Thema: Probleme bei Neuinstallation nach Hackerangriff mit c99phpshell

Zunächst mal sorry, dass ich die URL im Klartext gesetzt hatte. Vielen Dank für die Korrektur.

Eigener Rechner ist seit dem Antreffen des Trojaners mehrfach chemisch gereinigt worden, no problems found. Leider ist es bei Strato nicht nur ein allgemeines Problem. es scheint auch, als wäre der Angriff vor mehr als drei Monaten erfolgt. Daher kein sauberes Backup bei denen mehr gespeichert und auch sonst wenig Interesse, sich des Problems anzunehmen (Wie Du schon schreibst: außer Standardmails nicht zu bekommen). So ist auch die Suche in den Logfiles nicht mehr möglich, weil sich der Angriff zeitlich nicht genau genug eingrenzen lässt und auf der Seite reichlich etwas los war.

Der Begriff "FTP mitlesender Trojaner" ist mir noch nicht begenet. Gibt es dazu noch spezielle Hinweise / Hilfen?

FAQ Abschnitt 2.6 wurde auch schon vor dem Hack beachtet (tolle Tipps übrigens).

Das mit dem "mitlesenden Trojaner" würde ja nach meinem Verständnis bedeuten, dass das Ding so klug ist, bereits beim Upload der Daten auf den Server und noch vor Beginn der eigentlichen Installation etwas einzuschleusen. Wenn dann die Installationsroutine aufgerufen wird, müsste dieses Drecksding ja dann schon sofort eine manipulierte Seite erstellen. Habe ich das richtig verstanden?

Oder kann es vielleicht sein, dass das Hauptverzeichnis auf dem Server infiziert ist und das von da aus los geht? Im Hauptverzeichnis liegt allerdings nur klassischer html-Kram und Bilder. Das hatte ich alles durchsucht und überhaupt nichts Verdächtiges gefunden.

Gestern noch einmal den heimischen Rechner mit allen zur Verfügung stehenden Mitteln abgesucht und wieder nichts gefunden. Soll das vielleicht bedeuten, dass ich Strato dann mal bitten muss, den Server abzusuchen (weiß gar nicht, ob die das machen?). Hatte dort auch per CGI-Script einen Schreibschutz für das gesamte Unterverzeichnis errichtet. Scheint ja auch nicht wirklich viel geholfen zu haben.

Ihr "seht" einen absolut ratlosen Menschen vor Euch. Bin dankbar für jeden weiteren Tipp.

1) Ein "mitlesender" trojaner kann passwörter via Tastatur-Eingaben "mitschreiben". Diese werden dann direkt und unbemerkt in klartext an einen empfänger geschickt. Damit sind dann auch Tonnenschwere Passwörter absolut nutzlos. Ich hatte dieses Problem auch auf meinem Rechner + habe mehrfach bereinigt, ohne erfolg. Einzig eine Komplette Neuinstallation von Windows UND eine Formatierung ALLER Festplatten brachte schlussendlich Ruhe in der Kiste.

2) Eine Infizierung bei Strato kann von deinem Kundenaccount oder von anderen Kundenaccounts kommen. Dies nachzuvollziehen ist für einen "Kunden" wie dich nicht Möglich. Wenn aber Strato feststellen sollte, dass du der "Schuldige" bist, kannste dich auf ne saftige Rechnung gefasst machen. Ich würde da sehr vorsichtig sondieren.

3) Ein Test bei einem anderen Provider würde helfen, das Problem Einzugrenzen. Eingrenzen insofern, als dass du dann sagen kannst, beide installationen wurden von EINEM Rechner aus gemacht. Und bei beiden tritt dasselbe Problem auf = der Rechner ist schuld. Bei unterschiedlichem Ergebnis bei den 2 Providern = Provider Problem.

Insbesondere bei 3) ist das nicht immer möglich. Deswegen würde ich 1) vorziehen (auch wenns weh tut). 1) ist hilft auch nur dann, wenn du auch die Daten NIE mehr auf den "neuen" Rechner ziehst. ausser du kannst 100% sicher sein, dass diese "Sauber" sind.

Danke erst mal für die schnellen Reaktionen.

@ uscher2: zu 3): Habe hier zwar mehrere andere Rechner zur Verfügung, um so etwas zu machen, aber ist es nicht zu riskant, bewusst mit dem möglicherweise infizierten Rechner das Problem auch noch auf den Server anderen Provider zu tragen? Wenn ich das Ding dann erst da drauf habe, kriege ich den Webspace dann auch nicht wieder sauber. Möglicherweise infiziert mir das Ding dann rückwärts den bisher sauberen Rechner?

Nicht das ich dann vom anderen Provider auch einen Strauß Blumen kriege, wie evtl. auch von Strato, wenn ich da zu ungeschickt nachfasse?

Wie wäre es denn, so einen Versuch lokal (xampp-Umgebung ...) zu starten auf dem bereits verseuchten Rechner?, da wäre es ja egal und man könnte möglicherweise eingrenzen, was das Ding dann im Verlauf der Installation infiltiert? Ich glaube, ich verliere langsam den Durchblick...

@Lacki: Klar hatte ich auch das PW für FTP-Zugang geändert, aber von dem möglicherweise noch immer unerkannt infizierten Rechner aus. Ich glaube, mir geht da gerade ein Licht auf: Vielleicht sollte ich das PW mal von einem anderen Rechner außerhalb unseres Netzwerks aus ändern und dann nach einmal von vorne anfangen? Das hatte ich wohl bisher übersehen. Ziemlich blöd - nicht wahr?