Thema: Probleme bei Neuinstallation nach Hackerangriff mit c99phpshell

Das ändern des Passwortes (besser aller Passworte) vom anderen Rechner ist eine gute Idee. Aber sollte der bearbeitende Rechner eben weiterhin infiziert sein, so wird auch das nichts bringen, da eben die FTP-Zugangsdaten weiterhin im Klartext übermittelt werden. Dagegen hilft SFTP, damit wird FTP verschlüsslt. Ist es ein Tastatur mitlesender Trojaner, so ist das auch für die Katz, für den wahrscheinlicheren Fall eines FTP Datenverkehr mitlesenden Trojaners hilft die Verwendung von SFTP o. ä. siehe auch hier.

Das alles ist aber nur Spekulation. Solange nicht eindeutig egklärt ist, welchen Weg die infektion genommen hat, solange wird man auch keine wirklich helfenden Tipps geben können. Deswegen noch mal der Rate, lasse das durch einen Profi machen.

OT: Moin Arni.

Zitat von blueharry

@ uscher2: zu 3): Habe hier zwar mehrere andere Rechner zur Verfügung, um so etwas zu machen, aber ist es nicht zu riskant, bewusst mit dem möglicherweise infizierten Rechner das Problem auch noch auf den Server anderen Provider zu tragen?

Richtig, damit wirst Du erst recht Probleme bekommen!

Möglicherweise sind Deine Sourcen bereits verseucht oder Du hast ein verseuchtes Template im Einsatz. Es gibt auch auch immer mal wieder Scripte, die bereits auf dem Downloadserver kompomitiert sind. (z.B. xmap vor einiger Zeit)

Zitat von uscher2

Aber bei einem so massiven problem wie Lacki hat, KANN man nicht alle worst-cases berücksichtigen.

Äh, wie jetzt? Du meinst sicher blueharry.

Soweit bisher ja alles ok, bliebt aber die Frage: Wie kann es sein, dass eine frisch hochgeladene jungfräuliche Installation einer 1.5.25 mit Beispieldaten (neue, ebenfalls jungfräuliche Datenbank) vom ersten Aufruf des Backends (im Rahmen der Installationsroutine) an den beschrieben Fehler schon zeigt. Das ist mir vom Ablauf her vollkommen unverständlich. Das müsste nach meinem Verständnis ja bedeuten, das die Malware bereits während der Installation Änderungen vornimmt. Wie soll das gehen?

Ist ja nix anderes gemacht worden, als das frische Paket downloaden, lokal entpacken und dann ab auf den Server (über die möglicherweise ausspieonierte FTP-Verbindung).

Das Paket 1.5.25 war natürlich aus erster Quelle und nicht irgendwie von sonst wo her. Infiziertes Template oder so schadet damit auch erst mal aus.

Ehrlich gesagt ist mir das sehr rätzelhaft. Eine frische Installation mit sauberen Quellen würde nicht so schnell wieder gehackt sein -also im Moment der Installation. Kann es sein, das Dir Dein Browser ein Streich spielt oder Du einen Proxyserver benutzt, so das Du die aktuellen Inhalte gar nicht siehst, sondern was gecachtes?

Zitat von Lacki

Zitat von uscher2

Aber bei einem so massiven problem wie Lacki hat, KANN man nicht alle worst-cases berücksichtigen.

Äh, wie jetzt? Du meinst sicher blueharry.

Man könnte diese Stilblüte auch als feinfühlige Umschreibung der Arbeit eines Mods interpretieren


Zurück zum Thema
Sollte jemand die FTP-Zugangsdaten haben und Veränderungen an der Site durchführen, so könnte man auch eine index.html und/oder index.php auf den Server legen mit dem Inhalt: Derzeit Wartungsarbeiten ... Bla Bla

Wenn dann Veränderungen durch Heinzelmännchen stattfinden wäre es sinnvoll die FTP Logs zu kontrollieren.