Oh, nein, nicht schon wieder: Zombie-Alarm

Monde de
#1

Lieber Klaus

Liebe Kolleginnen, Kollegen

Die lustigen Zombies sind wieder zurück, obwohl ich einen Update auf 3.0.17 gemacht habe ... ich werde die Situation nochmals analysieren müssen ...

- Angriff auf die Agenda, ca. 70 - 80 der titres der Kalendereinträge wurden mit einem iframe

<iframe src="http://zonehmirrors.org/defaced/2014/12/04/www.incineration.org/www.incineration.org/"

style="border: 0; position:fixed; top:0; left:0; right:0; bottom:0; width:100%; height:100%">

ergänzt ...

Bei den letzten Angriffen wurde das identische Iframe irgendwo in die articles-Rubrik der DB einkopiert.

Habe die verdächtigen Stellen gelöscht, aber die Sicherheitslücke besteht anscheinend immer noch. Oder ist das im Plugin Agenda?

Ich kläre ab und melde mich wieder ...

:frowning:

Sowas blödes!

Schöne Grüsse, Nicholas

#2

Hallo Nicholas,

anscheinend ist Großreinemachen angesagt, denn der Schädling ist anscheinend noch aktiv :

1. Ein sauberes System zum Arbeiten einsetzen (frisch installiertes Betriebssystem ?).

2. Einen Abzug von Server und Datenbank erstellen.

Damit können Inhalte wieder hochgeladen werden und - falls Zeit ist - ein wenig Forensik gemacht werden.
Im Prinzip sollte jedes Glied der Bearbeitungskette (eigener PC mit allen Programmen, FTP-Server usw.) neu aus sauberen Quellen eingespielt werden.

Vorher alle Daten / Skripte vom Server löschen, eigenen PC auf Viren und Würmer checken, u.U. Betriebssystem nach Formatierungs der Platten neu aufsetzen, alle Zugangsdaten zum Server vone einem nicht kompromittierten Sytem aus neu setzen.

3. Server neu aufsetzen (SPIP + Plugins installieren, Daten aus Backup von Datenbank und IMG-Verzeichnis zurückspielen, Verzeichnis /squelettes und eigene Skripte wieder herstellen, natürlich erst nach Prüfung auf Schädlinge)

grusz :-)k++