Am 27.02. gegen 17:00 Uhr startete ein ziemlich heftiger Angriff auf meine Webseiten. Vermutlich wurde einer meiner Rechner trotz aktuellem Virenscanner mit Malware infiziert und so wie es aussieht, wurden FTP-Zugangsdaten zu den meisten meiner Server ausgespäht.

Kurze Zeit später waren auf fast allen meinen Servern die index.php und index.html Seiten verändert worden.
Gegen 19:15 Uhr bemerkte ich die Infektion und nahm alle Seiten sicherheitshalber vom Netz um (weiteren) Schaden zu vermeiden.

In die Index-Seiten war ein IFRAME auf den Server http://betstarwager.cn/ eingebettet worden. Die Parameter lasse ich sicherheitshalber weg.

Dieser IFRAME verzweigte dann zu folgenden Servern (bitte den Link nicht öffnen!)

http://ilahiyat-fakultesi.com

http://abfintour.ru

und

http://64.191.72.53

Es wurde dann versucht, über diese beiden URL dem Besucher einen Trojaner (einen Passwort-Stealer) unterzuschieben.

Das Wochenende habe ich damit verbracht alle infizierten Dateien zu entseuchen bzw. die Seiten durch meine Datensicherungen wieder herzustellen.

Wie es aussieht war das einzige Angriffsziel die Index-Dateien. Meine Datenbanken oder andere Dateien wurden nicht verändert bzw. ausgespäht.

Ich habe jetzt alle meine Index.php – Dateien um ein kleines Script-Snipplet ergänzt. Zunächst wird die Größe der Index.php ermittelt und mit dem gespeicherten Wert verglichen. Wird eine Veränderung festgestellt erhalte ich ein Mail und das PHP-Script terminiert. Damit wird zumindest diesem Angriff ein Riegel vorgeschoben.