hey leute,
ich habe jetzt seit 10 jahren keine probleme mit viren gehabt. in letzter zeit geht s aber ganz schön rund. ich bekomme einen nach dem anderen rechner mit viren hingestellt. “da mach mal”.
jetzt hat heute ein kunden-kunde dessen webseite ich hoste angerufen:
die seite kann nicht aufgerufen werden wegen einer virenmeldung. tatsächlich waren alle html dateien mit nem Iframe versehen (<!—c3284d—>) jetzt frage ich mich schon ein bisschen wie das zustande kommt. wird da einfach nur der FTP Zugang gehackt oder gibt s da noch andere möglichkeiten.
andere webseiten in dem account sind nicht betroffen.

Was soll ich dem Kunden später erzählen?
Wie finde ich heraus wer oder was schuld ist?
Was außer FTP Account ändern kann ich da noch tun?

In jedem Fall solltest Dir mal die Logs zu Gemüte führen. Und vielleicht sollte der root auch mal sein Sicherheitskonzept überdenken.. Ohne weitere Infos ansonsten schwer Tipps zu geben.

Biersau - 23 Juli 2012 11:16 PM

In jedem Fall solltest Dir mal die Logs zu Gemüte führen.

Das wäre auch mein erster Schritt.

Mehrere unserer Kunden haben Probleme mit scareware auf ihren Rechnern gehabt und danach kamen per ftp Änderungen auf den Webseiten rein. Ebenfalls iframes. Eventuell hat die scareware doch mehr Funktionen als die üblichen gehabt. Wir vermuten in der Firma, dass die scareware sich so selbst verbreiten soll. Vielleicht ist bei deinem Kunden ähnliches passiert?

ok wir haben es wahrscheinlich. über einen neuen 1 und 1 Rootserver beim kunden wurde von einer it firma alles eingerichtet, nur firewall und scanner wurden nicht aufgespielt. das wurde auch nicht weitergegeben. dieser wurde natürlich infiziert und der virus hat sich von dort aus in der firma auf den rechnern verbreitet. ich schätze dass per ip sniffing vom virus aus die ftp zugänge zu meinem host ausgelesen wurden. es gab laut logs keinen brut force angriff auf meinen server und die webseite wurde vor 15 stunden komplett hochgeladen. ca 50 html seiten alle mit dem gleichen schema bearbeitet in unterschiedlichen Verzeichnissen. und das alles in wenigen sekunden. folge das musste ein programm abgearbeitet haben.
danke für die hilfe! BA-ler sind die besten

Ein dedicated Server, der ohne konfigurierte iptables daherkommt und der Kunde NICHT darauf hingewiesen wird? oO

http://serverzeit.de/tutorials/admins-haften

(ich fühle mich gerade genötigt, diesen Link hier - durchaus ernst gemeint - zu posten, der richtet sich aber nicht an Dich, binaer, sondern an potentielle Googler, die iwie ihren Weg hierher finden und Neugierige.)

Genau aus den Gründen ab ich mir damals auch keinen VServer geholt (oder war es doch wegen der Kohle) und habe eher mein letztes Motherboard in ein neues Gehäuse gekloppt Debian installiert und einen BF Vietnam Server und hab ihn in den Schuhschrank (Zentraler Netzwerkknotenpunkt des 1.Stockes) gestellt.
Dazu noch MySQl, Apache und Samba und fertig.
Dann konnte mein Bruder immer auf meine Filme zugreifen oder schon mal ohne mich Anfangen BF Vietnam zu zocken bis ich dann dazu gestoßen bin.

Das waren noch Zeiten. Aber gerade nach Biersaus Link bin ich noch mehr froh es damals so gemacht zu haben.

jaja bahnhof…..... i like trains    

und nein bitte versucht erst gar nicht mir iwas zu erklären ...... sonst vergess ich vielleicht so wichtige sachen wie atmen oder wie man geht oder sonst was