ich habe folgendes Problem. Für meine Downloads nutze ich das Script FClick, damit die Downloads gezählt werden. Nun habe ich seit kurzem drei Trojaner Dateien in diesem Ordner (card.scr, cartao.scr und carteiro.scr).
Mein Webhoster hat mich bereits angeschrieben, dass ich die Dateien löschen soll. Schön und gut, nur kommen die natürlich immer wieder, selbst mit geändertem Passwort.
Mein Arbeitskollege erwähnte heute etwas von einem Blaster. Nun ist meine Frage ob das irgendwie möglich ist und wie ich diesen Trojaner von meinem Webspace runter bekomme?!
Ich bitte um Hilfe.
Bitte konsultiere dieses Dokument und versuche deine Frage zu präzisieren. Insbesondere dein System ist sehr unklar (nämlich gar nicht) beschrieben.
Du wirst sicherlich einsehen, dass die Schritte, wie sie in diesem Dokument beschrieben sind, zur schnellen und erfolgreichen Lösung deines Problems beitragen.
Aha hab zwar jetzt trotzdem grad keinen Peil, aber ich versuchs mal.
Also ich bin mit meinem Webspace bei netclusive.de.
Letzte Woche habe ich mir meine Layouts angesehen und in den Klammern wo die Zahlen stehen sollen, war nichts mehr. Also habe ich via FTP im FClick Ordner nachgesehen was los ist. Mit jemand anderem bin ich dann darauf gekommen, dass die show.php Datei fehlt (die wird beim klicken abgerufen). Da wir uns keinen Reim daraus machen konnten, habe ich mir den Ordner nochmal genauer angesehen. show.php wurde in shou.php umbenannt.
Einen Tag später kam eine Mail meines Hosters, dass o. g. Trojaner das Netzwerk schädigen und ich sie löschen soll. Hab die Dateien gelöscht und brav geantwortet. Am nächsten Tag waren die drei Trojaner wieder da und die show.php Datei war gelöscht. Ich also wieder Trojaner gelöscht, show.php hochgeladen und Passwort geändert. Dachte mir, damit hätte sich die Sache.
Zwei Tage später sehe ich wieder nach, wieder das gleiche. Zuhause hab ich mit meiner Festplatte verglichen, was denn alles im Ordner drinnen sein sollte. Auf meinem Webspace war eine including.php Datei wo sich jeder, der diese Datei aufruft, meine Scripte des FClick Ordners direkt runterladen konnte. Normalerweise sieht man die PHP Scripte ja nicht mehr, aber dort konnte man direkt darauf zugreifen. So also auch auf Passwort und alles.
Das einzige was ich von meinem Hoster als Antwort bekommen habe, ist Scripte durchgehen und Passwort ändern, was ich aber schon dreimal gemacht habe.
Meine Frage ist nun, wie ich diese Trojaner von meinem Webspace bekomme?
(waren die Informationen ausreichend, oder fehlt noch was wichtiges *grad ein wenig überfordert ist*?)
1. Das System, um welches es sich handelt. Ich vermute, dass es ein Windows-Server ist, es geht allerdings nicht klar aus deiner Beschreibung hervor, welches windows mit welchem Patchlevel und sonstigen interessanten - also sicherheitsrelevanten Einstellungen.
2. Du scheinst eine bestimmte Software, welche in PHP geschrieben ist zu benutzen. Sollte diese software von dir geschrieben sein, solltest du deinen Code auf anfälligkeit für bestimmte PHP Exploits prüfen. Solltest du eine Software verwenden, welche nicht von dir erstellt ist, solltest du zunächst diese Software benennen und auch ggf. deren Patchlevel & Sicherheitsstatus aufsuchen.
3. Welche Art des Hostings benutzt du, dass du dich selbst um Trojaner kümmern musst? Ist das ein quasi root server? oder wie schauen da die Modälitäten genau aus.
Ich hoffe du erkennst anhand meiner Fragen, welche genauen Informationen fehlen, sodass jemand überhaupt erstmal das Problem erkennen kann.
1. kann ich dir leider nicht sagen *keine Ahnung hat*. Ich zahle halt ganz normal für meinen Webspace. Kann dir nur sagen, dass der Server in Frankfurt steht, mehr hab ich bei netclusive.de auch nicht gefunden *drop*.
2. FClick ist en russiches Script also nicht von mir. Ich keine einige, die das auch verwenden und bei niemandem ist ein Trojaner drauf. Was bedeutet Patchlevel ^^°?
3. genau das hab ich mich auch schon gefragt. Mein erster Gedanke war eigentlich auch, dass mein Hoster für die Virenbeseitigung zuständig ist. Aber als dummer Otto Normalverbraucher weiß man sowas nicht. Aber nen Root Server hab ich auf gar keinen Fall.
Sorry, dass ich mich so anstelle. Ich versuch mehr Informationen zu bekommen. Eine meiner Lösungsmöglichkeiten war eben in einem Forum zu fragen und da bin ich auf euch gestießen ^^°.
Zunächst die Erklärung: Patchlevel ist einfach nur ein anderes Wort für eine Version einer software inklusive aller ggf. eingespielter Patches. Interessant wäre in deinem Fall, genau nachzuprüfen, ob und wie die PHP-Software anfällig ist. Sollte sich herausstellen, dass es weder Adisories noch Exploits noch bekannte Lücken oder Ähnliches gibt, oder du beim Hersteller der Software/Antiviren Seite nachgefragt hast ob der Trojaner damit in Verbindung gebracht werden könnte, dann wäre der nächste Schritt der Gang zum Provider.
Lies vorher noch einmal genau deine vertraglichen Vereinbarungen und teile ihm ggf. mit, wie dein Standpunkt zur Virenfreiheit der System ist. Weiterhin würde ich dir raten, dringend den Provider zu wechseln. Einer, der Trojaner zulässt - sollte sich das herausstellen, dass es wirklich nciht deine Schuld war - ist mir persönlich zutiefst suspekt.
Ahso, also praktisch wie aktuell sie mit Firewalls und sowas sind.
Tja die AGBs:
"Erforderliche Schutzmaßnahmen hat der Kunde selbst zu treffen. Besondere Sicherheitsmaßnahmen seitens des Providers erfolgen nur auf Anfrage und gegen gesonderte Vergütung.
Hier FAQ:
"Schützt [netclusive] die Webserver vor Hackangriffen bzw. DoS Attacken?
Alle Webserver verfügen über spezielle Firewalls, welche nur die benötigten Ports freigeben. Desweiteren werden die Server regelmäßig mit Sicherheitsupdates versorgt."
Das sieht schlecht für mich aus. Ich werd morgen nochmal dem Support mailen und sagen, dass das ein Trojaner ist (ich frag mich eher grad warum die mir das nicht direkt gesagt haben). Ich bekam nur immer zu hören, dass meine Scripte eine Schwachstelle haben.
Blöde Frage, würde es was nützen, wenn ich den Ordner einfach löschen würde (ich denk mir das nein, aber ich frag trotzdem ^^°)?
Erstell doch bitte mal eine Datei mit dem Namen "phpinfo.php" und dem folgenden Inhalt:
PHP-Code:
<?php phpinfo(); ?>
Diese lädst Du bitte einmal auf Deinen Server hoch und postest die URL hier im Forum. Auf der Seite erscheint dann die gesamte Serverkonfiguration mit allen benötigten Informationen.
Vll können wir Dir dann etwas besser helfen.
Also die PHP Version ist up to date, die Apache Version ist leider nicht aufgelistet. Das ganze läuft auf nem Linux Server. Daher ist eine Infektion mit dem Blaster Wurm schonmal ausgeschlossen und die Infektion mit einem Trojaner schon mal nicht wirklich wahrscheinlich.
Eine Möglichkeit die mir gerade einfällt, wie diese Dateien in Deine Verzeichnisse kommen, wäre die, dass Du die Schreibrechte für Deine Verzeichnisse falsch gesetzt hast.
Schau doch mal im FTP Programm ob irgend ein Verzeichnis unter "chmod" die Rechte "777" besitzt. Wenn ja, dann ist dies eine riesige Sicherheitslücke. Die Rechte sollten daher von Dir zu min "755" abgeschwächt werden.
Die Signatur des Apaches ist wohl ausgestellt. Aber daran kannst Du nichts ändern. Das ist vom Hoster so vorgegeben.
@Tele: Sollte die Signatur nicht normalerweise auch auf phpInfo Seite mit auftauchen?
Sehr komisch das ganze. Kannst Du das Passwort ändern für den FTP Zugang? Wenn ja dann änder das doch mal und speicher es nicht im FTP Programm mit ab.
Zusätzlich schau bitte mal, ob Du wirklich von dem FClick CMS die neueste Version installiert hast. Vielleicht hat sich da ja auch eine Sicherheitslücke eingeschlichen, die von irgendjemandem ausgenutzt wird.
Wie speichere ich das denn nicht? Das musst du mir nur verraten und ich machs sofort xD ^^°.
Hm hab mir mal irgend eine Version von FClick schicken lassen, kann dir leider nicht sagen welche. Per google hab ich eh keine gefunden, weil da alles auf russisch stand.
Wäre ich schon soweit, meine Downloads per PHP zu programmieren, würd ich FClick sofort löschen *grr*.
Hm.. so wie Du das jetzt schreibst, klingt das ganze eh ein wenig "dubios".
Ich persönlich würd mir keine Sofware installieren, wenn es keine englischsprachige Seite der Entwickler gibt. Schließlich ist engl eigentlich die Standardsprache im Internet.
Und auch wenns jetzt nur ne sehr vage Theorie ist, vielleicht haben die Entwickler absichtlich ne Backdoor eingebaut, um ihre Trojaner verbreiten zu können?
Kann leider im Internet auch nichts wirklich brauchbares zu FClick finden. Einzig und allein diese Seite hier taucht immer wieder auf. Dies scheint aber nicht das zu sein was Du verwendest.
EDIT: Ah ich seh grad, das könnte vll doch die Software sein die Du verwendest? Wenn ja, dann lad Dir mal die aktuelle Version. Da ist nämlich vor ein paar Tagen erst ne neue rausgekommen.
Oh hey super, hab ich mir gleich mal runtergeladen. Ich installier das morgen mal, bin schon viel zu tot dafür jetzt. Scheint wirklich das zu sein, was ich auch habe.
Schreibst du mir dann das bitte mit dem Passwort fürs FTP noch *gg*?
Also dann dank ich euch beiden schon mal ganz ganz herzlich für eure Hilfe. Sorry, dass das alles so lange gedauert hat. Hoffentlich klappt das morgen alles und ich bin den Trojaner los, sonst muss ich euch wieder nerven *hehe*.
Nacht an alle *gähn*.
So Tagchen auch mal wieder .
Hab gerade alle Dateien von meinem Webspace gelöscht.
Antivir hat gesagt, dass ich folgende Trojaner drauf habe:
Trojan.Spy.Win32.Banker.anv
Backdoor.PHP.Rst.f
Ich warte jetzt erstmal ab, ob die Trojaner wieder drauf kommen, obwohl ich alles gelöscht habe. Meine externe Festplatte ist zum Glück komplett sauber, so verlier ich keine Daten. Mal sehen ob ich dann (fast) wieder alles hochladen kann, oder nicht.
FClick werd ich mir aber nicht mehr installieren. Hab von jemandem nen Tipp für ein anderes Script bekommen, das ist sicherer.
Kann mir das ganze auch morgen mit nem EDV-Menschen meiner Berufsschule ansehen, der kann mir bestimmt noch ein paar gute Tipps zusätzlich geben.
Aber ich dank euch trotzdem nochmal für alles.
cartao.scr auf Webserver 
.
Linear-Darstellung
