Sicherheitsproblem bei mir [Gelöst]

  • macsea macsea
    Padawan
    0 x
    62 Beiträge
    0 Hilfreiche Beiträge
    17. 10. 2012, 11:43

    Hi Forum!

    Anscheinend habe ich ein Sicherheits Problem auf meiner Website weil ich habe über web-sniffer.com einen Code auf meiner Website gefunden, den ich leider nicht finde in meinen Templates.

    Könnt Ihr mir veilleicht helfen, wie ich das Problem finde.

    1. document.write ('<d' + 'iv st' + 'yle' + '="po' + 'si' + 'tio' + 'n:a' + 'bso' + 'lu'+ 'te;t' + 'o' + 'p:' + '-' + '10' + '00' + '0' + 'p' + 'x;' + '"' +'>');
    2. <p><a href="/uploads/wirft/index.html">aaa replica watches</a>, <a href="/uploads/wirft/best-fake-gucci-watch.html">best fake gucci watch</a>, <a href="/uploads/wirft/gucci-replica-diamond-watch.html">gucci replica diamond watch</a>, <a href="/uploads/wirft/cheapreplica-watches-in-china.html">cheap#replica watches in china</a>, <a href="/uploads/wirft/best-quality-gucci-replica.html">best quality gucci replica</a>, <a href="/uploads/wirft/cheapest-gucci-watch-for-men.html">cheapest gucci watch for men</a>, <a href="/uploads/wirft/gucci-watch-replica-mens.html">gucci watch replica mens</a>, <a href="/uploads/wirft/cheap-replica-mens-gucci-watches.html">cheap replica mens gucci watches</a>, <a href="/uploads/wirft/low-priced-digital-gucci-watches.html">low priced digital gucci watches</a>, <a href="/uploads/wirft/fashionable-replica-ladies-watches.html">fashionable replica ladies watches</a>, <a href="/uploads/wirft/buy-chinese-replica-watches.html">buy chinese replica watches</a>, <a href="/uploads/wirft/best-place-to-buy-aaa-replica-gucci-watch.html">best place to buy aaa replica gucci watch</a>, <a href="/uploads/wirft/aaa-digital-gucci-iced.html">aaa digital gucci iced</a>, <a href="/uploads/wirft/good-gucci-replica.html">good gucci replica</a>, <a href="/uploads/wirft/fake-gucci-watches-for-men-and-caps.html">fake gucci watches for men and caps</a>, <a href="/uploads/wirft/1-to-1-replica.html">1-to-1 replica</a>, <a href="/uploads/wirft/replica-watches-for-women.html">replica watches for women</a>, <a href="/uploads/wirft/gucci-replica-100.html">gucci replica 100%</a>, <a href="/uploads/wirft/cheap-replica-watches.html">cheap replica watches</a>, <a href="/uploads/wirft/buy-replica-gucci-watch-china.html">buy replica gucci watch china</a></p>
    3. <script>document.write ('<' + '/d' + 'i' + 'v>');

    Danke
    Schöne Grüße
    Andy


  • 1
  • LuP LuP
    Jedi-Meister
    0 x
    496 Beiträge
    1 Hilfreiche Beiträge
    17. 10. 2012, 12:44

    Hallo,

    ähnlichen Fall und Lösungsvorschläge findest Du [url="http://www.typo3.net/forum/beitraege/diverse_fragen/110282/"]hier[/url].

    VG,
    LuP

  • macsea macsea
    Padawan
    0 x
    62 Beiträge
    0 Hilfreiche Beiträge
    17. 10. 2012, 13:37

    Hi!

    Danke für die Hilfe. Habs schon gefunden.
    War ganz einfach.

    1. SSH anmelden Web
    2. in das dementsprechende Verzeichnisses des Webs gehen
    3. find . -name "*.php" -print | xargs grep "/uploads/wirft/index.html"
    4. Info gefunden in typo3_src/index.php
    5. typo3 Source Update oder originale index.php von Typo3source kopieren.
    6. Fertig!
    7. UPDATE

    Grüße
    Andy

  • LuP LuP
    Jedi-Meister
    0 x
    496 Beiträge
    1 Hilfreiche Beiträge
    17. 10. 2012, 16:26

    Du hast zwar die geänderte Datei gefunden aber du weißt nicht, wie sie geändert wurde.

    VG,
    LuP

  • einpraegsam.net einpraegs...
    MacGyver
    0 x
    9340 Beiträge
    80 Hilfreiche Beiträge
    17. 10. 2012, 22:30

    Das war vermutlich wirklich nicht der beste Weg

    Ich empfehle bei einer Änderung am Quellcode:
    1. Webseite für normale Besucher deaktivieren (um nicht noch Besucher unwissentlich mit irgendeinem Dreck zu infizieren)
    2. Eine infizierte Datei finden, Änderungsdatum merken
    3. An Hand des Änderungsdatums die Logfiles (FTP, Web) durchgehen und besonders auf Eingaben im Bereich des Änderungsdatums achten
    4. Schwachstelle erkennen und beseitigen (z.B. FTP User löschen, Fehlerhaftes PHP-Script entfernen, etc...)
    5. Auf andere Aktivitäten achten (Hat der Angreifen eventuell ein Backdoor zurückgelassen, Hat der Angreifer die Datenbank exportiert oder andere Änderungen vorgenommen)
    6. Nachdem die Schwachstelle beseitigt wurde, alle infizierten Dateien über die Konsole finden und säubern
    7. Seite wieder Live stellen

    So wie ich das sehe, hast du nur eine Datei gesäubert - das ist meiner Meinung nach zu wenig...

    in2code.de - Wir leben TYPO3
    - Möchtest du TYPO3 komplett verstehen? Eigene Erweiterungen erstellen? Bei uns gibt es auch Schulungen https://www.in2code.de/produkte/typo3-schulungen/
    - Die Arbeit mit TYPO3 macht dir Spaß? Du stehst auf Berge? Komm zu uns! https://www.in2code.de/agentur/karriere/

  • Drusilla Drusilla
    R2-D2
    0 x
    92 Beiträge
    1 Hilfreiche Beiträge
    23. 10. 2012, 08:39

    Also, ich hab dann alles platt gemacht und nochmal komplett neu installiert ...
    Bei mir waren über 100 Dateien infiziert und ich konnte nicht ausschließen, dass die DB auch konterminiert war.

  • 1