Hallo Leute
mein Oxid CE 4.3 shop
ist vor 2 Tagen Angriffsziel eines Hackes gewesen
er hat in 10 minuten (ftp log datei)
ca. 150 Dateien mit Schadsofware infiziert
es wird ein FTP hack gewesen sein
index.php
login.php
und viele JS Dateien
sind mit Trojanern verseucht worden
in der ftp.log konnte ich die IP Adresse einer Universität feststellen
kann ich den Betreiber (die Uni) dafür in Haftung nehmen ?
Gruss
welchen Betreiber - die Uni oder Deinen Hoster?
Die Universität wg Störerhaftung
wie sollte man in einen solchen Fall vorgehen ?
[QUOTE=eileen83;118099]wie sollte man in einen solchen Fall vorgehen ?[/QUOTE]
Du hast vermutlich einen Virus auf deinem Rechner, der deine FTP-Passwörter ausspähst und willst jetzt die Uni in Störerhaftung nehmen? Komische Logik.
Wie komische Logik ?
Du denkst also man sollte diesen Typen dann freie Hand lassen und die Sache auf sich beruhen lassen wenn man die feste IP auf einem deutschen Server kennt ?
was ist das für eine komische Logik ?
Der Rechner ist Virenfrei !
die sache mit Passwort ausspähen aus File Zilla ist schon sehr vielen passiert
meiner meinung nach tickst du da absolut richtig! nur nimm keinen filezilla mehr, sondern was anderes - der ist echt angriffsgefährdet.
[QUOTE=eileen83;118106]Der Rechner ist Virenfrei !
die sache mit Passwort ausspähen aus File Zilla ist schon sehr vielen passiert[/QUOTE]
Ich werde aus diesen beiden Aussagen in Kombination nicht schlau. Entweder reden wir von einem Hack, dann sollte man der Sache nachgehen, aber sicherlich nicht, indem man versucht, beim Provider (der Uni) Störerhaftung geltend zu machen oder du hast dir Passwörter aus Filezilla klauen lassen. Dann sollte man erstmal vor der eigenen Haustür kehren.
Mir ist unklar, was dir genau passiert ist.
BTW: Nur weil das mit Filezilla schon vielen passiert ist wird daraus nicht irgendwie ein Freibrief, auf die lokale Sicherheit zu pfeifen.
Das der Filezilla total ungeeignet ist weiss ich jetzt auch !
das meine Dateien mit Malware vorsätzlich infiziert wurden ausgehend von diesem Uniserver ist Fakt
man lässt sich auch nicht den Hausschlüssel klauen und dann die Einbrecher ungeschoren davonkommen zu lassen oder 
?
Wenn die Passwörter aus Filezilla ausgelesen wurden dann hast du einen Trojaner auf deinem Rechner. Wie kannst du sicher sein dass nicht von deinem Rechner oder deinem Server andere bereits mit Schadsoftware infiziert wurden? Wie fändest du es wenn diese dich in Störerhaftung nehmen?
[QUOTE=eileen83;118114]man lässt sich auch nicht den Hausschlüssel klauen und dann die Einbrecher ungeschoren davonkommen zu lassen oder ?[/QUOTE]
Im Falle von Filezilla unpassender Vergleich. Passender wäre:
Man schreibt die Zugangsdaten für das schweizer Nummernkonto an die Pinnwand, die vom Küchenfenster aus einzusehen ist und wundert sich anschließend, dass das Konto leergeräumt ist.
salut,
wahrscheinlicher ist das der Rechner einem ahnungslosen Studenten gehört der sich einen “netten” Schädling eingefangen hat. Weil der Student gerade mit dem Uni-Netz verbunden war (Studentenwohnheim, etc) siehst du auch die IP-der Uni.
Dieser “nette Schädling” bekommt von einem anderen C&C-Server nur Befehle wie die Zugangsdaten zu deinem Server/Shop und macht sich an die Arbeit um sich danach einem anderen Server zu zuwenden …
Zwischen dem ausspionieren der Zugangsdaten auf dem heimischen Rechner und der eigentlichen Aktion können durchaus schon mal 14 Tage vergehen, selbst schon erlebt.
ceau
Hier mal noch eine Anleitung, wie man auch mit Filezilla die Passwörter sicher ablegen kann.
http://ganz-sicher.net/blog/tutorials-tipps/filezilla-und-die-gespeicherten-passworter/
[QUOTE=eileen83;118096]Hallo Leute
mein Oxid CE 4.3 shop
ist vor 2 Tagen Angriffsziel eines Hackes gewesen…
Gruss[/QUOTE]
Hallo,
ist evtl. auch was für Dich
http://forum.oxid-esales.com/showthread.php?p=118210#post118210
Hallo Leute,
seit gestern bin ich wohl an der Reihe. Zwei meiner Oxid Shops wurden scheinbar gehackt. Verändert wurden bis in die 4. Ebene alle .tpl Dateien (unter anderem mit der Bezeichnung-main.tpl) alle .htaccess, .js, index usw.
Auf dem einzigen Rechner mit FTP Zugang läuft ein aktuelles Antiviren-Programm mit dreifachem Scann am Tag. Kein File-Zilla in Betrieb. Gehostet bei Alfahosting.
In meinem alten 4.4.8 CE wurden insgesamt 849 Dateien verändert. Durch die neue Hirarchie der Ordnerstruktur war der Schaden in meinem weiteren Shop in der CE 4.6.5 mit 524 Dateien nicht ganz so groß. Habe alle Dateien einzeln gesucht und gegen Backups ausgetauscht. Auch die FTP-Passwörter habe ich ausgetauscht.
Die Sau war gestern einmal um 8:04 Uhr unterwegs und hat alles zerdübelt und um 16 Uhr nochmals. Nach der Wiederherstellung der Backups war er dann heut Morgen noch mal da und hat alles zerdübelt. Keine Schadsoftware auf dem Rechner. Wer weis Rat?
In den access-Logs von alfahosting ist nichts zu finden. Weiterführende Logs gibt es erst auf Anfrage der Staatsanwaltschaft und Co.
Wer hat eine Idee?
Du solltest auf jeden Fall die Seite vom Netz nehmen bis das geklärt ist, auf deiner Seite befindet sich ein Trojaner.
stimmt. sobald deine seite aufgerufen wird, schlägt avira alarm! 
[QUOTE=m.streiber;122848]
Auf dem einzigen Rechner mit FTP Zugang läuft ein aktuelles Antiviren-Programm mit dreifachem Scann am Tag. Kein File-Zilla in Betrieb. Gehostet bei Alfahosting.[/QUOTE]
Ein “aktuelles” Antiviren-Programm das 3xmal am Tag “scannt” beweisst unter Windows erstmal garnichts.
Die Erkennungsrate bei wirklich neuen/aktuellen Viren und Trojanern dürfte so bei 50-60 % liegen.
Derzeit scheint ja alles gut zu sein. Hast du die FTP-Logs auch geprüft? Was sollen denn das für weitere Logs sein, die Alfahosting bei Eingreifen der Staatsanwaltschaft zur Verfügung stellen kann?
[QUOTE=msslovi0;122880]Derzeit scheint ja alles gut zu sein.[/QUOTE]
Nein Trojaner ist noch da.
Ja, jetzt ist da wieder Javascript im Kopf, das vorher nicht da war und Inhalt aus Brasilien im iFrame nachlädt.
Google Safe Browsing schlägt darauf aber noch nicht an. Von daher dürften auch viele Virenscanner das noch nicht tun.