Ständig Spamware auf HP/FTP Server

[steve1010]

hallo,
ich bin neu hier und hoffe dies ist das richtige Unterforum.

Ich habe eine kleine Seite per HTML + CSS erstellt. Dazu besitze ich ein Webpaket bei Alfahosting mit Webspace, FTP,etc.... Jetzt wurden zum wiederholten Male Spamdateien/Schaddateien auf dem FTP Server gefunden. Diese sind immer .php Dateien obwohl ich nur HTML + CSS DAteien hochgeladen habe. Sie befinden sich direkt im html Ordner und heißen z.b. admin.php oder javascript.php.


Diese Nachricht habe ich heute von deren Support bekommen:

"wir haben illegales Spam-Material gefunden, welches von Ihrem Account versendet wurde. Aus diesem Grund mussten wir Ihren Account temporär sperren. Daher werden aktuell keine Seiteninhalte dargestellt, der FTP Zugriff ist jedoch weiterhin möglich. Das kompromittierte Skript, von dem die E-Mails versandt wurden, befindet sich unter:

web975/html/css/javascript.php


Bitte gehen Sie davon aus, dass Ihre eingesetzte Software ( z.Bsp. Joomla, Wordpress, usw.) vollständig manipuliert wurde. Aus diesem Grund können wir Ihnen nur empfehlen, die gesamte bisherige Installation zu verwerfen und eine saubere Neuinstallation vorzunehmen. Dabei sollten Sie darauf achten, dass Sie die neueste verfügbare Version einsetzen. Auch hinsichtlich eingesetzter zusätzlicher Module, Plugins oder Komponenten sollten ausschließlich vom Hersteller freigegebene genutzt werden (z.Bsp. Joomla! Extensions Directory, WordPress Plugin Directory)."

Wie oben schon geschrieben, besteht die Seite nur aus HTML + CSS. Hochgeladen auf den FTP wird das ganze mittels Adobe Dreamweaver. Wo genau muss ich jetzt nach der Sicherheitslücke suchen? Ist mein HTML Code nicht sicher oder hat Dreamweaver eine Sicherheitslücke?

PC habe ich mehrfach und mit diversen Programmen dursucht nach Viren und NIE etwas gefunden. Passwörter bei meinen Webanbieter Alfahosting wurden auch schon mehrfach geändert, jedoch wird meine Seite immer wieder manipuliert.

Für Hilfe wäre ich sehr dankbar!

 

[threadi]

Der Dateiname javascript.php deutet auf eine PHP-Datei hin. Es ist also nicht so, dass deine Webseite nur aus HTML und CSS besteht.

Als erstes solltest Du die Dateien vom Webhosting löschen (ohne sie zu sichern). Danach solltest Du ein dir vorliegendes Backup der Dateien neu auf den Server hochladen. Zudem solltest Du alle Passwörter ändern und - ganz wichtig - die o.g. PHP-Datei kontrollieren und ggfs. anpassen oder durch etwas besseres ersetzen.

 

[steve1010]

Ich habe diese php Datei aber nicht hochgeladen. Diese wurde wohl von einem "Hacker" hochgeladen. Wie gesagt habe ich nur html+css dateien. Beim ersten Angriff waren noch mehrere php Dateien auf dem FTP Server wie z.b. admin.php oder index.php. All dies habe ich aber nicht hochgeladen weil ich eben nur HTML + CSS verwende und mich mit PHP auch wenig bis garnicht auskenne, sprich ich also auch keine PHP Dateien erstelle.


Edit: Mein Provider sagte mir es könne auch an fehelerhaftem HTML Skript liegen, nannte er aber keine Details. Ich habe die besagte Seite vor ca. 3 Jahren entworfen und wenig bis nichts daran geändert.

Hier mal der Quellcode der index Datei:

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1" />
<title>Mustermann</title>
<meta name="keywords" content="Mustermann">
  <meta name="description" content="Mustermann">
<link href="css/style.css" rel="stylesheet" type="text/css" />

</head>

<body>

<!-- Wrapper -->

<div id="wrapper">
<!-- Header -->

<div id="header">

</div>
<!-- Ende Header -->



<!-- Navigation Anfang -->
<div id="navi">

    <ul>
      <li class="active"><a href="index.html">Startseite</a></li>
      <li><a href="buchhaltung.html">Buchhaltungsservice</a></li>
      <li><a href="lohnundgehalt.html">Lohn und Gehalt</a></li>
      <li><a href="kontakt.html">Kontakt</a></li>
     <li><a href="uberuns.html">Über Uns</a></li>
      <li><a href="impressum.html">Impressum</a></li>
  
    </ul>




</div>
<!-- Navigation Ende -->











<!-- Main Anfang -->
<div id="main">



  <div id="maininside">
    <p><span class="h4">Mustermann</span></p>
    <p><span class="klassekleinerabsatz">www.mustermann.de</span><br />
      Mittlerweile ist es vielen Unternehmern zeitlich nicht mehr möglich sich neben ihrem Kerngeschäft auch noch um eine ordnungsgemäße Buchhaltung zu kümmern.
Um Ihnen zumindest einen Teil Ihrer täglichen  Arbeit zu erleichtern, übernehmen wir gerne die Bearbeitung Ihrer Buchhaltungsunterlagen.
Profitieren Sie von unserer  über 35 jährigen Erfahrung.</p>
    <p><br />
      <span class="h2">Unsere Leistungen im Überblick</span><br /><br />
      Wir  unterstützen seit Jahren kleine bis mittelgroße Unternehmen bei der <a href="buchhaltung.html">Finanzbuchhaltung</a> und <a href="lohnundgehalt.html">Lohnbuchhaltung</a>.
  
      Zu unseren Kunden gehören Selbst&auml;ndige, Gewerbetreibende, Handwerksbetriebe, Existenzgr&uuml;nder, Kleinunternehmen und Einzelunternehmen.</p>
    <p>Sie entscheiden, inwieweit Sie unsere Unterst&uuml;tzung  ben&ouml;tigen. Sei es bei bestimmten buchhalterischen Arbeiten oder zur Bearbeitung  Ihrer kompletten Buchhaltung&nbsp; bzw.  Lohnbuchhaltung. <br />
Selbstverst&auml;ndlich werden Ihre Unterlagen streng vertraulich  behandelt.<br />
Die Daten werden dann am Jahresende an Ihren Steuerberater  zur Erstellung des Jahresabschlusses &uuml;bertragen. </p>
    <p>&nbsp; </p>
  </div>


  </div>


<!-- ende main -->



<div id="footer">

<div id="footeremail">

Mustermanntexttexttexttext

</div>



</div>


</div>
<!-- Ende Wrapper -->


</body>
</html>

 

[threadi]

Über HTML-Codes kann man aber keine Dateien auf Webspaces ablegen. Für mich klingt das jetzt eher danach als wäre das FTP-Passwort ausgespäht worden. Du solltest wie schon gesagt alle Zugangsdaten anpassen und zusätzlich auch deine eigenen Systeme dahingehend kontrollieren.

 

[steve1010]

Das FTP Passwort habe ich schon davor mehrfach geändert und nach kürzester Zeit (ca.3-4 Tage) war die Seite schon wieder infiziert und es wurde besagte Datei (javascript.php) gefunden.

Ich habe den neusten Avast InternetSEcurity (soll ja zu den besten gehören) und mit sämtlichen anderen Programmen (z.b. Malewarebytes) den PC gescannt und finde absolut keine Viren bei mir. Bin vollkommen hilf und ratlos denn ich brauch die Seite dringend.

Der Eingangscode meiner HTML Seite ist doch korrekt oder? Sollte man hier noch einen "Schutz" reinschreiben oder ist der Code soweit ok?

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1" />

 

[threadi]

Wie schonmal gesagt: über puren HTML-Code kann man nicht in Webseiten einbrechen. Daher gibt es an der Stelle auch keinerlei weitere "Schutzmöglichkeit".

Hast Du denn wie schon geschrieben auch mal den Webspace komplett geleert? Wirklich alle Dateien gelöscht?

 

[steve1010]

Ja ich habe den FTP schon 2x komplett "plattgemacht" sprich einfach alles gelöscht. Beim ersten Mal waren etliche php Dateien direkt im html ordner und auch in den unterordnern (images, css). Jetzt war nur im css ordner die "javascript.php" Datei, die eben nur von ausserhalb kommen kann weil ich sie nicht hochgeladen habe.

 

[threadi]

Dann würde ich dir raten einen neuen Webspace zu suchen. Scheinbar schiebt der Hoster eigene Sicherheitslücken auf die Kunden ab - so deutet auf Grund deiner Beschreibung alles für mich hin.

 

[steve1010]

Ich habe jetzt auf jeden Fall alles meinerseits überprüft. Danke für die Hilfe und die schnellen Antworten.