Webhoster sperrt Zugriff auf Webseite - Malware?

[wvn]

Hallo @ all,

meine bessere Hälfte hat ein Problem.

Ihr Webseitenhoster (xl-host) hat Ihr eine Nachricht geschickt, dass der Webseitenzugriff gesperrt worden ist.

Unser Malware-Scanner hat folgende Dateien auf Ihrem Webspace
als Malware identifiziert:

..../home/www/uxxxxx/html_www.xxxxxxxxxx.de/phpnfo.php
[\x65\x76\x61\x6C\x28\x67\x7A\x69\x6E\x66\x6C]

Bitte bereinigen Sie Ihren Webspace und schliessen Sie die
mit großer Wahrscheinlichkeit in Ihrem Code enthaltenen
Sicherheitslücken, die zur Ablage dieser Dateien geführt
haben (meist veraltete CMS, Blogs, Themes, PLugins etc.)

Bis auf weiteres wurde der Webzugriff auf die betroffene
Domain von uns gesperrt.

Bei weiteren Fragen oder Problemen stehen wir Ihnen natürlich
jederzeit gerne zur Verfügung.

Die Webseite wurde mit Iweb erstellt und hochgeladen - vor wenigen Tagen erst aktualisiert.

Auch das Kundenlogin ist gesperrt (aber das wird sich regeln lassen).


Kann mir einer von Euch Starthilfe in dem geben, was zu tun ist?

Bin für jeden Tipp dankbar!

 

[Difool]

Moin,

ich tippe mal ins Blaue:

Durch die Informationen der Datei "phpinfo.php" verschaffte sich ein "bös Gesinnter" Zugriff
und platzierte irgendwo ein oder mehrere Javascripte, die Besucher eurer Website zu einer
Malware umleiten oder so ähnlich.

Suche die root-Dateien, also alle Dateien im Webspace nach letztem Änderungsdatum ab
und schaue mit einem Editor (BBedit bsw.) in die zuletzt geänderten (php-)Dateien, ob
sich irgendwo Javascripte mit b64-Code befinden.

Javascripte erkennst du bestenfalls am javascript-Tag: <javascript>
Und Base64 verschlüsseltes an z.B. "lange kryptische Zeilen":

jA0EAwMCxamDRMfOGV5gyZPnyX1BBPOQAE4BHbh7PfTDInn+94hXmnBr9D8+4x5R
kNNl4E499Me3Fotq8/zvznEycz2h7vJ21SdP5akLhRPd4W1S79LoCvbZYh2x4t6x
Cnqev6S97ys4chOPgz0FePfKQos0I7+rrMSAc9+vXHmUCthFqp7FJJ7/D9bCfmdF
1qkYNhtk/P5uvZ0N2zAUsiScDJA=
=XXuR

edit: diese Variante ist natürlich nur eine von vielen, findet aber immer noch "recht gerne" Verwendung bei "bösen Buben".
edit2: achso, und die Datei phpinfo.php – bestenfalls aus dem root entfernen.

 

[wvn]

Klasse Danke!

Ich werde auf alle Fälle schauen ob ich da was finde.

Was ich nicht so ganz verstehe ist der Hinweis auf veraltete "CMS, Blogs, Themes, PLugins etc."

Wenn Iweb aktuell ist - sollten doch solche Dinge doch eigentlich auch aktualisiert sein, wenn man die Seite hochlädt?

Besser gefragt: Wie behebt man da die Ursache?

 

[oneOeight]

die vermuten halt du hast irgendeine php software mit sicherheitslücken installiert und über eine lücke wäre dann das php skript mit der malware drauf gekommen...
daher der hinweis...

 

[Difool]

Naja, Security vulnerabilities and exploits von und bei Website CMS und sonstigen Website-Systemen, sind immer möglich – leider.
Nicht ganz auszuschliessen wäre auch evtl. Misskonfiguration des Servers seitens des Hosters.
Das wird i.d.R. vom Hoster aber recht ungerne zugegeben – kann muss aber nicht.

Schau dir mal das Beispiel einer Ausgabe von einer phpinfo-Datei an:
http://example.com.customers.tigertech.net/phpinfo.php

Dort kannst du ersehen, daß alle möglichen detailreichen Infos gelistet werden.
Mitunter kann sowas bei Kenntnis des root-Verzeichnis und des darin installierten Website-Systems
missbraucht werden, um Schadcodes bsw. über Exploits etc. eben dort einbinden zu können.

Bestenfalls würde ich erstmal das iWeb-Verzeichnis verändern, in einen umbenannten Ordner umsiedeln.
Dafür müssten die iWeb-Einstellungen und das Domainrouting angepasst werden.
Beispiel: root > Ordner namens: "~miefox65-ue" > darin dann iWeb legen > Website-Domain auf "~miefox65-ue" rooten
Desweiteren evtl. iWeb komplett neu anlegen (falls iWeb-Dateien kompromittiert worden sind) – evtl. reicht auch ein "drüberkopieren des Systems".
Dafür kenne ich mich mit iWeb aber zu wenig aus, weil noch nie eingesetzt.

 

[Olivetti]

Zur Ergänzung:

Oben in der Providermail heisst es phpnfo.php (ohne i, evtl. beim ausxxxen passiert).

Der genannte Hexstring ist der Anfang von eval(gzinflate...), d.h. damit trifft #2 sehr wahrscheinlich zu.

Ich kenne iWeb auch praktisch gar nicht, aber das letzte Update kam doch 2009 und wird seither nicht mehr gepflegt.