1. Home
  2. Forum
rdombach
Avatar rdombach
Themenersteller
Security-Admin
Content Halbgott (608 Beiträge)

Trojaner MILICENSO manipuliert .htaccess

am 11.07.2012, 19:29 Uhr eröffnete rdombach folgenden Thread
.htaccess    2937 mal gelesen    4 Antwort(en).

Hallo alle miteinadner,

bei SYMANTEC gibt es aktuell einen englischsprachigen Artikel über das Trojanische Pferd aka Trojaner mit dem Namen Milicenso. Fakt ist, dass diese Schadsoftware, wenn machbar, die .htaccess manipuliert und so den Webseitenbesucher auf eine andere (infizierte) Webseite umleitet.

Details unter: www.symantec.com/connect/blogs/trojanmilicenso-infection-through-htaccess-redirection



Die offizielle Empfehlung an ALLE: Habt ein aktuelles Backup der .htaccess verfügbar.

Meine Empfehlung: Öfter mal den Webauftritt vom heimischen PC per Upload auf dem Server ersetzen (Modus: Übertrage alle Datein vom heimischen PC auf den Server, die auf dem Server ungleich dem Zustand auf dem heimischen Pc sind).

... klingt komplizierter als es ist.

Beste Grüße (und eine virenfreie Webseite)

Ralph

Bitte nicht vergessen, Virenscanner und Co. zu aktualisieren!
SecuTipp: GRATIS Security-Informationen für die eigene Webseite und [url="http://twitter.com/secuteach"][img]http://w
romacron
 JDev Xer
Content Gott (1224 Beiträge)
am 11.07.2012, 20:22 Uhr schrieb romacron

Hallo Ralph,

was für eine Steilvorlage (mit Rückenwind und Booster).
Wenn die .htaccess überschrieben wurde dann ist es völlig sinnlos die neu heraufzuladen. Ãœber die Nacht hat sicher der selbe Spassvogel noch einmal Zeit sich liebevoll um deine Dateien auf dem Server zu kümmern.

Problem ist das Schreibrecht. In der Regel ist die .htaccess besser mit Rechten versehen als ein Bild. Das heißt, wenn mit dieser Datei was schiefgelaufen ist, den ganzen Webspace sichern, zippen, zip herunterladen, logfiles sichern.

schauen warum geschrieben werden konnte und dann die ganze Bude neu aufsetzen.

Synchronisieren von remote->lokal ist ebenso ne schlechte Idee. Meist sind die lokalen Rechner sicherer als die Server. So holt man sich nur das Ãœbel nach lokal. (emotionale Menschen heulen wenn der Rechner futsch ist).


rdombach
Avatar rdombach
Security-Admin
Content Halbgott (608 Beiträge)
am 12.07.2012, 18:30 Uhr schrieb rdombach

Hallo roman,

ich stimme Dir zu, Du hast recht!

Ein Hacker, dem es gelingt in Deine Webseie einzudringen würde mehr machen, als nur die .htaccess zu manipulieren.
Im vorliegenden Fall ist es aber eine automatisch ablaufende Attacke, die normalerweise auf Ausbreitung ausgerichtet ist. Laut Analyse des trojaners wird nur die .htaccess manipuliert - weitere Backdoors sind nicht bekannt. Nur die manipulierte .htaccess erlaubt dem Hacker allein noch keinen Zugriff.

Ein Aufsetzen des Systems ist die sicherste Vorgehensweise, aber wenn die eigentliche Schwachstelle im System noch vorhanden ist, nützt eigentlich ein Restore der .htaccess ebenso wenig wie eine komplette Re-Installation der Webseite etwas.

Allerdings sind kleine Maßnahmen auch nicht gänzlich überflüssig, denn es ist unbekannt, was der Trojaner ggf. noch macht oder von welcher Quelle die Erstinfektion erfolgte. Das bedeute, ein Restore der .htaccess kann durchaus langanhaltenden Erfolg haben.

Was Du noch hervorhebst, will ich auch unterstreichen - ein Save von Remote -> Lokal macht nur in wenigen Ausnahmen Sinn, generell ist diese Aktion eher Risikobehaftet.

Beste Grüße
Ralph



Bitte nicht vergessen, Virenscanner und Co. zu aktualisieren!
SecuTipp: GRATIS Security-Informationen für die eigene Webseite und [url="http://twitter.com/secuteach"][img]http://w
romacron
 JDev Xer
Content Gott (1224 Beiträge)
am 12.07.2012, 19:46 Uhr schrieb romacron

Sicherlich ist die beste Möglichkeit nen Käfig über die gekrakte Seite stülpen.
Mal oraclet, werden nicht viele Leute Spass am Viren-Gucken haben. Macht in der Regel auch wenig Sinn, da die entstandenen Fehler auch nicht behoben werden können.

Was für ein DieLämma

Ãœrigens, heute abend ab 20.15 3Sat- die richtige Wahl

rdombach
Avatar rdombach
Security-Admin
Content Halbgott (608 Beiträge)
am 12.07.2012, 20:02 Uhr schrieb rdombach

romacron schrieb:


Ãœrigens, heute abend ab 20.15 3Sat- die richtige Wahl



Titel der Sendung: Freiheit fürs Internet (Doku)

Danke für den Hinweis Roman!

Bitte nicht vergessen, Virenscanner und Co. zu aktualisieren!
SecuTipp: GRATIS Security-Informationen für die eigene Webseite und [url="http://twitter.com/secuteach"][img]http://w
  • 1


« zurück zu: .htaccess

Das Seitenreport Forum hat aktuell 5276 Themen und 36111 Beiträge.
Insgesamt sind 48364 Mitglieder registriert.
Neueste Beiträge
16.10.2024, 10:13 Uhr
I was also facing the same issue. Thanks for sharing!
von: catherinebennett1234
Neueste Themen
06.12.2024, 16:34 Uhr
Unsere Webseite – Eure ehrliche Meinung ist gefragt!
Hallo zusammen, nach einer längeren Zeit, in der wir uns…
erstellt von: forum
23.10.2024, 17:39 Uhr

Es ist frustrierend, wenn Chrome Änderungen an CSS nicht…
erstellt von: demyzi598
27.04.2024, 16:10 Uhr
SEO-Contest 2024
Hallo Leute, zurzeit findet der SEO-Contest 2024 statt. Das…
erstellt von: info
SEO Artikel
SEO Analyse
Die Seitenreport SEO Analyse analysiert Ihre Website kostenlos in über 100 Analyse-Kriterien.

Jetzt SEO und Website Analyse ausführen

SEO Tools