HTaccess Datei ändert sich ständig auf Server

Hallo an alle,

und zwar hab ich folgendes Problem.

Die Website wird ständig von einem Virus befallen oder was auch immer das ist.

Also jedesmal wird meine htaccess datei automatisch geändert sobald ich die verweise lösche. denn wenn man auf google die website sucht und dann draufdrückt kommt man nicht auf die eigentliche website sondern auf die vom virus eingetragene adresse. (irgend ein russischer verweis)... was kann ich dagegen tun? ständig wenn ich die htaccess datei änder wird sie nach 5min automatisch wieder geändert -.-

hilfeee

Hi

gehts um einen Webspace/vServer/Rootserver?

Also die Website ist bei Strato angemeldet.

über FileZilla geh ich in den FTP Server rein.

Hilft dir das etwas? Der Server war mal mit Viren befallen, dass waren so komische HTML und ZIP Dateien. ich hab die alle entfernt und dann lief die website wieder normal und auf google wurde sie dann auch gefunden usw.

so nach ner woche ungefähr gings dann auf einmal los das die HTaccess datei geändert wurde. darauf hin hab ich den alten stand wiederhergestellt dann ging alles wieder. Plötzlich ändert sich die datei jetzt jede 5 minuten sodass es mir nix bringt sie jedesmal wiederherzustellen.

Hi,

wenn du keinen Root-Zugang zu der Seite hast, dann zieh dir ein Backup aller relevanten Daten (MySQL, FTP etc.) und schreib den Strato Support an.

Grüße,
BK

Hört sich nach einem Wurm an. Erstens sind die Dateirechte Falsch gesetzt und zweitens hast du wohl eine Sicherheitslücke.

Wechsle das Passwort deines Hostingpanels bei Strato und dein FTP Passwort. Alle FTP Zugänge die du nicht brauchst löscht du.

PHP läuft bei Strato normalerweise als Fast/CGI. Die Rechte sollten für Verzeichnisse 505 und für Dateien 404 sein. So kann schonmal keiner mehr was ändern.

Wenns Probleme gibt, meld dich einfach.

WebSchutz hat gesagt.:

[...]Die Rechte sollten für Verzeichnisse 505 und für Dateien 404 sein. So kann schonmal keiner mehr was ändern.[...]

Zum Vergrößern anklicken....

Hi,

du meinst wohl 550 für Verzeichnisse und 440 für Dateien? Grundsätzlich denke ich aber, dass die Dateirechte für dieses Problem eher zweitrangig sind. Meine Vermutung: Über eine Sicherheitslücke in der Webseite hat sich der Angreifer eine PHP-Shell installiert und sich von dort aus dann mit Root-Rechten etwas installiert.

So wie ich den Thread verstehe passiert die Umleitung über die neue .htaccess ja instant, quasi ohne Verzögerung. Dies ist per FTP / PHP fast nicht möglich, zumal der Angreifer eine dauerhafte Verbindung mit dem Server aufrecht halten müsste. Und genau so was versucht man ja zu vermeiden als böser Bengel

Grüße,
BK

Also ich hab auch die Zugangspasswörter zu FTP geändert.. funktioniert alles nicht.

Und in der HTaccess datei werden immer so verweise auf russische seiten reingeschrieben.

es kommt direkt automatisch nachdem ich es gelöscht hab und meine alte htaccess datei draufgeladen habe.

echt nervig... liegt das an strato das die mir ein neuen webserver draufschmeissen müssen oder wie?

Bratkartoffel hat gesagt.:

Hi,

du meinst wohl 550 für Verzeichnisse und 440 für Dateien? Grundsätzlich denke ich aber, dass die Dateirechte für dieses Problem eher zweitrangig sind. Meine Vermutung: Über eine Sicherheitslücke in der Webseite hat sich der Angreifer eine PHP-Shell installiert und sich von dort aus dann mit Root-Rechten etwas installiert.

So wie ich den Thread verstehe passiert die Umleitung über die neue .htaccess ja instant, quasi ohne Verzögerung. Dies ist per FTP / PHP fast nicht möglich, zumal der Angreifer eine dauerhafte Verbindung mit dem Server aufrecht halten müsste. Und genau so was versucht man ja zu vermeiden als böser Bengel

Grüße,
BK

Zum Vergrößern anklicken....

Hi
Nein ich meinte schon 505 und 404, das sind die korrekten Rechte bei Fast/CGI. Wenn die Rechte richtig gesetzt sind, kann der Angreifer auch keine PHP Shell hochladen. Ausser der Server ist wirklich gerooted. Was ich mir bei Strato nicht vorstellen kann. Aber ausgeschlossen ist natürlich nichts.

Gruß Christian

@Christian:

Warum sollte ich einer Datei / einem Verzeichnis für _alle_ Leserechte einräumen, jedoch nicht für die Gruppe? Für mich sieht das relativ sinnlos aus, da du damit jedem Leserechte einräumst ausser der Gruppe der Datei. Wenn dann schon 500, respektive 400 macht da schon mehr Sinn, wobei dies jetzt für das Problem eh unterheblich ist.

Den gegebenen Informationen nach sieht es aber wirklich so aus, als ob die Kiste gerootet wurde. Wie gesagt, schreib mal den Strato Support an, die sollen sich den Server mal genauer anschauen.

Gruß,
BK

Das selbe Problem hatte ich bei einem anderen Projekt auch. Hauptsächlich im Woltlab-Verzechnis (Forum). Das ging soweit, dass ich die gesamte Seite mit eigenen htaccess-Seiten sperrte und die Adresse vom Forum versteckte (statt: mein.domain.de/forum/ sowas wie xyz.meine_domain.de). Diese Adresse kannten nur wenige User. Aber ohne Erfolg.

Ich hatte viel Kontakt mit dem Support, weil es immer wieder passierte. Als ich die infizierten Dateien auf meinen PC via FTP zog, meldete mein Anti-Viren-System sofort Alarm. Daraufhin löschte ich alle Daten auf dem Server und empfahl dem Hoster eine Virenprüfung. Allerdings ohne Erfolg.

Weil ich ohne SFTP gearbeitet habe sondern nur mit FTP, geh ich mittlerweile davon aus das die IP (Leitung) abgehört wurde. Denn egal wie oft ich das Kennwort änderte (auch über anderen PC's), es passierte immer wieder. Auch war mein FTP-Programm FileZilla, jedoch bin ich auf WinSCP umgestiegen (siehe Link).

Wobei es wohl nicht am Programm lag, sondern daran das ich FTP statt SFTP für diesen einen Server genutzt hatte. Denn ich habe viele Projekte und nur das mit FTP war befallen. Evtl. hat es auch etwas mit Woltlab zu tun, denn dieser Virus wird nach Recherchen oft in Verbindung mit Woltlab gebracht. Jedoch sagt Woltlab, dass es nicht am Forum liegen kann...

Edit:
Was der Virus bei mir noch verursacht hat, waren Änderungen an der Index.php. In der ersten Zeile war eine lange verschlüsselte Zeile, die vermutlich die htaccess-Datei neu setzt.