Webspell hack bösartige Seite bei Google, AS8560 (SCHLUND) Ftp Hack

Ihr Seite wurde gehackt durch ein womöglich verlorenes FTP-Passwort, Google-Search  hat bereits ihrem Provider eine Abuse-Meldung geschickt.

Der Angreifer hat womöglich viele Dateien verändert um seinen Schadcode zu verbreiten, tun sie im moment erstmal nichts und lesen sie diese Zeilen !

Dieses sind nur anhaltspunkte um eine Seite schnell wieder online zu bekommen.

1. Checken sie Ihre FTP Logs auf Einträge nach Datum um die IP herauszufinden, bei diesen Hacks wird eine Datei vom Angreifer heruntergeladen (RECV) und verändert wieder hochgeladen (STOR).

2. Versioning Backup-Webhosting wie bei z.B. strato, überprüfen sie die zuletzt veränderten Dateien Auf ihrem Webhosting und stellen sie diese wieder her (hatte ich in diesem Fall nicht).

3.  ein echtes Backup ohne Passwörter genügt für eine reine Wiederherstellung (Sicherheit vorausgesetzt). Ändern Sie alle Passwörter.

Folgende Schritte mit SSH und PHP bei 1und1, dies sind grobe beschreibungen , das klappt auch für alles Oneclick, passiert aber nicht oft.

1. finden sie in einer beliebigen Datei den Schadcode, meistens ist dieser in jeder Datei gleich:

 

2.Dateien mit SSH finden die in den letzten x Tagen erstellt oder verändert wurden:

find ./ -mtime -1

3.Dateien mit identifiziertem Schadcode mittels SSH finden: find ./  -type f -print0 | xargs -0 grep -o „105,94,108,101“ > filelist.log

4. kleines php script für html dateien im Template-Ordner, dieses kann auch für php Dateien angepasst werden, der Code wird hier unterschiedlich eingefügt, Tiefenscans mal ausgelassen da das executable timeout sowieso besteht.

RSS Parsers mit MYSQL für webspell Headlines

Ein übersichtliches RSS Script mit MYSQL Anbindung zur automatischen integration in die Headlines von Webspell mit hilfe der PEAR RSS_XML Bibliothek..

Beispiel: http://www.aim-industries.de/