HACKER ANGRIFF EVIL 64 CODE

Alles, was sonst niergends reinpasst

Moderator: Paddelberg

Antworten
mausi
Beiträge: 22
Registriert: Dienstag 22. Februar 2011, 19:30

HACKER ANGRIFF EVIL 64 CODE

Beitrag von mausi » Samstag 18. Februar 2012, 00:55

hallo,

nachdem ich wordpress geladen hatte, upgrade auf 3.1 und das thema mad mag, hatte es mir mit dem evil 64 code meinen halben account, 3 jahre abeit, zerschossen, die seiten laufen noch mit url, werden aber im google index nicht mehr gefunden, meine toplisten auch betroffen, ok, 6 wp blogs sind voll mit schädlingscode, arbeit ohne ende, jetzt frage an profis, wie eleminiere ich diesen code schnell, für immer, schütze mich ect. ich habe den code in php 1000 mal, horror, muß doch eine möglichkeit geben, my sql zu schützen vor dem angriff, danke für alle tipps !!!

mausi

Benutzeravatar
Paddelberg
Site Admin
Beiträge: 910
Registriert: Dienstag 17. Januar 2006, 00:02
Wohnort: Worms

Beitrag von Paddelberg » Samstag 18. Februar 2012, 22:13

Hi
da es ja nicht wirklich was mit der Topliste zu tun hat, habe ich das ins Forum Off Topic verschoben.

Der EVIL 64 CODE ist mir nicht gekannt. Auch über Google habe ich nichts gefunden.

Als erstes mußt du herausfinden, wie der Code auf deinen Server kommt. (Wordpress Theme?)

Mache dir ein Backup aller Dateien auf dem Server (auch die verseuchten). Lösche alle Dateien auf dem Server und lade sie neu hoch (nicht die aus dem Backup, sondern komplett neu). Zudem achte darauf, das du die Ursache (das WordpressTheme?) nicht mehr installierst.

Alternativ kannst du auch versuchen herauszufinden, was genau an den Dateien verändert wurde. Dann kannst du nach dem veränderten Code suchen und diesen entfernen. Wichtig auch, das du die Ursache dafür beseitigst (z.B. Wordpress Theme löschen). Vorteil dieser Methode ist, das fast alles so bestehen bleibt, wie es konfiguriert war und du nicht alles neu einstellen mußt, kann aber passieren, das der Schadcode nicht komplett entfernt wird.

Während du den Schadcode entfernst, solltest du dafür sorgen, das niemand deine Website aufruft. (Alle Domains auf dem Server entweder mit htaccess sperren oder Domains vorübergehend intern auf andere Ordner legen). Wobei du das aber schon lange hättest machen sollen, da sonst Trojaner etc über deine Website verbreitet werden und sich der Schadcode immer weiter auf deinem Server verteilt.

Zusätzlich solltest du alle Passwörter nach entfernen des Schadcodes ändern. (Ftp, Control Panel, MySql, Adminzugänge der Skripte etc)
Vergiss auch nicht, die Datenbanken nach dem Schadcode zu durchsuchen!
Und vor allem stelle als erstes sicher, das dein PC nicht Ausgangspunkt des Angriffes ist. Also jemand per Trojaner deine Zugangsdaten ausspioniert. Falls das der Fall ist, und du entfernst den Trojaner nicht als erstes, können alle deine Bemühungen umsonst sein!

Das deine Seiten nicht im Google Index erscheinen, wird wohl daran liegen, das der SchadCode auf deinen Seiten Trojaner verbreitet. Wenn Google das mitbekommt, fliegst du, solange der Schadcode verbreitet wird, aus dem Index. Kannst auch mal in den Google Webmaster Tools schauen. Unter dem Punkt Diagnose->Malware bekommst du unter Umständen hilfreiche Hinweise zum Aufspüren des Schadcodes

Zu 100% schützen kannst du dich vor so einem Angriff nicht. Du kannst lediglich besonders sorgfältig darauf achten, das die Software, die du installierts vertrauenswürdig ist. Vor allem bei Plugins und Themes etc.
Es ist leider auch so, das weit verbreitete Software wie Wordpress besonders anfällig ist. Der Quellcode liegt offen und jeder kann nach Sicherheitslücken suchen. Und vor allem kann jeder Plugins und Themes erstellen, womit derjenige je nach Servereinstellungen (meist Dateirechte) vollen Zugriff auf den kompletten Account bekommt.

Bei Wordpress etc gibt es inzwischen jede Menge automatisierte Programme, die Websites nach Sicherheitslücken durchsuchen. Das geht für den Angreifer dann meist mit ein paar Mausklicks.

Am sichersten fährst du, wenn du nur selbstprogrammierte Software verwendest. Da ist es dann reiner Zufall, wenn eine Sicherheitslücke entdeckt wird. Man muss sich dann schon sehr sorgfälltig mit beschäftigen, um eine Lücke zu finden, was sich in den meisten Fällen für den Angreifer erst gar nicht lohnt. Kommt sehr selten vor, wenn einigermassen sicher programmiert wurde.

Wenn du möchtest, kann ich dir anbieten, den Mist zu entfernen. Kostet dich aber 15 Eur plus Mwst (17,85 inkl. Mwst) pro Stunde

mfg
simon

mausi
Beiträge: 22
Registriert: Dienstag 22. Februar 2011, 19:30

schadenscode

Beitrag von mausi » Samstag 18. Februar 2012, 23:40

hi, danke, für info und angebot

der heißt eval 64 code, sorry, wird über link im footer von wp themes eingeschleust, bringt dann einen tierisch langen php code, zum teil bis zu 40x in ein verzeichnis, da ich in dem account arbeit von 3 jahren habe, mehrere blogs, viel php, voll der wahnsinn, da der code zeilenumbruch hat, ist er wohl auch mit einen shell befehl nicht zu löschen, der absolute horror

habe jetzt das theme entfernt, kennwörter geändert, und begonnen, den code zu löschen, arbeit ohne ende

der code lässt die seiten zum teil noch laufen, aber im google index sind sie down, kein traffic mehr, nichts, untergang

die toplisten habe ich schnell reparieren können, aber die wp blogs haben unzählige verzeichnisse,

ok, ich denke mal, ich sitze da wochen dran, dein angebot ist ok, aber du wirst auch viel zeit brauchen, muß mal überlegen, bin voll genervt, hatte top abend, denke, schnell noch nen chicken wp blog und jetzt alles für die katz, was man da monatelang gemacht hat, ok, dachte wp ist irgendwie sicher, na ja, melde mich, danke

Benutzeravatar
Paddelberg
Site Admin
Beiträge: 910
Registriert: Dienstag 17. Januar 2006, 00:02
Wohnort: Worms

Beitrag von Paddelberg » Samstag 18. Februar 2012, 23:52

lade dir alles mit z.B. FileZilla runter, hole die Daten ins Dreamweaver (unter Sites -> neue Site anlegen). Da kannst du dann nach dem Code suchen und ihn automatisch entfernen (suchen und ersetzen -> strg + f). Danach die geänderten Dateien wieder hochladen.

Bei Wordpress etc brauchst du eigentlich nicht den Code aus jeder einzelnen Datei entfernen. Besser ist, das nur im Bilder Ordner, Upload Ordner etc (also alle Ordner, in denen Wordpress Daten schreibt, du du hinterher noch brauchst) zu machen. Den Rest einfach löschen und neu hochladen (Plugins etc nicht vergessen)

zukünftlich machst du dir regelmässige Backups der Dateien (komplette Ordnerstruktur). Am Besten automatisiert.
Dann brauchst du das nächste Mal nur die Dateien auf dem Server zu löschen, alles wieder hochladen, Passwörter ändern, gegebenenfalls DB prüfen und fertig.
Spart nen haufen Zeit!

mfg

mausi
Beiträge: 22
Registriert: Dienstag 22. Februar 2011, 19:30

hallo Simon

Beitrag von mausi » Sonntag 19. Februar 2012, 18:09

ich schicke dir pn mit einigen infos ect.

die letzten monate waren arbeit ohne ende für erfolg, zusammen mit kollegen, jeden tag am rechner

jetzt war noch ein super blog geplant mit kollegen und etwas auszeit, ok

rein technisch übersehe ich das problem nicht, kann nur löschen, könnte aber sein, daß ich etwas übersehe, den grund

ok, deshalb, wollte ich dich bitten, mal zu schauen, was abgeht
vielleicht in den logs, was man machen kann, ich hätte probleme, das zu überschauen, der letzt angriff war 14.2 05:28 danach habe ich theme gelöscht, neue kennwörter ect. enige seiten laufen wieder, aber wenn da irgendwo noch was versteckt ist, fange ich wieder an

wenn ich einen anfang sehe, eine chance, bin ich wieder motivierter

rest schicke ich dir in 2 h pn, mausi

mausi
Beiträge: 22
Registriert: Dienstag 22. Februar 2011, 19:30

!!! DANKE !!!

Beitrag von mausi » Montag 20. Februar 2012, 19:55

Danke, sag ich hier mal ganz laut im forum,

kann sich jeder denken, warum

dem Sir Simon,

gruss mausi, rest pn

das leben geht weiter

Antworten