Zum Inhalt wechseln



Neueste Nachrichten (in Englisch): (am laden..)

Foto

Webspace Angriff ich brauche dringend Hilfe "Seite gesperrt"


Dieses Thema wurde archiviert. Dies bedeutet, dass Sie auf dieses Thema nicht antworten können.
3 Antworten in diesem Thema

#1 norbi08

norbi08
  • Members
  • 29 Beiträge

Geschrieben 27 August 2009 - 18:09

Hallo


ich habe von 1und1 die unten folgende Mail bekommen. Und meine Seite ist gesperrt bis die Sicherheitslücken behoben sind. Leider habe ich bei meinem Anruf dort keine vernünftige Antwort bekommen ausser das diese erst nach behebung der Lücken wieder Freigeschalten wird.Kann mir hier vielleicht jemand weiterhelfen und mir sagen was ich in den Dateien an den Scripten ändern muss ? Und ich kann dòch nicht meine Index-dateien löschen.

bin für jede Hilfe dankbar

Ihr 1&1 Webspace ist über eine
Sicherheitslücke in Ihrer Software von außen angegriffen worden. Sie erhalten in
dieser E-Mail eine Analyse des Angriffs und Hinweise, wie Sie die
Sicherheit Ihres 1&1 Webspaces wiederherstellen.

1	Analyse des Angriffs
1.1  Das folgende Skript hat den Angreifern als Einfallstor gedient:

./includes/languages/english/product_info.php
./includes/languages/espanol/product_info.php
./includes/languages/german/product_info.php
./product_info.php
./admin/includes/languages/english/index.php
./admin/includes/languages/espanol/index.php
./admin/includes/languages/german/index.php
./admin/index.php
./includes/languages/english/index.php
./includes/languages/espanol/index.php
./includes/languages/german/index.php
./index.php

1.2  Die folgenden schädlichen Dateien wurden auf Ihren Webspace geladen:

'./admin/includes/seo_cache.php'		| Mtime:20/Apr/2008:18:23:17
'./admin/index.php'	 | Mtime:03/Jun/2007:14:48:51
'./images/file.php'	 | Mtime:19/Mar/2008:08:36:01
'./includes/seo_cache.php'	  | Mtime:20/Apr/2008:18:21:58
'./orders.php'  | Mtime:07/Jun/2008:19:17:19
'./product_data.php'	| Mtime:27/May/2008:22:19:32


Wir haben die oben genannten Dateien deaktiviert.

2	Hinweise zur Absicherung
Um die Sicherheit Ihres 1&1 Webspaces wiederherzustellen, gehen Sie nun wie
folgt vor:
2.1  Löschen Sie die oben genannten Dateien. Zuvor müssen Sie sich die 
Zugriffsrechte daran wieder erteilen. Hinweise dazu finden Sie unter
http://hilfe-center.1und1.de/hosting/homepage/webspaceexplorer/9.html

2.2  Schließen Sie alle Sicherheitslücken in Ihrer Software. Prüfen Sie die
Sicherheit der folgenden Skripte an den angebenen Variablen. Sie haben den
Angreifern wahrscheinlich als Einfallstor gedient:

./includes/languages/english/product_info.php
./includes/languages/espanol/product_info.php
./includes/languages/german/product_info.php
./product_info.php
./admin/includes/languages/english/index.php
./admin/includes/languages/espanol/index.php
./admin/includes/languages/german/index.php
./admin/index.php
./includes/languages/english/index.php
./includes/languages/espanol/index.php
./includes/languages/german/index.php
./index.php

2.3  Untersuchen Sie Ihren gesamten 1&1 Webspace auf weitere fremde Dateien,
die während des Angriffs abgelegt wurden. Löschen Sie diese unverzüglich.

WICHTIG: Angriffe dieser Art gefährden Ihren 1&1 Webspace! Prüfen Sie daher in
Zukunft regelmäßig die Sicherheit Ihrer Software. Gerne beraten und unterstützen
wir Sie bei der Lösung einzelner Probleme. Die Absicherung der von Ihnen
verwendeten Software beruht jedoch auf Ihrer alleinigen Verantwortung.


#2 Carla

Carla
  • Members
  • 2607 Beiträge

Geschrieben 28 August 2009 - 08:24

Hallo,

also ich bin kein Fachmann in diesen Dingen, aber folgendes ist mir aufgefallen:

'./admin/includes/seo_cache.php'
'./includes/seo_cache.php'

Ist nicht standard, evtl eine SEO-Contrib, falls ja lade einfach die Originaldateien wieder hoch.

'./admin/index.php'
'./orders.php'

Auch hier testhalber mal die Originaldatei oder das letzte Backup hochladen.

'./images/file.php'

Das klingt sehr verdächtig, die würde ich mal vom server runterholen und anschauen und gegebenenfalls löschen.

'./product_data.php'

Ist kein Standard ... Addon?

Gruß, Carla

Bearbeitet von Carla, 28 August 2009 - 08:25.


#3 Ingo Malchow

Ingo Malchow
  • Team Member
  • 9521 Beiträge

Geschrieben 28 August 2009 - 22:53

...also ich bin kein Fachmann in diesen Dingen, aber
{...Code...}
...Ist nicht standard, evtl eine SEO-Contrib, falls ja lade einfach die Originaldateien wieder hoch.

Falsch. Wenn man den Code darin nicht wirklich versteht, sollte man diese Dateien LÖSCHEN.
Das Shop-Frontend von osCommerce 2.2 hat KEINE bekannte Sicherheitslücke. Das gilt keinesfalls für die Contributionen!
Mein Rat:
1. Du suchst Dir jemanden, der die Sicherheistlücke findet und beseitigt oder
2. Du entfernst die besagte Contribution oder
3. Du lässt Deinen Shop offline.
Vielleicht weiss jemand noch eine vierte Möglichkeit.
Gruß, Ingo

"You, you may say I'm a dreamer, but I'm not the only one." (John Lennon, 1971)
"If you wanna make the world a better place, take a look at yourself and then make a change." (Michael Jackson, 1988)
In Neustrelitz residierte einst Großherzog Carl II. von Mecklenburg-Strelitz, der Vater der beliebtesten und bis heute verehrten Königin von Preußen: Luise

#4 norbi08

norbi08
  • Members
  • 29 Beiträge

Geschrieben 29 August 2009 - 11:31

Hallo

also erstmal vielen Dank für die Antworten. Ich hatte nochmal bei 1und1 angerufen und einen Herrn am Telefon der sich wenigstens ein bisschen Mühe gegeben hat. Der hat mir geraten am besten das neueste Update von Oscommerce zu machen und dann einfach mein Backup hochzuladen. Da ja dann auf jeden Fall die schädlichen Dateien weg wären. Dies habe ich auch getan nun habe ich eigentlich alles wieder hinbekommen.

Nur noch ein Problem besteht jetzt an dem ich noch arbeite: Ich hatte vorher Three Images with admin installiert. Das habe ich jetzt auch wieder allerdings weren die Bilder wenn ich z.B. nur 1 Produktbild habe als 3. angezeigt. Aber das ist bestimmt nur ein kleines Problem in der Contrib, muss ich halt noch überprüfen.

Gut dann vielen Dank und ein schönes Wochenende