Webspace über FTP gehackt

Dieses Thema im Forum "Sicherheit & Datenschutz" wurde erstellt von JoevanniD7, 21. Januar 2013 .

Schlagworte:
  1. 21. Januar 2013
    Zuletzt bearbeitet: 21. Januar 2013
    Hi liebe RR Community! Ich habe wie in der Überschrift schon geschrieben, ein Riesengroßes Problem! Mein Webspace wurde gehackt.

    Ich schreibe gerade im Live Support und anscheinend wurde der Webspace per FTP mit unzähliger Malware und anderem Zeugs infiziert! Ich lade gleich die Logs runter und dann seh ich genaueres! Falls jemand von euch Lust hat mir zu helfen gebe ich auch gerne Die Logfiles weiter!

    Jetzt habe ich gleich mehrere Fragen:

    Der Support meinte ich könnte evtl Malware aufm Rechner haben, aber ich prüfe täglich auf Viren und Malware! WIe kann ich herausfinden woher die Infektion kommt?

    Gibt es eine Möglichkeit mich vor solchen Bedrohungen zu schützen?

    Die Infektion wurde anscheinend über Filezilla übertragen! Gibt es "sicherere" Alternativen?

    Gibt es eine Alternative zu Malwarebytes?

    Ist AVG Free wirklich so schlecht?


    Edit: Ich habe mir Spybot Search & Destroy gesaugt! Laut Testberichten war dies sinnvoll! Gute Entscheidung? Ich bin echt verunsichert! Ich regel viele wichtige Dinge übers Inet und auch Jobtechnisch gibt es da auch Risiken...
     
  2. 21. Januar 2013
    Zuletzt von einem Moderator bearbeitet: 13. April 2017
    AW: Webspace über FTP gehackt

    1)
    Aha,.... Malware über Filezilla... klingt für mich jetzt etwas suspekt. Ich geh mal davon aus, die Software wurde von der Herstellerseite geladen, somit schadcodefrei.

    2)
    Hijackthis laden und durch laufen lassen, den log hier posten:
    oder hier

    3)
    AVG ist immer noch besser als AntiVir aber gegen Brain.exe kommt meist nichts an. Eine Sandboxie sollte eigendlich jeder benutzen, das mal so neben bei.
    Ansonsten würde ich dir mal zu Multiboot USB DVD Builder | Windows | SARDU / UBCD for Windows raten.

    Greetz
     
    1 Person gefällt das.
  3. 21. Januar 2013
    AW: Webspace über FTP gehackt

    Jo, also Spybot hat 6 Einträge gefunden. Ich poste gleich schonmal mein Hijackthis Log im Thread und dann mal schauen! Spybot hat die Bedrohungen entfernt, aber bedeutet das auch das jetzt alles in Ordnung ist? 2. Scan läuft gerade...
    Ich würde nämlich sonst erstma mein OS neu aufsetzen müssen um wirklich sicher zu gehen!

    Ist das wirklich nötig?
    Kann ich evtl herausfinden wie groß der Schaden ist?
     
  4. 21. Januar 2013
    AW: Webspace über FTP gehackt

    Hallo,
    hört sich für mich auch sehr nach Malware an. Lass erstmal den AVG nochmal mit aktuellem Patten drüber laufen. Ein Online-Virenscan von ESET/Norton/Trendmicro kann auch nicht Schaden.

    Wie groß der Schaden auf deinem Rechner oder Webspace ist?

    Poste erstmal das HijackThis Log.

    Gruß
     
  5. 21. Januar 2013
    Zuletzt bearbeitet: 21. Januar 2013
    AW: Webspace über FTP gehackt

    Wegen Filezilla: Mein Provider (Support Team) hat es überprüft und festgestellt das der Fremdzugriff per FTP Protokoll erfolgte! Deswegen dacht ich zuerst das läge evtl an Filezilla weil ich eine ältere Version benutze...

    Nun zur Logfile:

    Ich hatte das zwar schon in dem Auswertungs bereich gepostet aber hier bitte:

    Spoiler
    Logfile of Trend Micro HijackThis v2.0.4
    Scan saved at 14:05:34, on 21.01.2013
    Platform: Windows 7 SP1 (WinNT 6.00.3505)
    MSIE: Internet Explorer v9.00 (9.00.8112.16457)
    Boot mode: Normal

    Running processes:
    C:\Program Files (x86)\AVG\AVG9\avgtray.exe
    C:\Program Files (x86)\AVG\AVG9\Identity Protection\agent\bin\avgidsmonitor.exe
    C:\Users\Zentrale\Downloads\FirefoxPortable\App\Firefox\firefox.exe
    C:\Program Files (x86)\Spybot - Search & Destroy 2\SDWelcome.exe
    C:\Users\Zentrale\Downloads\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN NL: Hotmail, Outlook, Skype, het laatste nieuws, entertainment en meer!
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN NL: Hotmail, Outlook, Skype, het laatste nieuws, entertainment en meer!
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    R3 - URLSearchHook: (no name) - - (no file)
    F2 - REG:system.ini: UserInit=userinit.exe,
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files (x86)\AVG\AVG9\avgssie.dll
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files (x86)\Spybot - Search & Destroy 2\SDHelper.dll
    O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll
    O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre7\bin\ssv.dll
    O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre7\bin\jp2ssv.dll
    O4 - HKLM\..\Run: [VolPanel] "C:\Program Files (x86)\Creative\SB X-Fi MB\Volume Panel\VolPanlu.exe" /r
    O4 - HKLM\..\Run: [AVG9_TRAY] C:\PROGRA~2\AVG\AVG9\avgtray.exe
    O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\Windows\RaidTool\xInsIDE.exe
    O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
    O4 - HKLM\..\Run: [SDTray] "C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe"
    O4 - HKCU\..\Run: [ares] "C:\Program Files (x86)\Ares\Ares.exe" -h
    O4 - HKCU\..\Run: [Spybot-S&D Cleaning] "C:\Program Files (x86)\Spybot - Search & Destroy 2\SDCleaner.exe" /autoclean
    O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000
    O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~1\Office12\ONBttnIE.dll
    O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~1\Office12\ONBttnIE.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~1\Office12\REFIEBAR.DLL
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files (x86)\Spybot - Search & Destroy 2\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files (x86)\Spybot - Search & Destroy 2\SDHelper.dll
    O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
    O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
    O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
    O15 - Trusted Zone: *.clonewarsadventures.com
    O15 - Trusted Zone: *.freerealms.com
    O15 - Trusted Zone: *.soe.com
    O15 - Trusted Zone: *.sony.com
    O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files (x86)\Microsoft Office\Office12\GrooveSystemServices.dll
    O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files (x86)\AVG\AVG9\avgpp.dll
    O20 - Winlogon Notify: SDWinLogon - SDWinLogon.dll (file missing)
    O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe
    O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe
    O23 - Service: Andrea ADI Filters Service (AEADIFilters) - Unknown owner - C:\Windows\system32\AEADISRV.EXE (file missing)
    O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
    O23 - Service: AVG E-mail Scanner (avg9emc) - AVG Technologies CZ, s.r.o. - C:\Program Files (x86)\AVG\AVG9\avgemc.exe
    O23 - Service: AVG WatchDog (avg9wd) - AVG Technologies CZ, s.r.o. - C:\Program Files (x86)\AVG\AVG9\avgwdsvc.exe
    O23 - Service: AVG Firewall (avgfws9) - AVG Technologies CZ, s.r.o. - C:\Program Files (x86)\AVG\AVG9\avgfws9.exe
    O23 - Service: AVG9IDSAgent (AVGIDSAgent) - AVG Technologies CZ, s.r.o. - C:\Program Files (x86)\AVG\AVG9\Identity Protection\Agent\Bin\AVGIDSAgent.exe
    O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Program Files (x86)\avmwlanstick\WlanNetService.exe
    O23 - Service: BlueStacks Android Service (BstHdAndroidSvc) - BlueStack Systems, Inc. - C:\Program Files (x86)\BlueStacks\HD-Service.exe
    O23 - Service: BlueStacks Log Rotator Service (BstHdLogRotatorSvc) - BlueStack Systems, Inc. - C:\Program Files (x86)\BlueStacks\HD-LogRotatorService.exe
    O23 - Service: Creative ALchemy AL6 Licensing Service - Creative Labs - C:\Program Files (x86)\Common Files\Creative Labs Shared\Service\AL6Licensing.exe
    O23 - Service: Creative Audio Engine Licensing Service - Creative Labs - C:\Program Files (x86)\Common Files\Creative Labs Shared\Service\CTAELicensing.exe
    O23 - Service: Creative Audio Service (CTAudSvcService) - Creative Technology Ltd - C:\Program Files (x86)\Creative\Shared Files\CTAudSvc.exe
    O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
    O23 - Service: FABS - Helping agent for MAGIX media database (Fabs) - MAGIX AG - C:\Program Files (x86)\Common Files\MAGIX Services\Database\bin\FABS.exe
    O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
    O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Program Files (x86)\Common Files\MAGIX Services\Database\bin\fbserver.exe
    O23 - Service: Hi-Rez Studios Authenticate and Update Service (HiPatchService) - Hi-Rez Studios - F:\Program Files (x86)\Hi-Rez Studios\HiPatchService.exe
    O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
    O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
    O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
    O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
    O23 - Service: NVIDIA Update Service Daemon (nvUpdatusService) - NVIDIA Corporation - C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe
    O23 - Service: Internet Pass-Through Service (PassThru Service) - Unknown owner - C:\Program Files (x86)\HTC\Internet Pass-Through\PassThruSvr.exe
    O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
    O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
    O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
    O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
    O23 - Service: Spybot-S&D 2 Scanner Service (SDScannerService) - Safer-Networking Ltd. - C:\Program Files (x86)\Spybot - Search & Destroy 2\SDFSSvc.exe
    O23 - Service: Spybot-S&D 2 Updating Service (SDUpdateService) - Safer-Networking Ltd. - C:\Program Files (x86)\Spybot - Search & Destroy 2\SDUpdSvc.exe
    O23 - Service: Spybot-S&D 2 Security Center Service (SDWSCService) - Safer-Networking Ltd. - C:\Program Files (x86)\Spybot - Search & Destroy 2\SDWSCSvc.exe
    O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
    O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
    O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
    O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files (x86)\Common Files\Steam\SteamService.exe
    O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
    O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - Unknown owner - C:\Windows\System32\TuneUpDefragService.exe (file missing)
    O23 - Service: @%SystemRoot%\System32\TUProgSt.exe,-1 (TuneUp.ProgramStatisticsSvc) - Unknown owner - C:\Windows\System32\TUProgSt.exe (file missing)
    O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
    O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
    O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
    O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
    O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
    O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
    O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)
    O23 - Service: XMouseButton Launcher - Highresolution Enterprises - C:\Program Files\Highresolution Enterprises\X-Mouse Button Control\XMouseButtonSvc.exe

    --
    End of file - 11293 bytes

    Offensichtlich ist die im Netz schon bekannte "virtumonde.dll" gerade aufgetaucht beim 2. Scan! Dazu gibts jede Menge Infos auch im Trojaner Board, aber jetzt mal ehrlich: Muss ich wirklich ALLE ausfürhbaren Dateien löschen und ALLE HDDs formatieren? Keine Datenrettung möglich? Das wäre echt das Absolute Armageddon für mein privates und berufliches Leben! Gibt es Alternativen? Oder muss ich damit rechnen das selbst evtl vorhandene, verschlüsselte TC Partitionen mit Inhalt infiziert sind?
     
  6. 21. Januar 2013
    AW: Webspace über FTP gehackt

    Wenn du ganz sicher gehen willst, bleibt dir nur ein jungfreuliches OS.... leider.
    Bilder, Musik, Filme etc kannst du ja natürlich sichern. Auch ggf. Programm-Einstellungen expotieren und sichern, auf den Rest würde ich verzichten.

    Greetz
     
  7. 21. Januar 2013
    AW: Webspace über FTP gehackt

    Im HijackThis Log ist jetzt nichts wirklich auffälliges zu sehen.

    Das der Zugriff über FTP passiert ist heißt nicht das es über FileZilla ging. Das "Schadprogramm" kann das auch selbst gemacht haben. Aber üblicherweiße hat nur jemand deine Daten abgefischt und dann von woanders verwendet.

    Sicherste Variante ist natürlich dein Rechenr neu zu installieren wie BadBoy schon sagste und ERST DANN das Passwort bzw. alle Passwörter zu ändern. (externe Platten etc. erstmal nicht dran machen).
     
    1 Person gefällt das.
  8. 21. Januar 2013
    Zuletzt bearbeitet: 21. Januar 2013
    AW: Webspace über FTP gehackt

    Also fürs erste findet Spybot 2 Einträge die immer wieder "erneuert" werden.


    Spoiler
    Windows: [SBI $1E4E2003] Drivers installation paths (Registry Change, nothing done)
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\Installation Sources

    Windows: [SBI $1E4E2003] Drivers installation paths (Registry Change, nothing done)
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\Installation Sources

    Sind die potentiell gefährlich?

    Dann werd ich wohl oder übel mein OS neu aufsetzen müssen. Naja wenigstens muss ich meine Dateien nich alle lsöchen! Bis dahin sollte ich wahrscheinlich keine wichtigen Online Dinge erledigen oder? Momentan ist anscheinend der einzige Schaden, die Infektion des Webspace!
    Ich frage mich halt nur "warum" und "wieso wurden meine Facebook Daten oder meine sonstigen empfindlichen Daten nicht missbraucht"

    Ich meine, meine Homepage war nur für unsere Musik und hatte keinerlei "Wert" der irgendwelche Angriffe rechtfertigt...

    Edit:
    Mein Provider hat mir zur Problemlösung mit Detaillierten Anweisungen zur Behebung noch eine Textdatei geschickt mit der Anweisung: "Entfernen Sie das Malware Script (siehe Anhang)"

    In der Textdatei finde ich zwar ein bisschen Code, aber der Rest ist Datenwirrwarr! Hier ein kleiner Auszug:

    Spoiler
    PK îq5B^Æ2' ' mimetypeapplication/vnd.oasis.opendocument.textPK îq5BB:ò]Ú Ú meta.xml<?xml version="1.0" encoding="UTF-8"?>
    <office:document-meta xmlns ffice="urn asis:names:tc pendocument:xmlns ffice:1.0" xmlns:xlink="http://www.w3.org/1999/xlink" xmlns:dc="http://purl.org/dc/elements/1.1/" xmlns:meta="urn asis:names:tc pendocument:xmlns:meta:1.0" xmlns oo="http://openoffice.org/2004/office" xmlns:grddl="http://www.w3.org/2003/g/data-view#" office:version="1.2"><office:meta><meta:creation-date>2013-01-21T12:40:01.29</meta:creation-date><dc:date>2013-01-21T15:15:28.58</dc:date><meta:editing-duration>P0D</meta:editing-duration><meta:editing-cycles>1</meta:editing-cycles><meta:generator>LibreOffice/3.6$Windows_x86 LibreOffice_project/e29a214-2bbed72-0621de6-a97528c-8f066d</meta:generator><meta:document-statistic meta:table-count="0" meta:image-count="0" meta bject-count="0" meta age-count="5" meta aragraph-count="2" meta:word-count="293" meta:character-count="10381" meta:non-whitespace-character-count="10088"/></office:meta></office:document-meta>PK îq5B settings.xmlµZÛrÚH}߯péÝ|<¡lR?,,
    p\>·Aj@ëÑ´jfdàï·G¯$?H?'
    ]ú6}ºO7Ü|Y?üä¤
    PÜ:Ouç,,?~ ·ÎÓ´wzí|iÿu?óyàAËG/AèSZÓ#ê,,^ªoÞ¾ub)ZÈT Z,... ZÚkab÷ZëýÓ­DYzeÍñrë,µ?ZµÚjµú´:ÿ,,rQk4>ÍZrw÷¨?b,?Uo>ý^"¾)2/¤Æ$ÊÎêõ<ZúÝ9Ùù.4gN{?ûí>­,ôã4Ð?Øoel/ÓnRÙz
    `õ5'ë½ÿ¿ó"?w%°)FÎî?ÞDt'Úi×oj??--:EUR¹ÎÛ¨_^--"üøz(TM))úúüê¢oeìï,-Ùv_^7< ?,q5?RºK& öÌ90á´µOE¡~?¾èH\)x@ò¤ÏWG<?
    YtÖàÆ*;¿'wrs\Äûþ?©JKJ^§mRù¬øIææÞy³^"ùrEURrvYoª,PIWìDè8!Í<³r¢;¨5+yèû\Lö/ÄpJ'öSm?²\o°
    ƺ<<Å>¢«'ÞA|©Ò?qé1O£Ì¶½Q/h}_MEUR?§ÁïIºPÀôOE<ïKKÞímµÊ~EURãñ­4½K¦©1ÿIO¥ú.µk|?|¦s}/QçÕEURÍEURßm9^...¼x`zÙa
    L»ry°é)îÈXûÕ?EúU£q}Y°ÓcmÌÀ+ð¿à¾zOEÃ$M¥úHH®6Å{Ĭôô;|Dý#V:~oä-zôò?~ñqo.%>e³?Æh,,*0ù_½cIরÖ#Î<X"÷a¿UáÌ",!÷mf@7-'ÐqÇ4>dº+Lä?Ú1qAM...³?r¿ V-®?øK...ÎÍ×²È 'ãéÀ,?IÈ8ï²H@zzBÞÕo-Wº'?Ü´M? Þ'R&' Ì X9II|øø>6;3É
    ÒÈ-,?ìଯîA
    WLOEbáé~}T~ªÊ`[ò¿+'ÞXêObfZ#6ýVøl@ýíä?³(T»^a©Ì¢ ¶ð_-
    i%oTMMäƸºØ?*;ÿ1~oì÷??ÌWcàW?þúD^mp·Ô3ZÊâ+,Ù"N@Ç6ÃõÓ e8?Å·'M¤aD...~11Å$»ºÀm´"tâ0ñ?Bq+ÓùóuM]K0> æEURö'g?!Ñ~àÌMiÐaÖ¹'tØÎYF-)ÑO©GÓ oJ\ñqgOE~³Z¼ø\oÜ\Ò`ð'}Æ?`7Ê--^"+ê¤ÝæË/ÈOR~¾= p{6?{»zÝ'krä6ûj^¼_]tÁäæ8¢?ØoeY~þPT!PB/J>/-Ù}aujAÎ?ACÂCL525ʐA>îEUR??^ú,Z¥î ¤î¿­¢ÖXµ²
    G?ñÁWÕ4O"<?%ÜI¶"
    £+ÂhµÃ+¹9Ço....E|Càofî­^<Ùî&koD3M~.^÷-U_ee'kRäÁ/H-î7Ý­Ì Ë^ágú<ßPt9*Ç?$t­KaoK^Îòìo,Í)ÅŐùc:Kü æWço&3?h]Å­ï(TM)¦Ím²Ë©@$NÕê2á·@Lw£¢éoö?¸Ö7?3ö¶7ÔÈ¡ØÛú(TM)Ï ÆÒ+Ñæ`+7WøÎÈn
    (TM)?W--q/æ¶ÖÙûËOEET(TM)ß
    "Æ7±L9qµ-Æ9"8f
    iÃ)D®zÛ°¹Â#-
    þ³¤Geo'(TM)ÏÚ\'"Kµ £»z¢(TM),0ßçþ>V;øóI-ïo9íPK ÿ%< Ø# PK îq5B content.xmlÕ\Ý?㶾ïS¨^`Ñoo(TM)É&3Þì-Ò¢2AÝ´½h'-S¤-¤¬qEUR¾Mߤ/ÖCR'å±þH{ôf<Ï÷ñðòððGþêëçoeE{"üÝâfùÙ""<~òìÝâ§<ï_?þî+±ÙÐ"¬°HËoep§,køOE ÍÕÊo¾["'¯RT­8Ê?Zét%
    ÂÔª+½²u¹'JØl¸î¢5yÖsÁFö<Öók¶Â]4-¨?6²`Ô.|#æ,?<7¬?HÓZ<3Êwï[­<U'TUµ¬î-BfÉÍÃÃCbK[...ÓV®

    Könnt ihr was damit anfangen?
     
  9. 21. Januar 2013
    AW: Webspace über FTP gehackt

    Das vom Provider dürfte ein Word Dokument sein

    Schau mal deine *.js Datein durch, da wird wohl bisschen was eingeschleust worden sein.

    Der Eintrag sieht strange aus.

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\Installa tion Sources

    Normal ist da keine Leertaste drin.
    Mach mal nen Screenshot von -> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup\

    EDIT:
    Lass mal laufen -> Free Online Virus Scan - Antivirus Software - Trend Micro USA
     
  10. 21. Januar 2013
    AW: Webspace über FTP gehackt

    Auch gut möglich, dass der Code direkt über irgendwelche Sicherheitslücken im Script eingeschleust wurden...
     
    1 Person gefällt das.
  11. 21. Januar 2013
    AW: Webspace über FTP gehackt

    Trojaner von heute lesen in Sekunden alle Zugangsdaten aus Standardsoftware.
    Filzezilla wird fast von jedem Trojaner / Bot unterstützt. Scheinbar hast du dir irgendwo
    Malware eingefangen. Diese hat deine gesamten privaten Daten an einen Master Server
    gesendet. Dort wurde der FTP Login abgegriffen und deine Website vermutlich als weitere
    Malware Schleuder missbraucht. Ich würde sicherheitshalber alle PWs ändern. Vor allem
    die wo es um Shopping / Geld geht.
     
    1 Person gefällt das.
  12. 21. Januar 2013
    Zuletzt bearbeitet: 21. Januar 2013
    AW: Webspace über FTP gehackt

    Tach,

    zugriffe via FTP bedeuten nicht, dass das Ganze über dein FTP-Programm passiert ist.

    Der "Angreifer" kann sich das Passwort zu deinem Server auch anderweitig besorgt und dann über ein anderes Programm entsprechend Schadware hochgeladen haben.

    Denkbar wäre auch eine SHELL, die durch ein Sicherheitloch deiner Serversoftware (Wordpress, Joomla etc...) eingeschleust wurde.

    Gänige SHELL Skripte sind in der Lage FTP-Konten anzulegen, also nicht weiter verwunderlich.
    Möglich wäre auch, dass so eine SHELL dein vorhandenes FTP-Konto ausgelesen hat, wobei gänige Skripte dieser Art sowieso Vollzugriff auf dein Dateisystem ermöglichen.

    Bevor du nun übereilig deinen Rechner platt machst, solltest du zu erst mal nach einer PHP-SHELL suchen und diese entfernen.

    BTW: @Overkiller
    Das Leerzeichen wurde vom vBulletin eingebaut, damit die zusammenhängende Zeichenkette nicht das Layout der Seite sprengt.

    Beispiel:
    aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa
    -> kein Leerzeichen im Original
     
    1 Person gefällt das.
  13. 21. Januar 2013
    Zuletzt bearbeitet: 21. Januar 2013
    AW: Webspace über FTP gehackt

    Pack mal eine PHP-Shell auf Webspace bei einem Shared/Massenhoster und schau was du damit machen kannst. In 99% der Fälle gar nichts geschweige denn irgendwelche Befehle ausführen. Du kannst Dateien listen, wenn du Glück hast. Die haben schon was dagegen, dass man irgendwelche Shells hochlädt und dann da alles zerstörst.
     
  14. 21. Januar 2013
    Zuletzt bearbeitet: 21. Januar 2013
    AW: Webspace über FTP gehackt

    Wenn ich eine PHP-SHELL auf einen Shared Hoster bekomme, dann kann ich mit dieser ohne Probleme weiteren Schadecode einschleusen (HTML-Dateien modifizieren etc.).

    Wenn man weiß welche Art von Serversoftware läuft (CMS...) ist ein Zugriff auf die Datenbank auch ohne weiteres möglich.

    Der Zugriff auf das Dateisystem ist ja gegeben, vorausgesetzt natürlich, dass die SHELL im richtigen Ordner landet, was oftmals der Fall ist.

    Mit "Vollzugriff" meinte ich natürlich Lesen/Schreiben im jeweiligen Verzeichnis, nicht Serverweit

    Sollte die SHELL wirklich in der Lage sein neue FTP-Konten anzulegen, dann ist die SHELL an sich das kleinste Problem
     
  15. 21. Januar 2013
    AW: Webspace über FTP gehackt

    Ist soweit alles korrekt. Habe mich an der Sache mit den FTP-Konten gestört, da das ja quasi impliziert, dass man höhere Lese- bzw. Schreibrechte hat oder priviligierte Befehle absetzen kann.
     
  16. 21. Januar 2013
    AW: Webspace über FTP gehackt

    Wow soviel Input! Danke ihr seid Power!

    Es steht fest das der Zugriff per FTP erfolgte. Die IP ausm Log kam aus Malaysien was aufn Proxy schliessen lässt. Die Daten dafür wurden per Bösartiger Software geklaut! Ich habe die Bedrohungen jetzt entfernt und (das hat mir der Support auch geraten) natürlich alle PW´s geändert!

    Den Webspace hab ich erstma nachdem der Support den FTP Zugang wieder freigegeben hat, komplett leer geräumt!

    Mal schauen ob ich n Backup hochlade oder was neues mache. Fakt is aber das ich jetz leichte Paranoia schiebe!

    Was wohl in so einem Fall verständlich ist! Also werde ich Monkmäßig mit Selbstzwang meine Daten sichern und das OS neu aufspielen.

    Hier ne würzende Beilage noch:

    Gibt es Möglichkeiten solche Übergriffe zu verhindern? Ich meine es war nirgendwo auf 777 und ich hatte zwar ein paar ordner in denen ich scripte zum testen hochgeladen habe, aber ich habe sie jedesmal danach gelöscht! Ausserdem waren ausser unserer Musik (die wir umsonst verteilen) nix relevantes auf dem Space. Das Merkwürdige ist, alles andere ist unberührt. Ich hab noch weiteren Webspace und auch n Ucoz Acc und diverse andere Spielerein die viel Interessanter gewesen wären.
    Aber beim PW ändern hab ich festgestellt das kein fremder Zugriff auf diesen Seiten erfolgte! Dazu fällt mir eins ein:

    WTF :bulle:
     
  17. 22. Januar 2013
    AW: Webspace über FTP gehackt

    Ist egal ob 777 gesetzt war oder nicht, da er (offensichtlich) über deinen FTP Account zugegriffen hat. Interessant wäre das gewesen, wenn er keinen Account gehabt hätte und versucht die Datein zu modifizieren durch Injection oder so.

    Schützen? Naja...Brain.exe
     
  18. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.