Server gehackt und Virus eingebaut?

[Turrican101]

Der Server von ner Firma, für die ich grad ne neue Website mache ist scheinbar gehackt worden, aber ich frag mich wo und wie.

Laut Antivir ists ein HTML/Crypted.Gen-Virus wenn ich die Website aufrufe und laut Quelltext ist da auf einmal ein komisches Javascript, was da nicht hingehört.

So wie bei dem hier (zufällig auch aktuell) http://board.gulli.com/thread/1465975-index-der-webseiten-modifiziert/

Nur wo kommt der her?
Auf dem Server liegen ein paar ganz alte Versionen der Website, die aber nicht per Domain verlinkt sind, die aktuelle Website und ein Testordner mit der baldigen Website, die auf Wordpress basiert.

Verändert wurden sämtliche index-Dateien, von beiden Websites, aber auch von der ganz alten (da sogar manche normale html-Dateien) und sogar von der englischen Version der aktuellen Seite, die nen ganz anderen Namen hat (en_index.php). Aber nicht alle index.php Dateien von Wordpress, nur die index.php im Wordpress-Hauptverzeichnis.

Die aktuelle Website nutzt kein Javascript und auch keine Datenbank, wurde aber wie gesagt auch infiziert. Für die Wordpress-Installation kenn nur ich das Passwort. Kam das wohl überhaupt über Wordpress? Hab über Google auch andere Seiten mit dem Problem gefunden, wo scheinbar kein Wordpress drauf war. Oder hat da evtl. der Typ von der Firma nen Keylogger oder so aufm Rechner und der Server an sich wurde einfach infiziert? (konnte den noch nicht anrufen und genaueres klären, das ist heute nacht irgendwann passiert, er weiss aber schon davon)

Hab nu erstmal die index.phps der aktiven Websites gesäubert und alle Passwörter geändert. Antivir und Spybot haben auf meinem Rechner jedenfalls keinen Keylogger oder so gefunden.

 

[Proxylein]

sowas hat jeder programmierer schon mal gemacht in seiner jugendzeit...ich nartürlich nicht ^^

sowas passiert meistens immer auf die selbe weise:
durch einen dummen zufall bekommen die eine ip....wie auch immer!
sie sehen das das system bzw server nett aktuell ist - nutzen eine sicherheitslücke aus - und machen dann unfug! was auch immer!

sie klauen meistens nur passwörter und versuchen sich in email konten ein zu klinken in der hoffung nacktbilder oder persönliche sachen zu klauen!

sys uppen...pws ändern!

und auf den nähsten angriff besser vorbereitet zu sein

 

[Turrican101]

War das jetzt ne Sicherheitslücke beim Server an sich oder bei dem was darauf installiert ist?
Und das einzige "System" darauf ist ja nur Wordpress, da ist auch alles aktuell.

 

[CHaos.Gentle]

Hast du keine Logfiles?
Da kann man dann oft sehen was passiert ist. Häufig genug bei Joomla erlebt. Google machts möglich. Konsequentes nutzen von mod_rewrite hilft oft schon, die scriptkiddies fernzuhalten.

 

[Proxylein]

also wenns am javascript liegt....wo der schadcode auch drinne war!
würde ich glatt vermuten!

logfiles dir angucken und gucken was wann war und wo...anders kommste sowieso nicht dahinter

 

[mightymartin]

Java IST eine Sicherheitslücke ;-)

Verpennste 2 Updates, und eines davon kritisch, gibts genug Leute, die genau die behobene Lücke auf alten Maschinen suchen .... boing... ^^

 

[Turrican101]

Hm, mit Logfiles auswerten kenn ich mich jetzt auch nicht so unbedingt aus...

Aber es scheint wohl am Wordpress zu liegen, bzw. ne neue Lücke zu geben, denn bei dem Typen vom Gulli-Forum oben trat das zur gleichen Zeit auf wie bei der Firma hier.
Frage ist nur was man dagegen tun kann, WP ist aktuell und die 4 Plugins von mir auch...

 

[Proxylein]

das hängt immer vom system ab!
pauschal ne alzweglösung gibts eh nett.

er muss nicht unbedingt gehackt worden sein..vieleicht ist ein dritter an die pws gekommen u.s.w

es spielen bei einem serversystem zu viele faktoren eine rolle das es eine pauschal lösung sowieso nett gibt!

da solltest schon ne fachfirma fragen ^^
oder dir privat jemanden besorgen der sich datt mal anguckt