Bekam eine Virenwarnung vom Hoster

Posted: 2010-06-24, 11:45 Bekam eine Virenwarnung vom Hoster

Undzwar bekam ich gerade eine Mail vom Hoster die besagte:

Posted: 2010-06-24, 13:45 (No subject)

1. Aktualisiere Deine Dumper-Installation bitte vom Release Candidate 1 auf die letzte verfügbare Version 1.24stable
2. Gibt es in einer Standard-Installation des MySQLDumpers keine Datei "locate.php"

Es könnte höchstens sein, dass jemand deine FTP Zugangsdaten ausgespäht hat und eine virenverseuchte Datei eingeschleust wurde.

Oder Du hast die Installationsdateien des Dumpers von einer nicht sicheren Quelle (also von ausserhalb www.mysqldumper.de) heruntergeladen und in dieser Installaion war die verwanzte Datei enthalten.

Posted: 2010-06-24, 13:59 (No subject)

Die Version lade ich immer nur hier und nirgends anders.

Wird der Ordner überhaupt gebraucht? Sonst lösche ich ihn ganz. Weil rein komme ich ja nicht.

da ich auf der Startseite sah, dass bald die bneue Version da sein wird ( kannste mir sagen wann inetwa? ) machts ja keinen Sinn jetzt nochmal die letzte Version zu installieren, es sei denn das wird noch etliche Zeit dauern bis das neue Release rauskommt.

Posted: 2010-06-24, 16:09 (No subject)

Es macht immer Sinn, eine stabile Version einer Software zu nutzen. Ein Release Candidate ist ja gerade dafür da, eingeschlichene Fehler bei einer neuen Version erst zu lokalisieren. Bei der Version 1.24 gab es glaube ich insg. 9 RC Versionen, bevor die Rückmeldungen der Anwender zur Freigabe der stabilen Version geführt haben.

Bis die Version 1.25 rauskommt wird es sicherlich noch einige Zeit dauern, da intern wirklich viel umgestellt und erweitert wurde. Einen Termin kann ich Dir noch nicht dazu geben. Es wird aber sicherlich wieder so sein, dass es zunächst eine Beta-Version geben wird, die die Anwender testen sollen, bevor es eine neue, stabile Version geben wird.
Auch jetzt schon kann man sich die Entwicklerversion installieren und damit experimentieren. Für den produktiven Einsatz ist diese Version aber - ebenso wie die Version 1.24 RC 1 - nicht gedacht.

Das Verzeichnis /work/config wird auf jeden Fall benötigt. Unterverzeichnisse gibt es dort aber nicht. In dem Verzeichnis werden nur die verschiedenen Konfigurations-Dateien abgelegt.

Ich würde Dir raten, die Version 1.24stable neu runterzuladen und in einem eigenen Ordner neu zu installieren auf Deinem Webspace. Dann kannst Du den alten Ordner (mit dieser Viren-Datei) komplett löschen.

Posted: 2010-06-24, 16:33 (No subject)

Alles klar. Wird gemacht. Ich bekomme aber patu nicht den alten Ordner gelöscht. Also da wo diese Datei drin steckt bekomme ich nicht runter.
Habe den Rest aus dem Ordner weg nur eben den Pfad nicht und ich kann da ja auchnicht rein.

Ich installiere den neuen Dumper, also die stabile Version in einem anderem Ordner. Haste eine Idee was ich tun kann? Hoster anmailen, dass er versuchen soll den Ordner zu entfernen?

Das FTP Progrogramm spuckt fortlaufend diesen Fehler aus, wenn die das Verzeichniss löschen will :

Status: Empfange Verzeichnisinhalt...
Befehl: CWD /htdocs/dumper/work/config
Antwort: 250 Directory successfully changed.
Befehl: PWD
Antwort: 257 "/htdocs/dumper/work/config"
Befehl: CWD data
Antwort: 550 Failed to change directory.
Fehler: Verzeichnisinhalt konnte nicht empfangen werden

Posted: 2010-06-24, 19:11 (No subject)

Vielleicht bietet Dir Dein Hoster einen Online-File-Adminstrator mit dem es geht? Ansonsten wende Dich direkt an ihn, mit der Bitte den entsprechenden Ordner vollständig zu löschen.

Du solltest aber unbedingt rausbekommen aufgrund welcher Lücke das Einschleusen der Dateien möglich war. Ansonsten bist Du in wenigen Stunden bis Tagen wieder verseucht, da die Lücke ja immer noch offen ist und wieder benutzt werden kann, um Dir Dateien unterzuschieben.

Es muss nicht unbedingt so sein, dass Dein lokaler PC infiziert ist, sondern das kann auch durch Sicherheitslücken in Online-Software passieren.
Hast Du alte Versionen von anderer Software auf dem Webspace installiert?

Die meisten User machen sich keine Gedanken und aktualisieren ihr Joomla oder Wordpress z.B. nicht, obwohl Sicherheitslücken bekannt werden und wundern sich dann, wie so etwas auf ihrem Webspace passieren kann.

Updates sollten von jeder Software umgehend eingespielt werden! Oder zumindest sollte man bei jeder Veröffentlichung im Changelog nachschauen, ob sicherheitsrelevante Dinge gefixt wurden.

Posted: 2010-06-24, 20:46 (No subject)

DSB,

ich hatte mal einen Eindringling in meinem Forum ,- was aber immer auf dem Laufendem gehalten wird.
Da kam einer ins ACP , änderte die Syles und so. Kann sein, dass der wie auch immer irgendwie was einbringen konnte.
Sicherheitslücke war aber gefunden worden und seitdem habe ich im acp und anderen Ordnern .htaccess Dateien liegen.
Meine FTP Software ist auch keine gecrackte oder so,- nutze FileZilla, welches ja Freeware ist.

Ich habe den Dumper nun ein in Verzeichniss kopiert welches man nichtmehr erraten kann.

Den Kundenservice schrieb ich mal an, ob sie dann das Verzeichniss mir weglöschen können.

Posted: 2010-06-24, 20:50 (No subject)

Posted: 2010-06-24, 20:57 (No subject)

Klar ;-)

Posted: 2010-06-24, 21:09 (No subject)

OK, das ist schon mal gut.

Du solltest aber dennoch schauen, dass Du die Lücke findest. Server-Access-Logs helfen da schon mal. Wink

Posted: 2010-06-24, 21:13 (No subject)

Ich habe ja keine Idee seid wann das so ist. das wird wohl schon länger so sein.
Normal müsste das Internetrecht schon weiter sein, so dass man durch die digitalen Spuren in Form von IPs die die Hacker hinterlassen man diese Leute Anzeigen kann.

Aber da wird wohl auch eine zu große Sicherheitsfirmen Industrie hinterstecken.

Posted: 2010-06-24, 21:17 (No subject)

Posted: 2010-06-24, 22:08 (No subject)

Naja egal, Schwamm düber.

Posted: 2010-06-25, 18:08 (No subject)

Wie gesagt, wenn Du der Sache nicht nachgehst, musst Du Dich nicht wundern, wenn Du bald wieder infiziert bist.