass die zugangsdaten für den ftp-server entweder beim update abgefangen, oder im schlimmsten fall gleich von meinem Rechner ausspioniert wurden. weitere alternativen sind, dass einer der anderen Leute, die die zugangsdaten haben gehackt wurde, oder der einbruch zufällig passierte (da eben an diesem freitag wie gesagt auch andere pages gehackt wurden). Desweiteren hab ich selbst unwissentlich die infizierten Seiten mit Firefox abgerufen, aber absolut nichts ungewöhnliches feststellen können (bevor ich die dateien dann per ftp gecheckt und den hack entdeckt habe). Ich habe dann natürlich gleich meinen rechner sowohl mit antivir, als auch mit Spybot durchgecheckt und "potentiell verdächtige" dateien auch nochmal durch onlinescanner gejagt aber kein Programm hat irgendwas verdächtiges gefunden. Gleichzeitig habe ich meine anderen webseiten gecheckt (also mich auf denen ebenfalls per ftp eingeloggt), diese waren aber nicht betroffen und sind es aktuell immer noch nicht.
Da ich nicht mit dem Kopf vor die wand gelaufen bin weiß ich durchaus, dass virenscanner und ähnliches niemals die abwesenheit von ungeziefer festellen können, sondern nur deren anwesenheit.
So nun meine Fragen:
ich habe alle nutzer, von denen ich weiß, dass sie auf der page waren, dazu aufgefordert, ihre rechner zu überprüfen bzw. in einem falle hab ich sogar zur datensicherung und neuinstallation geraten ("hey, die seite lädt merkwürdiges zeugs und stürzt andauernd ab"
). Desweiteren hab ich die verantwortlichen aufgefordert, die zugangsdaten für den ftp zu ändern und die logs zu überprüfen. Mich plagen aber weiterhin zweifel, ob nicht doch mein Rechner infiziert sein könnte.
Was würdet ihr in einem solchen Falle noch tun? Gleich neuinstallieren?
Hab ich irgendwas wesentliches vergessen und wie kann ich mehr über den Angriff herausbekommen (abseits von google)?
EDIT1: Soeben hat mir einer der Nutzer (Firefox-user) bestätigt, dass sein System mit nem Trojaner infiziert gewesen ist. Dieser sei aber von antivir bei einem scan erkannt und gelöscht wurde. Wobei natürlich offen ist, ob dieser Trojaner durch die gehackte seite eingedrungen ist oder schon vorher vorhanden war...
Gestern Nacht erreichten mich per Mail Meldungen, dass auf einer von mir betreuten Webseite (ich kümmere mich um den content, mit dem hosting hab ich nichts am hut) "merkwürdige Dinge" vor sich gehen würden. Ein sofortiger check hat ergeben, dass tatsächlich Seiten dahingehend manipuliert wurden, dass versteckte Frames mit einer chinesischen Seite in alle dateien mit index, home und start als namen eingefügt wurden. Mithilfe dieser Manipulation sollten wohl Trojaner auf die Benutzerrechner geschleust werden. Eine google suche hat mittlerweile ergeben, dass mehrere Seiten auf diese Art wohl relativ zeitgleich angegriffen wurden:
claus-lampert.de/2009/03/01/an…webseiten-betstarwagercn/
designateonline.com/discussion…?DiscussionID=5259&page=1
Von daher als erstes die Warnung an alle Leute mit Webseiten: checkt mal eure index/home/start dateien! Der iframe wurde direkt nach dem body-tag eingefügt.
Dann mein großes Problem mit dieser sache:
Der angriff auf meine seite hat am freitag ca 2 stunden nach einem update meinerseits an dieser seite stattgefunden. Das hat mich natürlich sofort zu der vermutung gebracht, dass die zugangsdaten für den ftp-server entweder beim update abgefangen, oder im schlimmsten fall gleich von meinem Rechner ausspioniert wurden. weitere alternativen sind, dass einer der anderen Leute, die die zugangsdaten haben gehackt wurde, oder der einbruch zufällig passierte (da eben an diesem freitag wie gesagt auch andere pages gehackt wurden). Desweiteren hab ich selbst unwissentlich die infizierten Seiten mit Firefox abgerufen, aber absolut nichts ungewöhnliches feststellen können (bevor ich die dateien dann per ftp gecheckt und den hack entdeckt habe). Ich habe dann natürlich gleich meinen rechner sowohl mit antivir, als auch mit Spybot durchgecheckt und "potentiell verdächtige" dateien auch nochmal durch onlinescanner gejagt aber kein Programm hat irgendwas verdächtiges gefunden. Gleichzeitig habe ich meine anderen webseiten gecheckt (also mich auf denen ebenfalls per ftp eingeloggt), diese waren aber nicht betroffen und sind es aktuell immer noch nicht.
Da ich nicht mit dem Kopf vor die wand gelaufen bin weiß ich durchaus, dass virenscanner und ähnliches niemals die abwesenheit von ungeziefer festellen können, sondern nur deren anwesenheit.
So nun meine Fragen:
ich habe alle nutzer, von denen ich weiß, dass sie auf der page waren, dazu aufgefordert, ihre rechner zu überprüfen bzw. in einem falle hab ich sogar zur datensicherung und neuinstallation geraten ("hey, die seite lädt merkwürdiges zeugs und stürzt andauernd ab"
). Desweiteren hab ich die verantwortlichen aufgefordert, die zugangsdaten für den ftp zu ändern und die logs zu überprüfen. Mich plagen aber weiterhin zweifel, ob nicht doch mein Rechner infiziert sein könnte.Was würdet ihr in einem solchen Falle noch tun? Gleich neuinstallieren?
Hab ich irgendwas wesentliches vergessen und wie kann ich mehr über den Angriff herausbekommen (abseits von google)?
EDIT1: Soeben hat mir einer der Nutzer (Firefox-user) bestätigt, dass sein System mit nem Trojaner infiziert gewesen ist. Dieser sei aber von antivir bei einem scan erkannt und gelöscht wurde. Wobei natürlich offen ist, ob dieser Trojaner durch die gehackte seite eingedrungen ist oder schon vorher vorhanden war...
greetz
Raven
***********************************************************
* save time - think before you post nonsense *
Raven
***********************************************************
* save time - think before you post nonsense *
