2017-03 - freie Programmierung in PHP
Die betroffene Seite wurde vor über 10 Jahren frei programmiert in PHP. Dabei wurde kein PHP-Framework verwendet. Für clientseitige Funktionen, z.B. für die Validierung von Kontaktanfragen, wurde JQuery verwendet.
Dennoch hat die Postausgangskontrolle im Plesk ein Überschreiten der Grenzwerte gemeldet.
Über 50 Emails pro Stunde sind nicht normal! Die zugelassenen max. 10 pro Stunde für ein Postfach wurden hier ausgehebelt, weil nicht über smtp versendet wurden, sondern mit dem PHP-Mailer. Somit wurde erst bei erreichen des Grenzwertes für die gesamte Domain Alarm geschlagen.
Bei der Untersuchung der Webseite sind sofort mehrere Indizien dafür aufgefallen, dass die Seite gehackt wurde.
Wichtig!
Als Sofortmaßnahme wurde die Seite vom Netz genommen und der FTP-Zugang geändert.
Fehleranalyse und Maßnahmen zur Absicherung der Webseite
Wenn die akute Gefahr erst einmal behoben ist, indem der Server vom Netz genommen wurde bzw. die entsprechende Webseite gesperrt wurde, kann mit der Fehleranalyse begonnen werden.
Was ist passiert und was ist zu tun, damit es nicht wieder passiert?
Bei der lokalen Sicherung der Seite für eine Fehleraufklärung hat Micosoft Security Essentials mehrere Male wegen BackDoor:PHP/Small.M Alarm geschlagen und diesen unverzüglich bereinigt.
Lokal können diese Dateien nun keinen Schaden mehr anrichten, aber im Web waren sie bereits aktiv! Eine Software, die ...
list.php.suspected
- Verzeichnis: \temp\u\a\
- Datei: list.php.suspected
lt. Microsoft Security Essentials
Backdoor:PHP/Small.M
Kategorie: Hintertür
Beschreibung: Dieses Programm stellt einen Remotezugriff auf den Computer bereit, auf dem es installiert ist.
Empfohlene Aktion: Entfernen Sie diese Software unverzüglich.
gallery.php.suspected
- Verzeichnis: \aa\libraries\
- Datei: gallery.php.suspected
- Datei: gallery.php
lt. Microsoft Security Essentials
Backdoor:PHP/Small.M
Kategorie: Hintertür
Beschreibung: Dieses Programm stellt einen Remotezugriff auf den Computer bereit, auf dem es installiert ist.
Empfohlene Aktion: Entfernen Sie diese Software unverzüglich.
session.php.suspected
- Verzeichnis: \down\
- Datei: session.php
- Datei: session.php.suspected
lt. Microsoft Security Essentials
Backdoor:PHP/Small.M
Kategorie: Hintertür
Beschreibung: Dieses Programm stellt einen Remotezugriff auf den Computer bereit, auf dem es installiert ist.
Empfohlene Aktion: Entfernen Sie diese Software unverzüglich.
dirs.php.suspected
- Verzeichnis: \downloads\
- Datei: dirs.php.suspected
- Datei: dirs.php
lt. Microsoft Security Essentials
Backdoor:PHP/Small.M
Kategorie: Hintertür
Beschreibung: Dieses Programm stellt einen Remotezugriff auf den Computer bereit, auf dem es installiert ist.
Empfohlene Aktion: Entfernen Sie diese Software unverzüglich.
doc.php
- Verzeichnis: \includes\
- Datei: doc.php
lt. Microsoft Security Essentials
Backdoor:PHP/Small.P
Kategorie: Hintertür
Beschreibung: Dieses Programm stellt einen Remotezugriff auf den Computer bereit, auf dem es installiert ist.
Empfohlene Aktion: Entfernen Sie diese Software unverzüglich.