ABAKUS

Na ja, alles herunterladen, am besten in eine gesicherte Umgebung, auch Dump von der DB und dann über alles einen Virenscanner laufen lassen. Mit einem Passwort allein ist es nicht getan, denn die Schwachstelle könnte überall sitzen, zu 80% in unsauberen Plugins, die von irgendwoher etwas nachladen. Wenn diese Schwachstelle bisher nicht gefunden wurde, so existiert die weiterhin und Hacker könnten sich erneut Zutritt verschaffen.

Die Schwachstelle kann sich auch in Form von Malware auf einem Rechner befinden, wo dann z.B. Deine Verbindungsdaten für FTP schon bei der Änderung erneut mitgeschnitten werden. Hier ist eine Schritt für Schritt Anleitung; wobei der Link nur funktioniert, wenn er mit copy & paste aufgerufen wird:

Melegrian hat geschrieben:Na ja, alles herunterladen, am besten in eine gesicherte Umgebung, auch Dump von der DB und dann über alles einen Virenscanner laufen lassen.

Ist relativ Sinnlos, selbst extra dafür entwickelte Scripte finden nur in den seltensten Fällen etwas. Und Windows Virenscanner ganz sicher gar nichts.

Sowas findet man nur wenn man weiss wonach man sucht und sich auch mindestens mit PHP auskennt. Ausserdem habe ich die Erfahrung gemacht das mit Vollzugriff auf den Webspace (SSH und Logs) wesentlich schneller die Probleme finden lassen.

Melegrian hat geschrieben:Die Schwachstelle kann sich auch in Form von Malware auf einem Rechner befinden, wo dann z.B. Deine Verbindungsdaten für FTP schon bei der Änderung erneut mitgeschnitten werden.

Das habe ich auch schon mehrfach bei Kunden erleben müssen. Ein total verseuchter rechner der dann aber auch die Mailzugangsdaten rausgetragen hat. sehr beliebt sind auch Filezilla Configs nach denen anscheinend gezielt gesucht wurden.

Bei solchen Zugriffen nutzen PHP-Kenntnisse allein nicht viel, denn da könnte eine SQL-Injection erfolgt sein und wenn einmal so eine Kompromittierung der Datenbank möglich war und die Schwachstelle nicht geschlossen wurde, ist es auch ein zweites Mal möglich.

https://de.wikipedia.org/wiki/SQL-Injection

Da ich selbst eh kein PHP und MYsql kann: was soll ich tun?
Ich könnte einen Freund fragen der sich auskennt oder jemanden dafür bezahlen, zu checken, ob er noch Viren findet. Aber Deine Beschreibung MAturn klingt so, als ob ich mir auch danach nicht wirklich sicher sein könnte.

Da es kompliziert klingt, und die Seite nicht so riesig ist, ist alles neubauen wahrscheinlich an einem halben TAg für mich gemacht. Das ist Arbeit, die ich slebst , wäre aber möglich, und ich würde es selbst hinbekommen.

Derzeit denke ich: ich hoffe, dass mit dem aufspielen einer alten Sicherheitskopie alle Viren o.ä. gelöscht wurde. Also erstmal nichtstun, und wenn es noch einmal PRobleme gibt, alles neubauen.

Was denkt ihr?

Maturn hat geschrieben:Das ist aber auch Blödsinn wenn man wechselnde Ip Adressen hat.

Ja, wechselnde IPs sind der Blödsinn, wenn man ernsthaft ein Internetbusiness betreiben will.
Wenn ich schon im Ausland unterwegs bin, dann geh ich natürlich über einen VPN-Tunnel hinein. Ganz abgesehen davon, dass es mir diese Sicherheit auch bei wechselnden IPs wert wäre, in der .htaccess jeweils die aktuelle Adresse einzusetzen. Das dauert eine Minute!

heinrich hat geschrieben:

Maturn hat geschrieben:Das ist aber auch Blödsinn wenn man wechselnde Ip Adressen hat.

Ja, wechselnde IPs sind der Blödsinn, wenn man ernsthaft ein Internetbusiness betreiben will.
Wenn ich schon im Ausland unterwegs bin, dann geh ich natürlich über einen VPN-Tunnel hinein. Ganz abgesehen davon, dass es mir diese Sicherheit auch bei wechselnden IPs wert wäre, in der .htaccess jeweils die aktuelle Adresse einzusetzen. Das dauert eine Minute!

O mein Gott, du hast Recht. Es ist ein Wunder das ich in den letzten 15 Jahren nicht verhungert bin bei dem eklatanten Fehler den ich begangen habe nämlich an einer Leitung zu arbeiten mit Wechselnden IP-Adressen.

Es fallen mir nur 2 Szenarien ein in denen es sinnvoll ist eine eigene feste IP bei seinem Internetprovider zu haben (eine davon ist die Unsitte eigene Mailserver zu betreiben an einer Dsl Leitung) und die andere solche Zugriffsmechanismen. Als Kontrast dazu fallen mir aber mehrere Dutzend Argumente ein die es sinnvoll machen die IP Adresse auch mal ändern zu können ohne gleich nen VPN aufzusetzen.

Das Eintragen in die HTACCESS jedesmal wenn man sich in ein Backend einloggen will ist mehr als GAGA und würde das Konzept eines Backends das von überall bedienbar sein soll mehr als konterkarieren. Nur auf den wenigstens Rechnern wird man eine Möglichkeit zur Verfügung haben um das mal schnell ändern zu können.

Man könnte sich ein Script schreiben das den Eintrag einfach ändert wenn man XY aufruft eine Art Port Knocking light. Ob das sinnvoll ist mag ich bezweifeln. Ich fahre mit Fail2ban mehr als gut, alles über 5 Fehlversuche fliegt. Vorteil: man kann noch andere Sachen damit abdecken wie Zugriffsversuche über xmlrpc(die wesentlich häufiger aufschlagen als über das Loginformular)

Melegrian hat geschrieben:Bei solchen Zugriffen nutzen PHP-Kenntnisse allein nicht viel, denn da könnte eine SQL-Injection erfolgt sein und wenn einmal so eine Kompromittierung der Datenbank möglich war und die Schwachstelle nicht geschlossen wurde, ist es auch ein zweites Mal möglich.

https://de.wikipedia.org/wiki/SQL-Injection

Also erstmal gehe ich davon aus das jeder der sich mit PHP beschäftigt zumindest auch Grundkenntnisse in MYSQL sammelt, aber davon abgesehen davon ist dein Argument Murks. Du setzt ne SQL Injection niemals direkt an die Datenbank ab sondern nimmst immer den Weg über die verwendete Scriptsprache. Sicherlich ist es nötig zu verstehen wie die Injections funktionieren aber der Fehler liegt immer im Script und nicht bei SQL

Maturn hat geschrieben:Also erstmal gehe ich davon aus das jeder der sich mit PHP beschäftigt zumindest auch Grundkenntnisse in MYSQL sammelt, aber davon abgesehen davon ist dein Argument Murks. Du setzt ne SQL Injection niemals direkt an die Datenbank ab sondern nimmst immer den Weg über die verwendete Scriptsprache.

Und Du kannst nicht richtig lesen, denn ich habe nicht geschrieben, dass dafür keine PHP-Kenntnisse erforderlich wären, sondern dass diese allein nicht genügen würden.

Maturn hat geschrieben:O mein Gott, du hast Recht. Es ist ein Wunder das ich in den letzten 15 Jahren nicht verhungert bin bei dem eklatanten Fehler den ich begangen habe nämlich an einer Leitung zu arbeiten mit Wechselnden IP-Adressen.

Wer redet von fixer IP-Adresse bei seinem Internetprovider?
Ich rede von meinem ganz normalen Telefonanschluss zu Hause, der natürlich seit zehn Jahren eine fixe IP-Adresse hat, denn wie sollte sonst VOIP funktionieren? Jetzt ein 100 MBit Anschluss.

heinrich hat geschrieben: Wer redet von fixer IP-Adresse bei seinem Internetprovider?
Ich rede von meinem ganz normalen Telefonanschluss zu Hause, der natürlich seit zehn Jahren eine fixe IP-Adresse hat, denn wie sollte sonst VOIP funktionieren? Jetzt ein 100 MBit Anschluss.

Das ist eine Dynamische Adresse, zumindest bei Telekom und Co. Für Fixe musst du extra bezahlen. Nach einer gewissen Zeit kriegst du eine neue Zugewiesen. Früher war das alle 24std und heutzutage sind die Abstände wesentlich größer.

Bei Kabel Deutschland ist sie glaube ich Fix mittlerweile!?

Voip Funktioniert indem sich das nach einer Trennung wieder mit der neuen IP bei dem Provider anmeldet.