# HTaccess Datei ändert sich ständig auf Server



## yuro (12. Juni 2012)

Hallo an alle,

und zwar hab ich folgendes Problem.

Die Website wird ständig von einem Virus befallen oder was auch immer das ist.

Also jedesmal wird meine htaccess datei automatisch geändert sobald ich die verweise lösche. denn wenn man auf google die website sucht und dann draufdrückt kommt man nicht auf die eigentliche website sondern auf die vom virus eingetragene adresse. (irgend ein russischer verweis)... was kann ich dagegen tun? ständig wenn ich die htaccess datei änder wird sie nach 5min automatisch wieder geändert -.-

hilfeee


----------



## sheel (12. Juni 2012)

Hi

gehts um einen Webspace/vServer/Rootserver?


----------



## yuro (12. Juni 2012)

Also die Website ist bei Strato angemeldet.

über FileZilla geh ich in den FTP Server rein.

Hilft dir das etwas? Der Server war mal mit Viren befallen, dass waren so komische HTML und ZIP Dateien. ich hab die alle entfernt und dann lief die website wieder normal und auf google wurde sie dann auch gefunden usw.

so nach ner woche ungefähr gings dann auf einmal los das die HTaccess datei geändert wurde. darauf hin hab ich den alten stand wiederhergestellt dann ging alles wieder. Plötzlich ändert sich die datei jetzt jede 5 minuten sodass es mir nix bringt sie jedesmal wiederherzustellen.


----------



## Bratkartoffel (12. Juni 2012)

Hi,

wenn du keinen Root-Zugang zu der Seite hast, dann zieh dir ein Backup aller relevanten Daten (MySQL, FTP etc.) und schreib den Strato Support an.

Grüße,
BK


----------



## WebSchutz (12. Juni 2012)

Hört sich nach einem Wurm an. Erstens sind die Dateirechte Falsch gesetzt und zweitens hast du wohl eine Sicherheitslücke.

Wechsle das Passwort deines Hostingpanels bei Strato und dein FTP Passwort. Alle FTP Zugänge die du nicht brauchst löscht du.

PHP läuft bei Strato normalerweise als Fast/CGI. Die Rechte sollten für Verzeichnisse 505 und für Dateien 404 sein. So kann schonmal keiner mehr was ändern.

Wenns Probleme gibt, meld dich einfach.


----------



## Bratkartoffel (12. Juni 2012)

WebSchutz hat gesagt.:


> [...]Die Rechte sollten für Verzeichnisse 505 und für Dateien 404 sein. So kann schonmal keiner mehr was ändern.[...]



Hi,

du meinst wohl 550 für Verzeichnisse und 440 für Dateien? Grundsätzlich denke ich aber, dass die Dateirechte für dieses Problem eher zweitrangig sind. Meine Vermutung: Über eine Sicherheitslücke in der Webseite hat sich der Angreifer eine PHP-Shell installiert und sich von dort aus dann mit Root-Rechten etwas installiert.

So wie ich den Thread verstehe passiert die Umleitung über die neue .htaccess ja instant, quasi ohne Verzögerung. Dies ist per FTP / PHP fast nicht möglich, zumal der Angreifer eine dauerhafte Verbindung mit dem Server aufrecht halten müsste. Und genau so was versucht man ja zu vermeiden als böser Bengel 

Grüße,
BK


----------



## yuro (12. Juni 2012)

Also ich hab auch die Zugangspasswörter zu FTP geändert.. funktioniert alles nicht.

Und in der HTaccess datei werden immer so verweise auf russische seiten reingeschrieben.

es kommt direkt automatisch nachdem ich es gelöscht hab und meine alte htaccess datei draufgeladen habe.

echt nervig... liegt das an strato das die mir ein neuen webserver draufschmeissen müssen oder wie?


----------



## WebSchutz (12. Juni 2012)

Bratkartoffel hat gesagt.:


> Hi,
> 
> du meinst wohl 550 für Verzeichnisse und 440 für Dateien? Grundsätzlich denke ich aber, dass die Dateirechte für dieses Problem eher zweitrangig sind. Meine Vermutung: Über eine Sicherheitslücke in der Webseite hat sich der Angreifer eine PHP-Shell installiert und sich von dort aus dann mit Root-Rechten etwas installiert.
> 
> ...



Hi
Nein ich meinte schon 505 und 404, das sind die korrekten Rechte bei Fast/CGI. Wenn die Rechte richtig gesetzt sind, kann der Angreifer auch keine PHP Shell hochladen. Ausser der Server ist wirklich gerooted. Was ich mir bei Strato nicht vorstellen kann. Aber ausgeschlossen ist natürlich nichts. 

Gruß Christian


----------



## Bratkartoffel (13. Juni 2012)

@Christian:

Warum sollte ich einer Datei / einem Verzeichnis für _alle_ Leserechte einräumen, jedoch nicht für die Gruppe? Für mich sieht das relativ sinnlos aus, da du damit jedem Leserechte einräumst ausser der Gruppe der Datei. Wenn dann schon 500, respektive 400 macht da schon mehr Sinn, wobei dies jetzt für das Problem eh unterheblich ist.

Den gegebenen Informationen nach sieht es aber wirklich so aus, als ob die Kiste gerootet wurde. Wie gesagt, schreib mal den Strato Support an, die sollen sich den Server mal genauer anschauen.

Gruß,
BK


----------



## ByeBye 242513 (13. Juni 2012)

Das selbe Problem hatte ich bei einem anderen Projekt auch. Hauptsächlich im Woltlab-Verzechnis (Forum). Das ging soweit, dass ich die gesamte Seite mit eigenen htaccess-Seiten sperrte und die Adresse vom Forum versteckte (statt: _mein.domain.de/forum/_ sowas wie _xyz.meine_domain.de_). Diese Adresse kannten nur wenige User. Aber ohne Erfolg.

Ich hatte viel Kontakt mit dem Support, weil es immer wieder passierte. Als ich die infizierten Dateien auf meinen PC via FTP zog, meldete mein Anti-Viren-System sofort Alarm. Daraufhin löschte ich alle Daten auf dem Server und empfahl dem Hoster eine Virenprüfung. Allerdings ohne Erfolg.

Weil ich ohne SFTP gearbeitet habe sondern nur mit FTP, geh ich mittlerweile davon aus das die IP (Leitung) abgehört wurde. Denn egal wie oft ich das Kennwort änderte (auch über anderen PC's), es passierte immer wieder. Auch war mein FTP-Programm FileZilla, jedoch bin ich auf WinSCP umgestiegen (siehe Link).

Wobei es wohl nicht am Programm lag, sondern daran das ich FTP statt SFTP für diesen einen Server genutzt hatte. Denn ich habe viele Projekte und nur das mit FTP war befallen. Evtl. hat es auch etwas mit Woltlab zu tun, denn dieser Virus wird nach Recherchen oft in Verbindung mit Woltlab gebracht. Jedoch sagt Woltlab, dass es nicht am Forum liegen kann...

Edit:
Was der Virus bei mir noch verursacht hat, waren Änderungen an der Index.php. In der ersten Zeile war eine lange verschlüsselte Zeile, die vermutlich die htaccess-Datei neu setzt.


----------

