Malware ?

Irgend wo muß doch eine Sicherheitslücke sein. Wie bist du bis jetzt vor gegangen, um das Problem zu beseitigen?

 

zuerst die traurige Warheit. Malware kannst du nicht rauslöschen. Wenn dein System gehackt wurde und Malware verteilt kannst du keiner Datei mehr auf dem Server trauen.

Der Angreifer wird sicherlich nicht nur eine *sinnfreie* zufällige Weiterleitung installiert haben - sondern wird in der Regel

a- sich einen Account auf dem Server eingerichtet haben
b- er wird sich weitere Werkzeuge - Scripte, Grafiken auf dem Server gelegt haben
c - er wird etwas in die Datenbank schreiben
d- er wird etwas in die Scripte schreiben.
e- er wird etwas hinterlegen, so dass er jederzeit etwas in den Scripten und an der Datenbank ändern kann.

wenn ich einen Blog retten möchte beginne ich in der Regel mit den Bildern
~/wp-content/uploads/

hier triffst du bei gehackten Blogs in der Regel Dateien mit 666 (jeder darf schreiben rechten - wenn dies so ist - tut dir einen gefallen lösch alles und spiel eine *saubere* Datensicherung zurück.

Aber du willst ja dein System retten. Wenn du die Dateirechte auf 644 rw- r-- r-- geändert hast prüfe alle Dateirechte. Dein Angreifer kann sich eigene Dateien veröffentlicht haben - diese erkennst du daran, dass du mit deinem user Account die Rechte nicht ändern kannst geschweige die Datei löschen.

Wer Dateien verändern kann legt auch neue Dateien an. Hier ist besonders beliebt der Code base64_decode

Beispiel

PHP:

Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!

oder auch per Javascript.

Wenn du keine saubere Datensicherung hast und die Daten vom Blog dir wichtig sind kann ich dir *kostenpflichtig* das Blog retten.

Viel Glück bei der Suche

ralf

 

Administrierst du die Server selber?