Hallo zusammen, hat jemand schon mal so eine Mail erhalten? .....Vor wenigen Minuten meldete unser Anti-Viren-Scanner, dass eine schädliche Datei auf Ihren 1&1 Webspace geladen wurde. Name der Datei: ~/images/banner/c92.php Um Sie vor gefährlichen Hacker-Angriffen zu schützen, prüft der 1&1 Anti-Viren-Scanner jede Datei, die auf Ihren Webspace geladen oder verändert wird. Zeigt eine Datei deutliche Muster eines Angriffs, wird sie automatisch deaktiviert..... Die Mail ist von 17:04 Uhr, hab gleich mal per FTP geschaut, die Datei ist dort seit 17:03 Uhr. Kann das mit der monatlichen Werbung im Adminbereich zusammenhängen oder schafft sich da einer illegal? Mein letztes Update war letzte Woche, da war die Datei noch nicht dort. Grüße
die Werbung im admin kommt nicht von deinem server die ist extern. Die Uhrzeit der Datei wird sich vom Virenscanner sein, wenn er die datei deaktiiert oder geereinigt hat. Interesanter wäre zu wissen was das für ne datei ist und wie sie dahin kam
...nennt sich c92.php , ist 153218 Kb groß und hat Atribut 200. Letzte Woche hatte ich eine Sicherung gemacht, da war sie noch nicht da, sonst wäre die ja im Backup. Die Verzeichnisse haben 777, als nichts auffälliges drumherum. Hab das Atribut auf 600 geändert und kopiert, da schlug mein Antivir gleich an: "PHP/C99Shell.B" Hab erst mal ´ne txt Datei daraus gemacht. Grüße
ich würd nun bei uns in die FTP Logs schuane wer da wann zugang hatte und wer die datei hochgeladen hat.
Wo finde ich diese FTP logs? Ich benutze TotalCommander, aber auf meinem Rechner kommt keiner ran. Zugang hätte da noch Gambio oder Magnalister.... Grüße
ftp logs sind auf deinem server, wenn nur webspace hast wirst da nicht dran kommen. zugriff hat jeder der dein ftp pw rausbekommt oder sonst ne sicherheitslücke findet
Hallo, das sieht mir sehr nach einem Hackerangriff aus. In den meisten Fällen ist der Hacker im Besitz der FTP-Zugangsdaten. Daher sollte als allererstes das FTP-Passwort geändert werden. Die PCs, mit denen sich jemals per FTP mit dem Shopserver verbunden wurden, sollten einem Virentest unterzogen werden. Üblicherweise fängt ein Trojaner die Zugangsdaten ab und sendet sie an den Hacker. Die Datei c92.php sollte gelöscht werden. Da Shopdateien verseucht sein könnten, sollte eine Datensicherung eingespielt werden. Hier kann der Provider in der Regel helfen. Wenn eine Datensicherung eingespielt wird und diese auch die Datenbank betrifft, gehen natürlich alle Änderungen (Bestellungen usw.), die jünger als die Datensicherung sind, verloren.
Ich sehe darin ein grundsätzliches Problem! FTP ist mit Abstand eines der unsichersten Protokolle, da die Passwörter unverschlüsselt übertragen werden. Jeder Hoster bietet Webpakete an wo ein SSH mit dabei ist! Das bischen was es mehr kostet sollte doch jeden Wert sein! Im übrigen vermisse ich selbst beim Installer des GX2 die Möglichkeit die Rechte per SSH zu setzen! Da ist auch nur FTP möglich. Auch wenns mich nervt, mach ich das manuell per SSH. Vieleicht könnte man das mal ins Auge fassen und umsetzen!
Das löst aber das Problem nicht, da die Angriffe ja meist auf den lokalen Rechner erfolgen, und die Passworte dort ausgespäht werden....
Kannst Du die "c92.php" mal als (gezippten) Anhang posten? Mal gucken, was das ist. In welchem Verzeichnis liegt die Datei?
solange das ssh PW dann auch in Filzilla gespeichert wird macht das doch nicht wirklich nen unterschied. Sinnvoller wäre es vernünftige PW und aktuelle Virenscanner zu verwenden. (wobei ich nicht mal weiß wie man nen virus bekommt, in 10 jahren daueronline keinen gehabt und ich mach und lad echt viel zeugs aber der ha noch nie angeschlagen)
G-Data mit double Scan seit Jahren Testsieger in diversen Zeitungen und Tests. (Link nur für registrierte Nutzer sichtbar.) OK ausschlagen tut der öfters, aber meist wenn Leute mit ihren verseuchten Handys und Sticks kommen um was ausdrucken zu lassen. Aber noch nie weil ich was aus dem I-Net gezogen habe.
Hallo, hab nur die Endung in .txt geändert. Die scheint aber von Avira bereinigt worden zu sein, denn sonst hätte der mir immer wieder den Virus gemeldet. Die Datei lag im Verzeichnis ../images/banner/c92.php 1&1 scheint da sehr flink zu sein, habe im Shop nichts weiter finden können, Backup und neues FTP PW hab ich noch gestern gemacht. Ich hoffe mal, das da nichts mehr dazu kommt. Von meinem Rechner aus glaube ich nicht, das da einer was versteckt hat, Avira und Spybot laufen bei mir jede Woche drüber und haben in den letzten Monaten nichts gefunden. Grüße
Hallo, ich habe den Anhang gelöscht. Es ist ein No-Go im Forum Dateien anzuhängen, die als Virus gemeldet wurden. Ganz egal, ob ein lokales Virenprogramm angeschlagen hat und man die Datei entschärft hat. Das müsst ihr auf privatem Wege machen.
Ok, also bei diesem Script handelt es sich um ein Tool oder auch Backdoor (je nach dem, wie man es sehen will), welches dem Anwender erlaubt eine shell zu öffnen und sich nach Lust und Laune auf dem Server auszutoben man ist dann in der Lage alles mögliche zu machen, E-Mails versenden, Root zu werden etc. Also von daher hoch gefährlich und gut, dass der Provider sofort reagiert hat. Fakt ist jedoch: Einer deiner Rechner ist mit einem Trojaner infiziert, welcher diese simple Vorgehensweise erst ermöglicht hat. Aus täglicher Erfahrung mit diversen infizierten Kundenrechnern kann ich dir nur ganz dringend nahe legen, das AV Programm zu wechseln, denn damit bist du bei weitem nicht geschützt!