Neueste Nachrichten (in Englisch): (am laden..)

Archiviert

Dieses Theme ist nun archiviert und für weitere Antworten gesperrt.

norbi08

Webspace Angriff ich brauche dringend Hilfe "Seite gesperrt"

4 Beiträge in diesem Thema

Hallo

ich habe von 1und1 die unten folgende Mail bekommen. Und meine Seite ist gesperrt bis die Sicherheitslücken behoben sind. Leider habe ich bei meinem Anruf dort keine vernünftige Antwort bekommen ausser das diese erst nach behebung der Lücken wieder Freigeschalten wird.Kann mir hier vielleicht jemand weiterhelfen und mir sagen was ich in den Dateien an den Scripten ändern muss ? Und ich kann dòch nicht meine Index-dateien löschen.

bin für jede Hilfe dankbar

Ihr 1&1 Webspace ist über eine
Sicherheitslücke in Ihrer Software von außen angegriffen worden. Sie erhalten in
dieser E-Mail eine Analyse des Angriffs und Hinweise, wie Sie die
Sicherheit Ihres 1&1 Webspaces wiederherstellen.

1 Analyse des Angriffs
1.1 Das folgende Skript hat den Angreifern als Einfallstor gedient:

./includes/languages/english/product_info.php
./includes/languages/espanol/product_info.php
./includes/languages/german/product_info.php
./product_info.php
./admin/includes/languages/english/index.php
./admin/includes/languages/espanol/index.php
./admin/includes/languages/german/index.php
./admin/index.php
./includes/languages/english/index.php
./includes/languages/espanol/index.php
./includes/languages/german/index.php
./index.php

1.2 Die folgenden schädlichen Dateien wurden auf Ihren Webspace geladen:

'./admin/includes/seo_cache.php' | Mtime:20/Apr/2008:18:23:17
'./admin/index.php' | Mtime:03/Jun/2007:14:48:51
'./images/file.php' | Mtime:19/Mar/2008:08:36:01
'./includes/seo_cache.php' | Mtime:20/Apr/2008:18:21:58
'./orders.php' | Mtime:07/Jun/2008:19:17:19
'./product_data.php' | Mtime:27/May/2008:22:19:32


Wir haben die oben genannten Dateien deaktiviert.

2 Hinweise zur Absicherung
Um die Sicherheit Ihres 1&1 Webspaces wiederherzustellen, gehen Sie nun wie
folgt vor:
2.1 Löschen Sie die oben genannten Dateien. Zuvor müssen Sie sich die
Zugriffsrechte daran wieder erteilen. Hinweise dazu finden Sie unter
http://hilfe-center.1und1.de/hosting/homepage/webspaceexplorer/9.html

2.2 Schließen Sie alle Sicherheitslücken in Ihrer Software. Prüfen Sie die
Sicherheit der folgenden Skripte an den angebenen Variablen. Sie haben den
Angreifern wahrscheinlich als Einfallstor gedient:

./includes/languages/english/product_info.php
./includes/languages/espanol/product_info.php
./includes/languages/german/product_info.php
./product_info.php
./admin/includes/languages/english/index.php
./admin/includes/languages/espanol/index.php
./admin/includes/languages/german/index.php
./admin/index.php
./includes/languages/english/index.php
./includes/languages/espanol/index.php
./includes/languages/german/index.php
./index.php

2.3 Untersuchen Sie Ihren gesamten 1&1 Webspace auf weitere fremde Dateien,
die während des Angriffs abgelegt wurden. Löschen Sie diese unverzüglich.

WICHTIG: Angriffe dieser Art gefährden Ihren 1&1 Webspace! Prüfen Sie daher in
Zukunft regelmäßig die Sicherheit Ihrer Software. Gerne beraten und unterstützen
wir Sie bei der Lösung einzelner Probleme. Die Absicherung der von Ihnen
verwendeten Software beruht jedoch auf Ihrer alleinigen Verantwortung.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hallo,

also ich bin kein Fachmann in diesen Dingen, aber folgendes ist mir aufgefallen:

'./admin/includes/seo_cache.php'

'./includes/seo_cache.php'

Ist nicht standard, evtl eine SEO-Contrib, falls ja lade einfach die Originaldateien wieder hoch.
'./admin/index.php'

'./orders.php'

Auch hier testhalber mal die Originaldatei oder das letzte Backup hochladen.
'./images/file.php'
Das klingt sehr verdächtig, die würde ich mal vom server runterholen und anschauen und gegebenenfalls löschen.
'./product_data.php'
Ist kein Standard ... Addon?

Gruß, Carla

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
...also ich bin kein Fachmann in diesen Dingen, aber

{...Code...}

...Ist nicht standard, evtl eine SEO-Contrib, falls ja lade einfach die Originaldateien wieder hoch.

Falsch. Wenn man den Code darin nicht wirklich versteht, sollte man diese Dateien LÖSCHEN.

Das Shop-Frontend von osCommerce 2.2 hat KEINE bekannte Sicherheitslücke. Das gilt keinesfalls für die Contributionen!

Mein Rat:

1. Du suchst Dir jemanden, der die Sicherheistlücke findet und beseitigt oder

2. Du entfernst die besagte Contribution oder

3. Du lässt Deinen Shop offline.

Vielleicht weiss jemand noch eine vierte Möglichkeit.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hallo

also erstmal vielen Dank für die Antworten. Ich hatte nochmal bei 1und1 angerufen und einen Herrn am Telefon der sich wenigstens ein bisschen Mühe gegeben hat. Der hat mir geraten am besten das neueste Update von Oscommerce zu machen und dann einfach mein Backup hochzuladen. Da ja dann auf jeden Fall die schädlichen Dateien weg wären. Dies habe ich auch getan nun habe ich eigentlich alles wieder hinbekommen.

Nur noch ein Problem besteht jetzt an dem ich noch arbeite: Ich hatte vorher Three Images with admin installiert. Das habe ich jetzt auch wieder allerdings weren die Bilder wenn ich z.B. nur 1 Produktbild habe als 3. angezeigt. Aber das ist bestimmt nur ein kleines Problem in der Contrib, muss ich halt noch überprüfen.

Gut dann vielen Dank und ein schönes Wochenende

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen