Problem: Sperrung Ihres Paketes

Begonnen von leubsy, 06 August 2013, 16:20:26

⏪ vorheriges - nächstes ⏩

0 Mitglieder und 2 Gäste betrachten dieses Thema.

leubsy

Hallo, ich nutze PragmaMx schon sehr lange,
es ist für mich als Leihe sehr einfach zu bedienen und auch immer super gelaufen.

bis heute, da bekam ich die Mail von STRATO

Nach unserer Information werden die Inhalte Ihrer Internet-Präsenz für die Verbreitung schädlicher Software ausgenutzt. Hiervon betroffen ist die folgende URL bzw. die folgende(n) Datei(en):

http://...domain1.de/
http://...domain1.de/banners.php?mxbop=click&bid=2
http://...domain1.de/
http://...domain1.de/banners.php?mxbop=click&bid=2
http://...domain1.de/index.php

ich habe 2 Domains mit dem selben Problem

http://...domain2.de/?newlang=german
http://...domain2.de/index.php

Möglicherweise befinden sich noch weitere schadhafte Dateien auf Ihrem Webspace.

Allem Anschein nach wurde Ihr Webspace gehackt.

Der Angriff erfolgte wahrscheinlich durch vorhandene Sicherheitslücken in Ihren installierten PHP-/CGI-Scripten. Auch veraltete CMS-Systeme, wie zum Beispiel "Joomla", können einen Angriff ermöglichen. Zudem besteht die Möglichkeit, dass sich Viren, Keylogger o.ä. auf Ihrem lokalen System befinden.

Um weiteren Missbrauch zu vermeiden und die Sicherheit unserer Server nicht weiter zu gefährden, mussten wir Ihre Domain(s) kurzfristig sperren.

Damit wir Ihre Domain(s) wieder entsperren können, führen Sie bitte die folgenden Arbeiten aus:

•   Überprüfen Sie Ihre gesamten Webinhalte sowie alle installierten Dateien auf Sicherheitslücken und -mängel und korrigieren Sie diese.
•   Löschen Sie die o. g. Datei(en) von Ihrem Webspace.
•   Löschen Sie zusätzlich alle Dateien, die nicht durch Sie installiert wurden. Suchen Sie bitte ganz gezielt nach "versteckten" Dateien, z.B. ".htaccess" etc., nach versteckten Ordnern und nach fremdem Code in Ihren installierten Dateien.
•   Falls Sie ein CMS-System (z.B. "Joomla") nutzen, bitten wir Sie, die hierfür regelmäßig vom Hersteller zur Verfügung gestellten Updates zu installieren.


Was kann ich tun ??

Bei meiner 3. Domain läuft noch alles, dort wollte ich auch gleich noch das neuste Update machen,
nur leider geht es beim Lizenzabkommen nicht weiter.

AlternativeComputing

1. Schau mal was der Banner mit der bid=2 ist.
Das Bannerbild mit der bid=2 untersuchen (nach Viren scannen).

2. Die Datenbank (Tabellen für den Banner) checken.

3. Banner Link checken

4. PMX-ROOT Ordner via FTP umbenennen und neuen PMX-ROOT Ordner mit dem original Namen, wie der des Infizierten PMX, anlegen.

5. In den neu angelegten Ordner das aktuellste download Paket hier von der Seite installieren, die config.php aus dem Umbenannten Ordner in den neuen frischen Ordner kopieren. Die config.php vorher bitte auf Ungereimtheiten prüfen.

6. Sollte eine ältere PMX Version installiert gewesen sein: Updaten via Setup. Wenn Uptodate: Ordner setup löschen.

<Edit>
Um welches Strato Paket handelt es sich? PHP4 oder schon PHP5?
</Edit>
MfG

Peter

leubsy

#2
Vielen Dank für die schnelle Antwort.

Punkt 1 bis 3 ?? bekomme ich ohne weiter Infos nicht hin.
Ich habe den kompletten Web Ordner auf meinen Rechner kopiert und nach Viren gescannt - nix

Punkt 4 ist ok
Punkt 5 ist ok

Punkt 6 Problem da ja die Domian gesperrt ist

Zur Info:
PHP-Version:5.2.17  (PHP-Info)MySQL-Version:5.5.31-logServer-Version:Apache/2.2.25 (Unix)

zu Punkt 6:

Ich habe meine noch funktionierende Domain mal auf den neuen Ordner umgeleitet,
um das Setup auszuführen aber wie schon gesagt bei dem Lizenzabkommen (Ja) danach geht es nicht weiter.
Es dauert etwa 30sec. dann kommt

Internal Server Error
The server encountered an internal error or misconfiguration and was unable to complete your request.
Please contact the server administrator, service@webmailer.de and inform them of the time the error occurred, and anything you might have done that may have caused the error.
More information about this error may be available in the server error log.

AlternativeComputing

#3
Zu 1 und 3:

hxxp://your-domain.tld/admin.php?op=banneredit&bid=2

Dort schauen wo das Bild liegt (lokal/extern) und welche URL (unter Seiten-Adresse:) dort eingetragen ist.
Die URL muß die sein, zu welcher Seite der Banner verweisen soll.

Z.b.: hxxp://www.max-mustermann.de die 2 xx stehen für die 2 tt. Hinter dem .de darf eigentlich nichts weiter stehen.
Es sei den die URL lautet hxxp://www.max-mustermann.de/forum, hxxp://www.max-mustermann.de/shop oder so ähnlich.

Wenn das Bild intern liegt (mit Spawfilemanager erreichbar) mit einer Lokalen (zu Hause, dein PC) Kopie ersetzen

zu 2:

mit phpMyAdmin die DB-Tabellen: mxDeinPrefix_banner und mxDeinPrefix_bannerclient auf Deinen PC exportieren und dann den Inhalt prüfen oder prüfen lassen.

<Edit>
zu dem
Zitat
Internal Server Error
The server encountered an internal error or misconfiguration and was unable to complete your request.
Please contact the server administrator, service@webmailer.de and inform them of the time the error occurred, and anything you might have done that may have caused the error.
More information about this error may be available in the server error log.

Schau Dir mal in Deinen HostingACP die PHP.ini Einstellungen an.
Und kontrolliere mal den Ordner Setup, ob auch alle Dateien hochgeladen wurden.

Zu Not nochmal löschen und neu hochladen. Aber nicht die gesicherte Kopie löschen.
</Edit>
MfG

Peter

leubsy

#4
Zu 1  Ok es gibt kein Bild      bid=2
? hxxp://your-domain.tld/admin.php?op=banneredit&bid=2 ?
Komisch es gibt banner aber keins mit bid=2 da kommt missing image

Zu 2 - wo finde ich diese DB

Zu 3
Ich habe meine funktionierende Domin umgeleitet,
und mich bei den beiden PragmaMx angemeldet, ich habe schon die aktuellen Versionen
CMS-Version:pragmaMx 1.12.3.1.33.4.14 (2012-06-21)PHP-Version:5.2.17  (PHP-Info)MySQL-Version:5.5.31-logServer-Version:Apache/2.2.25 (Unix)

Eigentlich frage ich mich wie weiter ??

Dieser Text kommt bei Chome:

Diese Website ist momentan als verdächtig eingestuft und kann Ihren Computer beschädigen.

Ein Teil dieser Website wurde aufgrund verdächtiger Aktivitäten in den letzten 90 Tagen 2 mal auf die Liste gesetzt.

Was ist passiert, als Google diese Website aufgerufen hat?
In den letzen 90 Tagen haben wir 2 Seiten der Website überprüft. Dabei haben wir auf 2 Seite(n) festgestellt, dass Malware (schädliche Software) ohne Einwilligung des Nutzers heruntergeladen und installiert wurde. Der letzte Besuch von Google war am 2013-08-05. Verdächtiger Content wurde auf dieser Website zuletzt am 2013-08-05 gefunden.
Die Malware umfasst 6 trojan(s).

Malware wird auf 2 Domain(s) gehostet (z. B. cameraair.biz/, milena-wein.de/).

1 Domain(s) fungiert/fungieren scheinbar als Überträger bei der Verbreitung von Malware an Besucher dieser Website (z. B. milena-wein.de/).

Diese Website wurde über 1 Netzwerk(e) gehostet (z. B. AS6724 (STRATO)).

Hat diese Website als Überträger zur Weiterverbreitung von Malware fungiert?
landtechnik-nuernberger.de hat in den letzten 90 Tagen scheinbar nicht als Überträger für die Infizierung von Websites fungiert.

Hat diese Website Malware gehostet?
Nein. Diese Website hat in den letzten 90 Tagen keine Malware gehostet.

Wie ist es zu dieser Einstufung gekommen?
Gelegentlich wird von Dritten bösartiger Code in legitime Websites eingefügt. In diesem Fall wird unsere Warnmeldung angezeigt.

Nächste Schritte:
Zur vorherigen Seite zurück
Falls Sie der Inhaber dieser Website sind, können Sie eine Überprüfung Ihrer Website hinsichtlich Malware beantragen. Benutzen Sie hierzu die Google Webmaster-Tools. Weitere Informationen über den Prüfprozess erhalten Sie in der Webmaster-Tools-Hilfe.



sorry viel Ahnung habe ich nicht, Freizeit Admin

trotzdem Danke für Deine Bemühungen

AlternativeComputing

MfG

Peter

AlternativeComputing

#6
Backup Datenbank für Strato Kunden:

http://www.strato-faq.de/431

<Edit>
Zu den Bannerproblem:

Lass das mal einen von uns anschauen
</Edit>
MfG

Peter

leubsy

Hast Du eine Handy Flat?  Wieso ?

Lass das mal einen von uns anschauen Wie wollen wir das machen ?

AlternativeComputing

Zitat von: leubsy am 07 August 2013, 07:08:33
Hast Du eine Handy Flat?  Wieso ?

Weil ich Dich besser per Telefon unterweisen/Supporten kann

Zitat von: leubsy am 07 August 2013, 07:08:33
Lass das mal einen von uns anschauen Wie wollen wir das machen ?

Leg mir nen Admin an und schick mir die Daten inkl. ULR per PM.
MfG

Peter

leubsy

Hallo Ich hatte eine PM geschickt ist was angekommen ?

Also Strato hat die URLs wieder freigeschaltet.
Ich habe erstmal noch keine Inhalte auf den Domains, bis ich sicher bin was das war.

viele Grüße Frank

AlternativeComputing

Ja kam an, melde mich nachher noch mal
MfG

Peter