Allgemeine Informationen zu Malware und Schadcode

Wie gelangt die Malware auf meine Webseite

- Das FTP-Passwort wurde gehackt (meist über den lokalen PC)
- Es gibt eine Sicherheitslücke im CMS (z.B. WordPress oder Joomla) oder deren Erweiterungen/Themes

Ich habe eine Email von checkdomain erhalten, dass ein Virus entdeckt wurde?

Wird ein Virus durch unseren Virenscanner festgestellt, informieren wir unsere Kunden darüber per E-Mail. Ein Virenscan findet einmal in der Nacht statt, zusätzlich wird bei einem Upload per PHP auf Viren geprüft.

Upload Versuch: es ist nicht wirklich etwas passiert. Jemand hat versucht Schadcode hochzuladen, unser Virenscanner hat dies aber verhindert. Sie sollten kontrollieren, ob es eventuell eine Upload-Möglichkeit gibt, die ausgenutzt werden kann.

Virusfund nur durch ClamAV (Weitere Aktion: keine): Der Virus wurde nur durch ClamAV bestätigt, andere Virenscanner haben keine Warnung ausgegeben. Es handelt sich eventuell um einen Fehlalarm. Die Datei wird nicht in Quarantäne verschoben.

Virusfund durch ClamAV und andere (Weitere Aktion: verschoben nach): ClamAV und mindestens zwei weitere Virenscanner haben den Virus bestätigt. Es handelt sich mit hoher Wahrscheinlichkeit um Schadcode. Die Datei wird in Quarantäne verschoben.

Was macht die Malware und wie erkenne ich sie?

Unter den folgenden Links, finden Sie verschiedene Plugins/Programme zur Erkennung von Malware.

http://www.stopbadware.org/common-hacks
http://docs.joomla.org/Vulnerable_Extensions_List
http://itpixie.com/2012/06/wordpress-exploit-alert-uploadify-php/#.UMtXiayundE
http://wordpress.org/extend/plugins/exploit-scanner/
http://wordpress.org/extend/plugins/antivirus/

http://extensions.joomla.org/extensions/access-a-security/site-security/site-protection

http://drupal.org/project/clamav

Beispiele was Malware macht:

- Index Dateien werden manipuliert, Javascript oder PHP Code wird am Ende eingefügt.

- Häufig wird der Code so verschleiert (obfuscated), dass ein menschlicher Betrachter nicht mehr nachvollziehen kann, was dort geschieht.

Beispiel Javascript (gibt „hello world" aus):


- .htaccess Dateien werden erstellt, um auf andere Seiten weiterzuleiten.

Mögliche Folgen für Sie und ihre Websei­ten­be­sucher

- Es wird Malware auf Computern Ihrer Webseitenbesucher installiert
- Es wird Phishing/Spamvertised Content (http://en.wikipedia.org/wiki/Spamvertising) gehostet
- Ihr Webhosting-Paket wird zum Spamversand missbraucht
- Es werden Angriffe (DOS, Brute Force, etc.) auf andere Server von Ihrer Website gestartet

Mögliche Konsequenzen durch checkdomain

- Je nach Schwere des Vorfalls, kann es zu einer Teil- oder Komplettsperrung von Domain und/oder
Webhostingpaket führen. Eine Teilsperrung wäre z.B. nur der Versand vom Email per PHP.

- Im Normalfall wird der Kunde vorher informiert und eine Frist von 24 Stunden gewährt, um das Problem zu lösen.

- In besonders schweren Fällen (extrem hohe Serverlast, Versand von mehreren tausend Emails in kurzer Zeit) kann
eine sofortige Sperre erfolgen, um unsere anderen Kunden zu schützen.

- Spamversand kann zu Blacklisting führen, hohe Serverlast schränkt den kompletten Leistungsumfang ein.