FTP-Sicherheitslücke...?

Hallo Alex,

wie der Trojaner aussieht lässt keinen Rückschluss darauf zu, wie er ins System gelangt ist. Da musst du schon weitere Informationen liefern.

Falls du irgendein CMS benutzt, sieh nach, welche Sicherheitslücken bekannt sind und wie man die schließt. Wenn du Joomla benutzt, sind dort einige Lücken bekannt.

Außerdem musst du alle deine PHP-Scripts untersuchen, inwieweit die einem Benutzer erlauben könnten, eigenen Code einzuschmuggeln. register_globals sollte unbedingt aus sein und du solltest danach prüfen, was mit $_GET-, $_POST-, $_REQUEST-, $_COOKIE- und $_SESSION-Werten genau passiert und ob die eventuell ungeprüft an Dateisystem-, Prozesskontroll- oder eval-artige Funktionen übergeben werden.

Falls irgendwelche Daten für das head-Element (z. B. Seitentitel) bei dir aus einer DB kommen, solltest du prüfen, ob das vielleicht schon in der DB so drinsteht.

Ansonsten, wie gesagt, mehr Infos!

Gruß,

Amica

Danke für die Antwort,

bei den gehackten Seiten (es sind 2 unterschiedliche) handelt es sich einmal um ein hauseigenes Framework (hier würde ich ein Sicherheitsrisiko eher vermuten) aber auch um eine renomierte Shop-Software, deren Namen ich noch nicht nennen möchte.
Ich lade mir in diesem Augenblick das gesamte Systembackup runter und möchte dann alle Dateien nach dem Schadcode durchsuchen, weil ich vermute dass noch mehr Dateien befallen sein könnten. Eine umfassende DB-Suche hat ergeben, dass der Schadcode nicht aus der Datenbank kommt.

Das Pikante an der Sache ist, dass 2 unterschiedliche Systeme gleichzeitig gehackt worden sind. Daher ist meine Vermutung, dass der Schädlich sich Zugang per FTP verschafft hat. Daher frage ich mich, welcher Werkzeuge er sich bedient hat. Ist auf meinem Rechner ein Spion installiert oder ist vielleicht das ganze Netzwerk befallen? Wo kann ich anfangen zu suchen und vor Allem, wonach?

Über Hinweise würde ich mich freuen, mehr Infos kann ich auch liefern. Ich weiß aktuell halt nicht, wo ich überhaupt anfangen soll.

MfG

Alex

Besorg dir von deinem Hoster mal die FTP-Logs. Eventuell kannst du darin erkennen, zu welchen Zeiten und von welcher Adresse aus sich jemand außer dir eingeloggt hat. Lass es am besten auf SFTP umstellen. Ohne SSL werden die Logindaten unverschlüsselt übertragen und mit einer MITM-Attacke ziemlich einfach auslesen. Eventuell wurde dein System selbst schon manipuliert (Keylogger, Proxy-Server, ...), um beim nächsten Upload das FTP-Passwort zu bekommen. Immer wieder gerne genommen werden auch ARP-Attacken, die aber nur schwer nachzuweisen sind.

Hi,

danke für die Stichworte, jetzt weiß ich wenigstens, wonach ich googeln kann!

Dieses ist ein typisches Einfallstor in der php.ini:
Zumindest in Verbindung mit schlampiger Parameterprüfung.

Kannst du das bitte näher erleutern? In meiner php.ini taucht der Parameter gar nicht auf.


Ich habe eben vom Provider die Info bekommen, dass zum fraglichen Zeitpunkt eine IP aus den USA sich eingeloggt und innerhalb von 2 Sekunden den Account durchforstet hat. Somit ist die Sache klar, die FTP-Daten wurden geklaut...

Nicht zwingend. Eine Brute Force Attacke ist auch noch möglich.