.htaccess Securityproblem??

**Skipman** · 21.08.2012, 14:06

Hallo zusammen,

ich habe neuerdings das Phänomen, dass meine .htaccess-Datei einfach umgeschrieben wird. (Nicht von mir wohlgemerkt

)

Folgendes passiert: Es wird am Anfang der .htaccess eine RewriteRule eingefügt (wie hier beschrieben: http://labs.sucuri.net/?note=2012-06-18). Die Domain auf die umgeleitet wird, variiert.

Auswirkung: Versucht man, eine betroffene Domain über Google oder andere Suchmaschinen bzw. soziale Netzwerke zu erreichen, wird man auf die in der RewriteRule definierte Domain umgeleitet und gelangt nicht zur eigenen (ich hoff, ich hab das jetzt halbwegs verständlich rübergebaracht)

Die .htaccess wird offensichtlich mehrmals äglich umgeschrieben. Ich habs schon mit Schreibschutz, Verzeichnisschutz etc probiert, nichts davon hilft

Hat einer von Euch auch schon eine solche Erfahrung bzw. was kann dagegen unternommen werden?

Danke für Eure Hinweise!

**magicsepp** · 21.08.2012, 14:41

alle Passwörter ändern und Installation checken auf geänderte Dateien. siehe hier

**Skipman** · 21.08.2012, 18:08

Mein Virenprogram (Kaspersky PURE) sagt mir, dass auf dem Link http:/ /www.contao.or g/de/extension-list/view/bundle_clien t.html (Link absichtlich unbrauchbar) ein Trojaner namens JIM befindet

Kann das bitte kontrolliert werden?

**magicsepp** · 21.08.2012, 18:18

Kaspersky Internet Security ist hingegen friedlich...

**Flex** · 21.08.2012, 18:21

https://www.virustotal.com/url/4eaf6...is/1345569648/

Ich sehe da auch nichts...

**Skipman** · 21.08.2012, 18:46

Zitat von Flex

https://www.virustotal.com/url/4eaf6...is/1345569648/

Ich sehe da auch nichts...

Und was fang ich dann damit (siehe Screenshot) an ??

**magicsepp** · 21.08.2012, 19:11

haste mal auf das Datum geschaut? Da gab es mal eine kurze Zeit falsche Warnungen- könnte so aus dem Kopf passen... also das kannste vergessen.

***lucina*** · 21.08.2012, 19:57

Zitat von Skipman

Und was fang ich dann damit (siehe Screenshot) an ??

https://www.contao-community.de/show...l=1#post193799

**Skipman** · 21.08.2012, 21:45

Vorerst vielen Dank für die zahlreichen Meldungen. Ich hab jetzt zur Sicherheit nochmals den Scanner laufen. Paralell dazu hab ich eine Anfrage an Kaspersky rausgeschickt, ob die den Trojaner / Virus / Malware schon kennen.

Ich halte Euch diesbezüglich auf dem Laufenden!

**magicsepp** · 22.08.2012, 07:06

Ich fasse mal kuz zusammen:
Meldung vom 30.März 12 ist schon etwas alt und Antwort von Kaspersly (Post von Lucina)

Sorry, it was a false detection.

Für das Problem der htaccess Änderungen ist das eher uninteressant

**Babelfisch** · 22.08.2012, 13:40

Hast du bei dir ein nicht aktuelles Wordpress oder nicht aktuelle Plugins laufen? Ich hatte auf einem Server bisher zwei ähnliche Angriffe und beide male war ein anfälliges und nicht mehr weiterentwickeltes Wordpress-Plugin dafür verantwortlich. Seit dem ich alle WP-Installationen gekappt habe, haben ich (toi toi toi) keine Probleme mehr.

Gruß

**Skipman** · 22.08.2012, 16:53

Wordpress hab ich nicht in Verwendung (hatte bisher keinen Bedarf dafür).

Kurzer Zwischenstand: Der lokale Virenschutz hat inzwischen keinen Fehler mehr gemeldet

, eine Antwort von Kaspersky ist aber noch ausständig

Meine nächsten Schritte sind:
- Hosterwechsel (meiner bietet leider keinen SFTP-Zugang an...)
- damit verbunden neue FTP-Zugangsdaten
- Umzug der Domains (mach ich von einem anderen Rechner in meinem Netzwerk aus)
- Neuaufsetzen des bestehenden Systems (auch wenn es keinen Virus aufweist)

Mal sehen, ob das was hilft

**Skipman** · 28.08.2012, 09:08

Mittlerweile konnte ich das Problem weiter eingrenzen.

Offenbar wurde eine Sicherheitslücke einer alten Joomla-Installation (Kunde wollte keine Wartung....) ausgenutzt. Seitdem ich die Joomla-Installationen von den Contao-Installationen getrennt habe, gibt es keine Probleme mehr

Sorry, dass ich so viel Wind gemacht habe, aber ich denke, es ist besser, zuerst einmal alles in Betracht zu ziehen und dann Stück für Stück zu eliminieren.