Liebe Profis,
meine Website hat seit geraumer Zeit ein “Virusskript” drauf. Ich weiß nicht, wie ich das los bekomme. Jetzt ist die Website überhaupt nicht mehr über die normale Url erreichbar (michaelagreil.bplaced.net/). Das Einzige, was dann kommt, ist die Ordnerstruktur…
Was nun?
Lg.
scheint als wäre das Teil komplett gelöscht. Zumindest die Inhalte. Speil doch mal eine index.html Datei drauf.
Danke für den Tipp, aber kann es sein, dass das Virusskript noch immer drauf ist und dann, wenn ich ein neues index.html draufspiele, der Virus auf meinen PC übergreift?
Bzw. Wie kann ich - wenn ich meine Website neu draufspiele - dem Virusskript ein Ende setzen? -> evt. wurde mein FTP-Account gehackt o. ä…
ich bin ratlos…
Ich war jetzt kurz in meinem FTP-Programm, worüber ich die Website upgeloadet habe. Die meisten Inhalte sind da. Was fehlt sind die gesamten .html-Seiten, die die Webstruktur ergeben und die gesamten Verknüpfungen enthalten…
Wie kann das sein, dass das plötzlich gelöscht ist? Und wie kann das sein, dass “nur” die “front-Seiten” gelöscht sind???
jetzt versteh’ ich gar nix mehr…
So, ich habe jetzt auf bplaced.net mein FTP-Konto gelöscht und wiederhergestellt - mit neuem Passwort. Das funktioniert soweit im ftp-Programm auch.
Aber meine Fragen beantwortet das trotzdem nicht…
Wurde mein Account gehackt? - welche Auswirkungen hat dieses ominöse Virusskript tatsächlich?
Bitte um Rat…! 
Irgendwie verwirrt mich deine Fragestellung. Was meinst du mit dem “Virusscript” und wie kommst du darauf, dass die Fehler auf deinem Server durch ein von dir eingespieltes Script ausgelöst wurden? Seit wann gibt es die Probleme genau - was wurde zuvor geändert? Eigentlich entstehen Fehler nur selten von ganz allein.
Bzgl. Virusskript: Siehe Thema “Virusskript auf Website” vom 9. August 2013
Ich weiß nicht, wodurch das genau gekommen ist.
Im Sommer haben manche - nicht alle - Antivirensoftware-Produkte meine Website abgeblockt. Norton schreibt total lange Codes als Grund, Im Firefox ist von einem Virusskript die Rede.
Ich weiß nicht, wie das den Weg in meine Website geschafft hat, da meine letzte Aktualisierung leider etwas länger zurück liegt und ich seither nichts an meiner Website verändert habe.
Gestern (7. November 2013) ist mir aufgefallen, dass ich über die Url nur mehr zu meiner Ordnerstruktur komme. Heute habe ich in mein ftp geschaut und bemerkt, dass die gesamten vordergründig liegenden html-pages fehlen (u. a. die index-Seite)…
Keine Ahnung, was da passiert ist. Ich weiß nur eins: Mit meiner Website geschieht zurzeit Eigenartiges. Und ich habe nichts damit zu tun, außer, dass es meine Website ist. Klar kommt das alles nicht von alleine. Daher meine Vermutung, dass irgendein Zugang gehackt wurde…
Und deshalb bin ich ja so ratlos!
Wenn dein Account gehackt wurde, dann liegt aller Wahrscheinlichkeit nach daran, dass du unsichere Passwörter verwendest. Das gilt für den bplaced-Account, wie für ftp und eventuelle Datenbanken und auch die verwendete Software.
Als nächstes solltest du alle Dateien durchsuchen, wo sich dieser Schadcode befindet und den entfernen.
Aber all das und noch mehr ist dir ja schon im alten Thread geschrieben worden.
Laut den Passwortanzeigen sind meine Passwörter grundsätzlich nicht so schlecht. Aber gehackt werden kann so ziemlich jede Seite mit den besten Passwörtern und Sicherheitsnetzen, wie die Vergangenheit (Anonymous etc.) zeigt… Das ist leider so.
Die Frage ist: Wie bekomme ich heraus, was genau los ist und wie kann ich es beheben, ohne dabei meinen oder andere PCs zu gefährden?
Glaub mir, das ist mir durchaus bewusst. Ich glaube allerdings nicht, dass deine Seite von so großer Relevanz sein dürfte, dass es sich unabhängig der Passwörter lohnen würde, sie zu hacken.
Wie gesagt, dir wurden verschiedene Möglichkeiten in dem anderen Thread genannt. Ansonsten bleibt dir nur noch jede einzelne Datei auf deinem Webspace nach eventuellem Schadcode zu scannen.
Dann meinst du also diesen Beitrag: viewtopic.php?f=6&t=24267
Da deine Fragen ganz viele Themen ansprechen, versuche ich einfach einmal der Reihe nach vorzugehen.
Schadcode in der Homepage:
Als schädlich werden von Antivirenherstellern alle Programme / Scripte angesehen, die auf dem zu prüfenden Rechner Aktionen ausführen, die vom Benutzer eigentlich unerwünscht sind. Wenn also ein Browser beim Aufruf deiner Seite meldet, dass diese schädlichen Code enthält, wird anscheinend etwas entsprechendes aufgerufen. Wenn man dieses turbolinuxscomplement . biz aufruft, gibt es übrigens ebenfalls diese Meldung - zumindest bei mir in Verbindung mit Webbrowser und F-SECURE.
Wo kann der Code nun stecken?
HTML und CSS sind reine Auszeichnungssprachen. Alle Bereiche, in denen du nur dieses verwendest, werden nichts enthalten. PHP wird auf dem Server ausgeführt und liefert dem Browser als Ergebnis wieder HTML oder CSS. Wird eine schädliche Aktion (unerlaubte Dateizugriffe, unerlaubtes Senden etc.) im Browser des Clients ausgeführt, ist diese in Scripten zu suchen, die auch auf dem Client ausgeführt werden müssen (Javascipt, Flash). Somit solltest du folgendes genau prüfen:
[ul]1. Hast du selbst Scripte eingebunden? Wenn ja, ist dieser Code sauber programmiert?[/ul]
[ul]2. Nutzt du Code von Fremdanbietern? Ist dieser vertrauenswürdig?[/ul]
[ul]3. Verlinkst du zu entsprechenden Seiten oder deren Inhalten oder wird in einem der Scripte dorthin verlinkt? Dies kann natürlich auch mittels Werbebanner und anderen tollen Dingen passieren.[/ul]
Wenn du also deine Seite sauber kriegen willst, werfe ersteinmal alles raus, was Scripte enthält, die Du nicht genau zuordnen kannst oder starte einfach mit reinem HTLM und CSS. Binde dann nach und nach die vertrauenswürdigen Scripte ein und erst zu guterletzt den Rest.
Bei der reinen HTML-Seite am Anfang darf keine derartige Meldung im Browser erscheinen, denn diese liefert nur Informationen, wie der Browser etwas darzustellen hat. Ausgeführt wird da nichts. Wenn du nun nach und nach deine Scripte einbindest und stets wieder kontrollierst, sollte irgendwann ja eben diese Meldung auftauchen, wenn also das Script kommt, welches laut Antivirenprogramm als verdächtig eingestuft ist.
Woher kommen die Änderungen in deinem Webspace?
Zugriff zu deinen Dateien, um diese zu ändern, zu verschieben oder gar zu löschen haben im Normalfall nur wenige.
[ul]1. FTP-Zugang
Natürlich kann jeder per FTP auf den Server zugreifen, wenn er die Zugangsdaten kennt. Diese also zu ändern und anschließend geheimhalten, ist daher schon einmal eine tolle Idee.[/ul]
[ul]2. Der Webserver
Manchmal ist es notwendig, dem Webserver selbst zu gestatten, Dateien zu erstellen, zu ändern oder wieder zu löschen. Dies passiert dann natürlich nicht von außerhalb sondern durch Anweisungen die z.B. über PHP direkt an den Webserver übergeben werden. Können die Rechte bei bplaced entsprechend gesetzt werden? Weiß ich gerade nicht. Dann müssten aber die Anweisungen für derartige Aktionen im PHP-Code auf deinem Server vorliegen und dort auch aufgerufen werden. Hast du entsprechende PHP-Dateien vorliegen? Ich konnte keine finden.[/ul]
[ul]3. Der Hoster
Natürlich hat bplaced selbst Zugriff auf alle Dateien. Wenn also unerlaubte Aktionen von einer Domain ausgehen, wäre es rein theoretisch auch möglich, dass von dort eingegriffen wird. Ich kann mir allerdings nicht vorstellen, dass man dies tut, ohne den Vertragspartner zu informieren? Ob es derartige Eingriffe gab, erfährst du natürlich eher bei bplaced als hier in diesem Forum.[/ul]
Habe ich noch etwas vergessen?
