ich hatte heute ein merkwürdiges Erlebnis: Eigentich wollte ich an meiner Website weiterarbeiten (proggy.bplaced.net). Aber als ich sie aufrief, bekam ich folgende Fehlermeldung:
[quote]500 Internal Server Error
Internal Server Error
The server encountered an internal error or misconfiguration and was unable to complete your request.
Please contact the server administrator, webmaster@bplaced.net and inform them of the time the error occurred, and anything you might have done that may have caused the error.
More information about this error may be available in the server error log.
Apache/2.2 Server at proggy.bplaced.net Port 80[/quote]
Später habe ich dann per FTP folgende Dateien in meinem Stammverzeichnis entdeckt (meine eigentliche index.php war verschwunden):
.htaccess
default.html
default.php
index.html
index.php
Der Inhalt der .htaccess Datei war folgender:
Und die 4 anderen Dateien hatten alle folgenden Inhalt:
Was das ist, ist klar: Irgendeine Werbung für irgendwas, vielleicht auch eine Virusseite, was auch immer, nichts gutes jedenfalls. Ich hab das Java-Applet lieber nicht zu Ende laden lassen…
Meine Frage lautet eher: Wie kamen die Dateien da hin? Könnte ich irgendwie Schuld daran sein? Habe ich vielleicht eine Sicherheitslücke in meinem php-Code, oder kann ich da nichts für? Gibts das öfters? Hat jemand Erfahrung?
Ich habe die Dateien natürlich inzwischen gelöscht und meine echte index.php wieder hochgeladen.
Das ist eine gute Idee - hab ich gemacht. Ich habe heute morgen bemerkt, dass die Dateien auch in allen Unterordnern meines Webprojektes lagen. Ich habe jetzt alles gelöscht und wieder neu hochgeladen. Mal sehen, ob das Problem nochmal auftritt.
ich wurde leider wieder attackiert. Diesmal wurden allerdings nicht oben genannte Dateien erzeugt, sondern nur folgende Zeilen an meine index.php angehängt:
Das hat natürlich nicht funktioniert, der Browser zeigt beim Aufruf nur eine php-Fehlermeldung an (dummer Hacker…), aber nervig ist es natürlich schon.
Ich habe mal mein Kommentar-Skript deaktiviert. Vielleicht gab es da ja eine Tunnelmöglichkeit oder so.
habe derzeit das gleiche Problem. Genau so wie du es beschrieben hast nur beim 2. Besuch hat er die Zeile in die index.html geschrieben.
Ich habe mal mein Kommentar-Skript deaktiviert. Vielleicht gab es da ja eine Tunnelmöglichkeit oder so.<<
Was meinst du damit und wie müsste ich das machen? Bin da nicht so firm!
Wo hast du deine Webseiten gehostet? Ich bin bei 1und1 und da ich in der letzten Woche die Passwörter 3 mal geändert habe und er trotzdem rein konnte denke ich nicht, dass wir per FTP gehackt werden. Möglich ist auch, dass die per ssh port reinkommen. Wenn du auch bei 1und1 bist solltest du vielleicht mal ne Mail an den Support schicken, damit die munter werden.
Richtig, ich bin natürlich bei bplaced: proggy.bplaced.net/
Zur Zeit scheint es auch zu gehen. Mal sehen, wenn es nochmal auftritt, überlege ich, ob ich meinen Rechner platt mache, für den Fall, dass ich einen Trojaner habe.
Auffällig bei mir war nämlich, dass die Probleme immer gleichzeitig auch auf einem anderen Webspace aufgetreten sind, den ich bei kilu.de habe. Und die einzige Verbindung liegt doch eigentlich bei meinem Computer bzw. bei meinem FTP-Programm, oder? Anders kann ich mir das jeweilige synchrone Auftreten der Probleme nicht erklären.
Ich habe natürlich mehrere Virenscanner laufen lassen, es wurden auch eine Hand voll Dateien gefunden, die mit Trojaner verseucht waren, hab ich alle gelöscht. Aber wer weiß, vielleicht wurde ja noch was übersehen.
Das du einen Trojaner hast muss aber nicht unbedingt sein… wenn du bei deinen Account den selben Namen bzw. zumindest das selbe Passwort genutzt hast kann das auch so sein^^
vielen Dank für den Tipp mit malwarebytes.org/, es hat tatsächlich noch mehr Trojaner gefunden (21 Objekte) und entfernt. Ich werde die anderen Links auch noch ausprobieren.
