Hackerangriff: Entsperrung durch clean.txt

Wird ein Skript gehackt und zur Verbreitung von Schadsoftware missbraucht, müssen wir es sperren. Bislang konnte die Entsperrung ausschließlich über unsere Technikabteilung erfolgen, ab sofort bieten wir unseren Kunden die Möglichkeit, die Sperrung nach der Bereinigung des Webspaces selbst aufzuheben.

Ursachen eines Hackerangriffs, Bereinigung des Webspaces

Ein erfolgreicher Hackerangriff kann verschiedene Ursachen haben. In den meisten Fällen jedoch gelingt es den Angreifern, über veraltete Software in das System zu gelangen oder den Schadcode via FTP hochzuladen, nachdem ein Trojaner die Zugangsdaten dafür ausgelesen hat. Dies hat zur Folge, dass wir den Webspace (oder Teile davon) sperren müssen, um die Verbreitung von schadhafter Software über unsere Webserver zu vermeiden.

Sperrung bei Hackerangriff

Erfolgt eine Sperrung aufgrund schadhafter Skripte, senden wir Ihnen dazu selbstverständlich detaillierte Informationen zu dem Hackerangriff per E-Mail. Außerdem laden wir eine Datei mit dem Namen „infiziert.txt“ auf den Webspace. In dieser finden Sie alle Angaben zu dem von uns gefundenen Schadcode. Bitte prüfen Sie die genannten Dateien unverzüglich und entfernen Sie den gefundenen Schadcode.

Anschließend muss natürlich noch die Sicherheitslücke geschlossen werden. Aktualisieren Sie dafür die von Ihnen genutzte Software inklusive aller Erweiterungen und ändern vorsichtshalber Ihr FTP-Passwort im Kundenmenü über den Menüpunkt „FTP-Accounts“, um einem weiteren Hackerangriff vorzubeugen.

Nun kann die Sperrung wieder aufgehoben werden.

Voraussetzungen für eine automatische Entsperrung

Ob Sie die Entsperrung automatisch durchführen können oder ob diese durch unsere Technikabteilung erfolgen muss, hängt von verschiedenen Faktoren ab:

Die Entsperrung kann automatisch erfolgen, wenn…

  • … kein Schadcode mehr im gesperrten Verzeichnis vorhanden ist
  • … die Sperrung aufgrund schadhafter Skripte erfolgt ist (nicht z.B. wegen Überlastung)
  • … keine individuellen Gründe (Sonderfall) vorliegen

Die Entsperrung kann nicht automatisch erfolgen, wenn…

  • … der Schadcode nicht (komplett) entfernt wurde
  • … die komplette Domain oder die Nameserver wegen Phishing gesperrt wurden
  • … die clean.txt älter als 30 Minuten ist

Ob eine automatische Entsperrung möglich ist, können Sie der Sperrmitteilung entnehmen, die wir per E-Mail mit Informationen zu dem Hackerangriff senden. Bitte beachten Sie dabei die Anweisungen bei „Aufheben der Sperre“ – hier teilen wir Ihnen mit, ob Sie die Sperrung selbst aufheben können oder ob dafür unsere Technikabteilung kontaktiert werden muss.

Durchführung der automatischen Entsperrung

Ist eine automatische Entsperrung möglich, können Sie diese wie folgt durchführen:

Legen Sie nach der Bereinigung des gehackten Verzeichnisses eine Datei mit dem Namen „clean.txt“ an, die sich exakt in dem Verzeichnis befindet, das aufgrund des Hackerangriffs gesperrt wurde. Das Verzeichnis teilen wir Ihnen in der E-Mail mit. Die Datei benötigt keinen Inhalt, es wird nur der Name der Datei geprüft.

Beispiel:

Das Verzeichnis /kunden/xxxxx_xxxxx/verzeichnis1/ wurde gesperrt.

Richtig:
/kunden/xxxxx_xxxxx/verzeichnis1/clean.txt

Falsch:
/kunden/xxxxx_xxxxx/clean.txt
/kunden/xxxxx_xxxxx/verzeichnis1/verzeichnis2/clean.txt

Wurde die Datei korrekt angelegt, erfolgt die Entsperrung automatisch innerhalb der nächsten 15 Minuten. Falls es dabei zu Problemen kommt und die automatische Freischaltung nicht durchgeführt wird, antworten Sie bitte auf die E-Mail, die Sie von unserer Technikabteilung bezüglich des Hackerangriffs erhalten haben oder kontaktieren uns über den Menüpunkt „Kundenservice“ in Ihrem Kundenmenü.

End of article

Anna Philipp

Über den Autor

Anna Philipp

Anna arbeitet seit 2006 bei DomainFactory. Als Social Media und Content Manager vertritt sie DF in den sozialen Netzwerken (Facebook, Twitter, Googleplus und natürlich im DF-Blog). In ihrer Freizeit findet man Anna - sofern sie mal nicht online ist - höchstwahrscheinlich zwischen Rührschüsseln und Schneebesen am Backofen.

31 Kommentare

Bitte füllen Sie das Captcha aus : *

Reload Image

Die von Ihnen hier erhobenen Daten werden von der domainfactory GmbH zur Veröffentlichung Ihres Beitrags in diesem Blog verarbeitet. Weitere Informationen entnehmen Sie bitte folgendem Link: www.df.eu/datenschutz


  • Anonymous
    Anonymous - 3. März 2015 um 11:34 Uhr

    Überlastet ihr nicht dadurch euer Server, wenn ein Kunde z.B. sehr viele Unterverzeichnisse hat.
    Dann bin ich mal gespannt wann mein DomainGo-Account wegen Überlastung gesperrt wird, aktuell sind da einige tausend Verzeichnisse drin.

    • Anna
      Anna - 3. März 2015 um 11:37 Uhr

      Keine Sorge, wir haben die neue Prüfung ausreichend getestet, Serverüberlastungen sind dadurch nicht zu erwarten.

      Eine Sperrung wegen Überlastung an sich ist wieder ein anderes Thema – sollten sich durch Ihre Verzeichnisstruktur generell einmal Probleme geben, würde sich unsere Technikabteilung bei Ihnen melden.

  • Sepp
    Sepp - 3. März 2015 um 12:14 Uhr

    Wie kann man eigentlich prüfen, ob Schadcode wirklich vollstänig entfernt wurde? E sgibt ja keinen Virenscanner, den ich übers Kundenmenü oder so starten kann, der mir die bösen Scripte nennt?

    Grüße,
    Odde23

    • Anna
      Anna - 3. März 2015 um 12:24 Uhr

      Sie können die Daten lokal herunterladen und einen Virenscan machen oder uns kurz Bescheid geben, dann prüfen wir den Webspace gerne!

      • Sepp
        Sepp - 3. März 2015 um 12:44 Uhr

        Können Sie einen Virenscanner für Webscripte empfehlen? Ein normaler Desktop-Scanner wird da normal nicht anschlagen, oder?

      • Anna
        Anna - 3. März 2015 um 13:21 Uhr

        Wir empfehlen da die Seite http://www.botfrei.de – dort finden Sie aktuell empfohlene Software und zahlreiche Tipps zu dem Thema!

      • IT Dienstleistungen - A. Herbert
        IT Dienstleistungen - A. Herbert - 15. Dezember 2017 um 09:21 Uhr

        Ja, man kann die Daten lokal auf Viren prüfen, dies gelingt aber nicht unter jedem Umstand.

        Beispiel AntiVir soll eine CMS prüfen. Solange das CMS weder installiert ist, noch der PHP Interpreter aktiv, werden die wenigstens Infektionen erkannt. Es ist schon notwendig, das CMS für lokale Prüfung lokal zu installieren.

        Aber: einer meiner Gründe, immer wieder dF zu empfehlen ist, dass man hier Infektionen professionell angehen kann, dies ist bei keinem anderen Anbieter auch nur ansatzweise vergleichbar. Bei den meisten dauert es Tage, bis der Support nach Bereinigung einer Infektion den Webspace wieder freigibt. Anregungen, diese Funktion zu integrieren, sind bis dato leider unbeantwortet und ohne Integration, schade und gut für dF.

        Botfrei AntiVir Produkt kann ich nur wärmstens bei generellen Bedenken bzgl. der Sicherheit empfehlen, dieser ist nach Vorgaben der EU entwickelt worden und erfüllt unter anderem alle relevanten Punkte der Gesetzgebung. Ob sich mit Botfrei AntiVir Clean EU PHP Hacks erkennen lassen, werde ich mal prüfen.

        Schönes Wochenende da draußen!
        Alex

      • Nils Dornblut
        Nils Dornblut - 16. Dezember 2017 um 15:53 Uhr

        Danke für den schönen Kommentar. Freut uns, dass Sie zufrieden sind.

        Ebenfalls ein Schönes Wochenende 🙂

  • Andreas | ad1601com
    Andreas | ad1601com - 3. März 2015 um 12:16 Uhr

    Sehr cool, Danke!

  • Elias
    Elias - 4. März 2015 um 12:15 Uhr

    Sehr schön – habe davon am Wochenende schon Gebraucht gemacht.
    Eine weitere Verbesserung wäre eine Datei „rescan.txt“, die ohne die Technik kontaktieren zu müssen, einen erneuten Scan des Verzeichnisses auslöst.

    • Sepp
      Sepp - 4. März 2015 um 12:34 Uhr

      Weiterer Verbesserungsvorschlag:
      Das Ergebnis des Scans wird dann in die Datei rescan.txt ausgegeben.

    • Anna
      Anna - 4. März 2015 um 13:38 Uhr

      Danke für die Vorschläge – ist an die Technik weitergegeben!

      • Elias
        Elias - 14. September 2016 um 21:47 Uhr

        … was ist damals eigentlich bei der Prüfung durch die Technik rausgekommen?

  • Pascal
    Pascal - 9. Dezember 2015 um 21:11 Uhr

    Sehr gut! Davon abgesehen, dass dem Scanner einige höchstgradig verschleierte Schadcodes durch die Lappen gegangen sind (normal), hat das bestens funktioniert – ich bin begeistert.
    Da können sich die Mitbewerber, bei denen die Freischaltung gerne mal 3 Tage oder länger dauert, ruhig mal eine Scheibe von abschneiden.

    • Anna
      Anna - 10. Dezember 2015 um 10:04 Uhr

      Danke für das schöne Feedback! Es freut uns, dass Ihnen unser Vorgehen gefällt!

    • Andreas D. | ad1601com
      Andreas D. | ad1601com - 11. Januar 2016 um 14:31 Uhr

      Auch wenn ich nicht dF bin =)

      Wenn Deine Scripte durch eine automatisierte Attacke angegriffen worden sind, freut sich das Abuse-Team vermutlich, wenn du ihm die Dateien zur Verfügung stellst. Dann können hier die Signaturen aktualisiert werden.

      Grüße
      Andreas

      • Pascal | website-bereinigung.de
        Pascal | website-bereinigung.de - 12. Januar 2016 um 11:14 Uhr

        Hi Andreas,

        beim Sammeln von Signaturen kann man sich ranhalten. Für mich selbst und an anderer Stelle mache ich das bereits.
        Die Kreativität kennt keine Grenzen – jede Woche neue Muster. Insbesondere wenn es Aktivitäten über den automatisierten Erstangriff hinaus gibt, wird es schwierig bis unmöglich das ohne manuelle Analyse in den Griff zu kriegen. In vielen Fällen wird durch die rechtzeitige Sperrung schlimmeres verhindert.
        df ist schon sehr gut dabei, was die Erkennung von üblichen/massenhaft vorzufindenen Signaturen angeht.

        Gruß

        Pascal

  • Günne
    Günne - 1. Januar 2016 um 19:31 Uhr

    Vielen Dank für den tollen Service. Hat alles super geklappt. Die infizierten Dateien sind gelöscht und die unberechtigten Benutzer aus des System verbannt. Hoffentlich auf Dauer. mfg

    • Nils Dornblut
      Nils Dornblut - 3. Januar 2016 um 16:44 Uhr

      Freut uns sehr, dass es bei Ihnen wieder läuft. Absolut entscheidend sind schnelle Updates in solchen Fällen.

  • Alexander Kirchner
    Alexander Kirchner - 4. Januar 2016 um 12:08 Uhr

    Habe heute eine Mail bekommen, dass meine Webspace infiziert sei.

    Also Hinweise wie „Bei einer Prüfung Ihres Webspace konnten wir noch weitere möglicherweise schadhafte Skripte finden“ nützen mir nichts. Soll ich meine kompletten Account mit 5 Domains löschen?
    Haben sie irgend einen Beweis dafür, dass mein Account gehackt wurde?

    Die Datei infiziert.txt ist leer.
    Ich habe die angegebene Datei im angegebene Verzeichnis gelöscht. Ich habe die Datei clean-txt in das angegeben Verzeichnis gestellt. Die Datei wurde nicht innerhalb der 30 Minuten registriert, nun ist sie veraltet.

    Meine Domains (ALLE) sind nach wie vor gesperrt.
    Und jetzt?

    • Pascal
      Pascal - 4. Januar 2016 um 12:15 Uhr

      Ggf. mal die clean.txt löschen/neu erstellen?
      Spätestens das hat bei mir immer geholfen, vorausgesetzt es gibt keine weiteren Funde.

      • Alexander Kirchner
        Alexander Kirchner - 4. Januar 2016 um 12:21 Uhr

        Ich weiss ja nicht ob es Funde gibt und welche Dateien ich löschen soll.

      • Alexander Kirchner
        Alexander Kirchner - 4. Januar 2016 um 12:30 Uhr

        Außerdem machst du hier Schleichwerbung über deinen Profilname. Ob DF das will?

      • Nils Dornblut
        Nils Dornblut - 4. Januar 2016 um 12:51 Uhr

        Es ist natürlich kein Problem, wenn man hier eigene Webseiten angibt und es sich nicht um Posting handelt, die nur der Werbung dienen. In dem Fall hier ist es völlig klar, dass es sich um eine normale Supportanfrage handelt.

      • Pascal
        Pascal - 4. Januar 2016 um 13:36 Uhr

        Ich versuche eigentlich nur zu helfen.
        Mit dem Theme ist scheinbar was nicht i.O.. -> Dateien anschauen, Vergleich mit einem Backup oder dem Original. Lokal geht das z.B. per WinMerge gut.

        Je nach Qualität/Kreativität der Schadcode Verschleierung bei einem Hack sind die meisten Scanner machtlos – man kann sich nicht darauf verlassen.

        Noch ein paar sachdienliche Tipps zur WordPress Sicherheit/Instandsetzung:
        Die Plugins Wordfence und Sucuri sind hilfreich, um eine gehackte Installation auf Vordermann zu bringen. Beide scannen das filesystem mehr oder weniger grob. In den Wordfence Options noch den Vergleich der Plugin/Theme Dateien aktivieren..

        WordPress Runderneuerung:
        – Alles bis auf /wp-content und wp-config.php löschen, mit den Dateien/Verzeichnissen aus dem der alten /wp-includes/version.php entsprechenden Originalarchiv ersetzen (Core auffrischen).
        – wp-content (insbes. uploads) auf verdächtige php files checken
        – Core + Plugins aktualisieren

        Per Sucuri Plugin lassen sich unter Post-Hack die free Plugins zurücksetzen/neuinstallieren -> Reset Plugins. Einstellungen bleiben erhalten. Evtl. in den plugins hinterlegte backdoors sind damit bereinigt.
        Wenn dann noch das Theme wie erwähnt mit einem Backup oder dem Original verglichen wurde, genau wie die Premium Plugins, kann man sich sicher sein, dass alles sauber ist und bleibt.

        Die Wartung wurde wohl bisher ein bisschen vernachlässigt..?
        Wer WordPress + Plugins permanent „rundum“ aktuell hält, hat i.d.R. keine Probleme. Das gilt für jedes CMS.

    • Nils Dornblut
      Nils Dornblut - 4. Januar 2016 um 12:17 Uhr

      Bitte antworten Sie direkt auf unsere E-Mail. Die Technik schaut sich das dann unmittelbar an und wird Ihnen helfen. Tut uns leid, wenn der Pfad nicht direkt mitgeteilt wurde. Im System ist dieser verzeichnet und es geht um ein infiziertes Theme in einer WordPress-Installation einer Domain die mit nachdenken zu tun hat. Details gerne dann persönlich.

      • Alexander Kirchner
        Alexander Kirchner - 4. Januar 2016 um 12:22 Uhr

        Ja, laut Mail geht es um die think-about aber gesperrt wurde mein kompletter Account.

      • Nils Dornblut
        Nils Dornblut - 4. Januar 2016 um 12:52 Uhr

        Wir schauen uns das gerne an und klären entsprechend auf. Dies geht aus Datenschutzgründen aber am besten über eine E-Mail-Antwort auf die ursprüngliche Meldung.

  • adalko
    adalko - 7. Januar 2016 um 12:42 Uhr

    Eine Anmerkung bzw. Frage zum Umgang mit der Datei clean.txt:

    Kann bzw. soll diese Datei nach erfolgreicher Entsperrung wieder gelöscht werden, oder wird das im Zuge der automatisierten Scans erledigt?
    Hintergrund: Ich hatte nach erstmaliger erfolgreicher Säuberung – Domain war wieder erreichbar – die Datei entfernt. Am nächsten Tag war die Domain dann wieder gesperrt. Nachdem die Datei wieder erstellt wurde, war die Domain dann nach kurzer Zeit wieder online…

    • Pascal
      Pascal - 7. Januar 2016 um 12:52 Uhr

      Die clean.txt darf nicht älter als 30 Min. sein, siehe Artikel.

      Kann und sollte anschließend (der Übersichtlichkeit halber) gelöscht werden.

    • Nils Dornblut
      Nils Dornblut - 7. Januar 2016 um 13:05 Uhr

      Eine Löschung der Textdatei durch uns erfolgt im Regelfall nicht und auch nicht automatisiert

      Wenn das Änderungsdatum der Datei älter als 30 Minuten ist, erfolgt keine Entsperrung. Daher vermuten wir, dass Sie erneut gehackt wurden oder nicht alles gesäubert wurde. Danach wurde dann erneut Malware gefunden und von uns wieder gesperrt.

      Eine erneute Sperrung ohne Grund gibt es automatisch nicht. Die Sperrungen erfolgen immer manuell durch uns. Bei gehäuften Sperrungen ist nur noch eine Entsperrung über die Technik möglich, das schreiben wir dann aber in die Nachricht.

      Gerne können Sie sich über das Kundenmenü oder über das Anschreiben an uns wenden. Dann können wir Ihnen im Detail sagen, welche infizierte Datei die erneute Sperrung ausgelöst hat und auch wann wir die Nachricht dazu an Sie versendet haben.