rdombach
Avatar rdombach
Themenersteller
Security-Admin
Content Halbgott (608 Beiträge)

Trojaner MILICENSO manipuliert .htaccess

am 11.07.2012, 19:29 Uhr eröffnete rdombach folgenden Thread
.htaccess    2937 mal gelesen    4 Antwort(en).

Hallo alle miteinadner,

bei SYMANTEC gibt es aktuell einen englischsprachigen Artikel über das Trojanische Pferd aka Trojaner mit dem Namen Milicenso. Fakt ist, dass diese Schadsoftware, wenn machbar, die .htaccess manipuliert und so den Webseitenbesucher auf eine andere (infizierte) Webseite umleitet.

Details unter: www.symantec.com/connect/blogs/trojanmilicenso-infection-through-htaccess-redirection

Die offizielle Empfehlung an ALLE: Habt ein aktuelles Backup der .htaccess verfügbar.

Meine Empfehlung: Öfter mal den Webauftritt vom heimischen PC per Upload auf dem Server ersetzen (Modus: Übertrage alle Datein vom heimischen PC auf den Server, die auf dem Server ungleich dem Zustand auf dem heimischen Pc sind).

... klingt komplizierter als es ist.

Beste Grüße (und eine virenfreie Webseite)

Ralph


Bitte nicht vergessen, Virenscanner und Co. zu aktualisieren!
SecuTipp: GRATIS Security-Informationen für die eigene Webseite und [url="http://twitter.com/secuteach"][img]http://w

romacron
JDev Xer
Content Gott (1224 Beiträge)
am 11.07.2012, 20:22 Uhr schrieb romacron

Hallo Ralph,

was für eine Steilvorlage (mit Rückenwind und Booster).
Wenn die .htaccess überschrieben wurde dann ist es völlig sinnlos die neu heraufzuladen. Ãœber die Nacht hat sicher der selbe Spassvogel noch einmal Zeit sich liebevoll um deine Dateien auf dem Server zu kümmern.

Problem ist das Schreibrecht. In der Regel ist die .htaccess besser mit Rechten versehen als ein Bild. Das heißt, wenn mit dieser Datei was schiefgelaufen ist, den ganzen Webspace sichern, zippen, zip herunterladen, logfiles sichern.

schauen warum geschrieben werden konnte und dann die ganze Bude neu aufsetzen.

Synchronisieren von remote->lokal ist ebenso ne schlechte Idee. Meist sind die lokalen Rechner sicherer als die Server. So holt man sich nur das Ãœbel nach lokal. (emotionale Menschen heulen wenn der Rechner futsch ist).



rdombach
Avatar rdombach
Security-Admin
Content Halbgott (608 Beiträge)
am 12.07.2012, 18:30 Uhr schrieb rdombach

Hallo roman,

ich stimme Dir zu, Du hast recht!

Ein Hacker, dem es gelingt in Deine Webseie einzudringen würde mehr machen, als nur die .htaccess zu manipulieren.
Im vorliegenden Fall ist es aber eine automatisch ablaufende Attacke, die normalerweise auf Ausbreitung ausgerichtet ist. Laut Analyse des trojaners wird nur die .htaccess manipuliert - weitere Backdoors sind nicht bekannt. Nur die manipulierte .htaccess erlaubt dem Hacker allein noch keinen Zugriff.

Ein Aufsetzen des Systems ist die sicherste Vorgehensweise, aber wenn die eigentliche Schwachstelle im System noch vorhanden ist, nützt eigentlich ein Restore der .htaccess ebenso wenig wie eine komplette Re-Installation der Webseite etwas.

Allerdings sind kleine Maßnahmen auch nicht gänzlich überflüssig, denn es ist unbekannt, was der Trojaner ggf. noch macht oder von welcher Quelle die Erstinfektion erfolgte. Das bedeute, ein Restore der .htaccess kann durchaus langanhaltenden Erfolg haben.

Was Du noch hervorhebst, will ich auch unterstreichen - ein Save von Remote -> Lokal macht nur in wenigen Ausnahmen Sinn, generell ist diese Aktion eher Risikobehaftet.

Beste Grüße
Ralph




Bitte nicht vergessen, Virenscanner und Co. zu aktualisieren!
SecuTipp: GRATIS Security-Informationen für die eigene Webseite und [url="http://twitter.com/secuteach"][img]http://w

romacron
JDev Xer
Content Gott (1224 Beiträge)
am 12.07.2012, 19:46 Uhr schrieb romacron

Sicherlich ist die beste Möglichkeit nen Käfig über die gekrakte Seite stülpen.
Mal oraclet, werden nicht viele Leute Spass am Viren-Gucken haben. Macht in der Regel auch wenig Sinn, da die entstandenen Fehler auch nicht behoben werden können.

Was für ein DieLämma

Ãœrigens, heute abend ab 20.15 3Sat- die richtige Wahl


rdombach
Avatar rdombach
Security-Admin
Content Halbgott (608 Beiträge)
am 12.07.2012, 20:02 Uhr schrieb rdombach

romacron schrieb:


Ãœrigens, heute abend ab 20.15 3Sat- die richtige Wahl



Titel der Sendung: Freiheit fürs Internet (Doku)

Danke für den Hinweis Roman!


Bitte nicht vergessen, Virenscanner und Co. zu aktualisieren!
SecuTipp: GRATIS Security-Informationen für die eigene Webseite und [url="http://twitter.com/secuteach"][img]http://w

  • 1


« zurück zu: .htaccess

Das Seitenreport Forum hat aktuell 5267 Themen und 36089 Beiträge.
Insgesamt sind 48169 Mitglieder registriert.