Browser-Hiweis beim einloggen: Malware von sstew.forgottencelebs.com

[Oliver Beyersdorffer]

Guten Morgen Contao-Experten,

ich nutze bereits seit 2008 eine ältere TYPOlight-Installation und wollte mich gestern mit Chrome in meinem Backend anmelden, um neue Seiten und Artikel anzulegen. Der Browser blockierte die Seite mit folgendem Hinweis:

Auf dieser Webseite wurden Inhalte von sstew.forgottencelebs.com eingefügt, einem bekannten Verbreiter von Malware. Beim Besuch dieser Seite besteht jetzt die Gefahr, dass Sie Ihren Computer mit Malware infizieren.

Interessant ist, dass tatsächlich beim Aufruf oder Speichern von Seiten, Artikel, etc. irgend etwas an sstew.forgottencelebs.com übertragen wird.
Zunächst habe ich mich dann mit meinem Standardbrowser (Firefox) angemeldet und eine Seite angelegt, Artikel verändert und gespeichert. Folgendes ist dabei geschehen:

1. es wurde eine weitere Seite angelegt mit der URL .../666.html.
2. Obwohl ich diese Seite weder selbst angelegt noch bearbeitet habe, sind die Änderungen in den Artikeln dort passiert, während die von neue Seite, die ich eigentlich bearbeitet habe keinerlei Änderungen erfahren hat.
3. Nach dem Speichern war die Phantomseite .../666.html aufrufbar. Hier waren die Änderungen sichtbar aber kurze Zeit später sind die Inhalte verschwunden.

Ist das jemandem bekannt?
Wie lässt sich das finden und beheben?

Bin etwas ratlos... ich habe mir zunächst mal die entsprechende .../typolight/index.php angesehen um festzustellen, ob hier irgend etwas verändert wurde, konnte aber keinerlei Hinweis finden.

Für Hilfe wäre ich echt dankbar.

LG
Oliver

[Russe]

Schau mal hier, da steht einiges dazu.
http://de.contaowiki.org/Contao_gehackt

[Samson1964]

Wenn Dein Web gehackt wurde, springen Dir in der Regel Dein Provider oder Google helfend bei. Google verschickt z.B. eine Email an ein allgemein als vorhanden einzustufendes Postfach einer Domain, z.B. webmaster. Mein Provider überwacht zudem zusätzlich meine Installation und sperrt Dateien ohne mein Zutun. So ist es mir z.B. gestern passiert, daß die Domain für eine halbe Stunde gesperrt wurde. Bei einem Virencheck des Providers wurde angeblich ein ganzer Haufen Malware gefunden. Es waren letztendlich aber nur Frontpage-Steuerdateien mit Endung jpg. Auf Nachfrage beim Provider verwiesen sie auf ein PHP-Skript welches auf eine verseuchte externe Seite weiterleitet und schalteten unabhängig davon aber die Domain wieder frei.

Bin ich auf mich allein gestellt, gehe ich meist folgendermaßen vor:

A) Bei wenigen Verzeichnissen auf dem Server schaue ich mir das Änderungsdatum der Dateien an, ebenso natürlich den Dateinamen. Da fällt einem natürlich schon eine ganze Menge auf und man kann die schadhafte Datei schnell identifizieren.

B) Auf meinem Rechner daheim habe ich i.d.R. eine relativ aktuelle Sicherungskopie des Webs. Die vergleiche ich mit dem Server-Web mittels der Verzeichnissynchronisation des Total Commanders. Damit finde ich alle veränderten, gelöschten und neuen Dateien.

C) Man kann das ganze Server-Web auch in ein lokales Verzeichnis herunterladen. Ein installierter Virenscanner reagiert normalerweise sofort und blockiert verseuchte Dateien. Bleibt dann nur noch das Problem, die Originaldatei wiederherzustellen. Doch dazu hat man ja i.d.R. eine Sicherungskopie (sh. B).