Fakt ist – unser Support Telefon ist so lange leider nicht erreichbar. Auf das Internet können wir über andere Wege zugreifen, so dass der E-Mail Support hiervon unberührt ist.

Selbstverständlich sind auch die Server hiervon nicht betroffen, diese stehen hervorragend angebunden im Rechenzentrum und nicht in unserem Büro im kleinen 250 Seelen Dorf an der Ostsee

Update:
Es kam zwar keine SMS, aber die Störung war Mittags dann behoben – Danke

In der Nacht wurden dann seitens der Entwickler Updates für PHP5 zur Verfügung gestellt,  für php5.3.12 und php5.2.12 wurden diese für unsere Server angepasst und bereits in der Nacht ab ca 3 Uhr begonnen auf allen Servern zu verteilen.

Sofern Sie PHP5 im CGI-Modus eingesetzt haben, bestand durch diese weltweite Sicherheitslücke die Möglichkeit den Quellcode der Dateien an zu zeigen, damit auch eventuell in Ihrem Quellcode verwendete Zugangsdaten oder Logins – sofern Dritte bereits von dieser Sicherheitslücke wussten UND ihre Webseite daraufhin untersucht hätten.

Wir schätzen die Wahrscheinlichkeit das die Sicherheitslücke bereits ausgenutzt wurde, als eher gering ein, dennoch können wir diese nicht ausschließen. Sicherheitslücken in PHP werden aufgrund der hohen Verbreitung dieser Software immer sehr schnell publik und auch sehr schnell behoben, aber ob irgend jemand bereits vorher von der Lücke wusste und diese auch nutzte, lässt sich von niemandem prüfen.

Sollten Sie Zugangsdaten in Ihren PHP5 Skripten verwenden oder früher verwendet haben (bspw. Zugangsdaten zu Datenbanken oder Schnittstellen) empfehlen wir vorbeugend ein Ändern der in den Skripten verwendeten Passwörter.

Quelle zur Sicherheitslücke: heise

Update 4.05.12
Das von den Entwicklern zur Verfügung gestellte Update auf die Versionen auf die PHP-Versionen 5.3.12 und 5.4.2 war fehlerhaft, ermöglichte weiterhin das Ausführen von Code. Diese Sicherheitslücke bliebt 8 Jahre lang unentdeckt… einen neuen Patch gibt es noch nicht. Unsere PHP5 Versionen laufen mit einem modifizierten Patch und die eigenen Filter bleiben weiterhin aktiv um den Missbrauch der Sicherheitslücke zu vermeiden.
Quelle zur weiter bestehenden Sicherheitslücke: heise

Im Seomatrix Blog habe ich heute einen Artikel zum Thema Seo-Hosting gefunden, welcher aufzeigt welche Faktoren im Seo Bereich ebenfalls von Hosting abhängig sind: Seomatrix

Am Montag fällt daher bei uns der Telefonsupport aus, E-Mail Anfragen werden natürlich dennoch bearbeitet – im dringenden Notfall rufen wir Sie auch zurück – und die Server werden ganz normal betreut, lediglich per Telefon sind wir erst am Dienstag den 2. Mai wieder für Sie da.

Wir wünschen einen schönen Mai-Feiertag und hoffentlich schönes Wetter!

Die aktuelle Aktion allerdings, können wir als Webhosting Unternehmen sowie auch Privat als “Internetnutzer” nur befürworten! Google hat 20.000 Webseitenbetreiber per E-Mail informiert, dass Ihre Webseite mit Schadcode infiziert ist und sehr wahrscheinlich die Computer Ihrer Besucher infiziert. Diese Zahl ist nur ein Tropfen auf den heißen Stein, aber es ist ein Anfang.

Die betroffenen Webmaster werden aufgefordert in Ihren Dateien nach eingeschleustem Code wie z.B.  JavaScript-Code

eval(function(p,a,c,k,e,r)

zu suchen. Aus Erfahrung betroffener Kunden wissen wir, das der Code sehr häufig base64 verschlüsselt und daher extrem schwer zu finden ist. Gerne beginnt der Schadcode auch mit Zeilen wie:
preg_replace("/.*/e","\x65\x76\x61\x6C\x28\x67\x7A\x69 [.... elendig lange so weiter]


Wobei “\x65\x76\x61\x6C\x28” zurück gewandelt “eval” bedeutet und eben wie von google beschrieben zum Ausführen von Code gedacht ist. In der E-Mail von Google wird eine Seite zur “Ersten Hilfe” genannt, welche dem betroffenen Webmaster Hilfestellung geben soll.

Oft werden wir gefragt “ja wie kommt das denn in unsere Dateien??”.  Da gibt es sehr viele Möglichkeiten, die man im Grunde in 2 Kategorien einordnen kann.

1. Sicherheitslücken in Dateien die im FTP Account liegen.

Dies können all mögliche PHP oder Java Script Dateien sein. In der Regel liegt hier die Ursache in nicht gepflegten Installationen von Forensoftware, CMS wie Joomla, Typo3, WordPress, Galerie Scripten, Gästebücher, Shops u.v.m.

Für fast alle CMS/Shops/Foren Scripte kommen regelmäßig Updates, welche Wichtig sind um Sicherheitslücken zu schließen. Wenn ein Sicherheits  Update für eine solche Software veröffentlicht wird, dann kann es zwar schon zu spät sein – aber auf jeden Fall wird es dann aller höchste Eisenbahn das Update zu machen – da bleiben dann keine Monate Zeit.

Irrglaube: Da sitzt niemand mit eine Kanne Kaffee und überquellendem Aschenbecher vor der Webseite und versucht stundenlang diese zu hacken weil er etwas gegen den Seitenbetreiber hat oder sich etwas erhofft. Da wird eine Sicherheitslücke in einer weit verbreiteten Software bekannt und kurz darauf startet jemand ein Script, welches sich über google gleich zig Tausende Seiten sucht, die diese “veraltete” Software nutzt und somit in 1 Nacht (vollautomatisch) mal eben etliche Tausend Webseiten hackt und mit Schadcode verseucht.

2. Infizierter PC

In den letzten 2-3 Jahren steigen die Fälle, bei denen die Schadcodes nicht über eine Sicherheitslücke irgend eines Scriptes in den Account gelangen, sondern direkt per FTP hochgeladen werden. Dies bedeutet : Dem Angreifer sind die FTP Login Daten der Webseite bekannt. Auch hier handelt es sich wieder nicht um eine “Person” die sich per FTP einloggt und das böse Werk verrichtet, sondern um Scripte die das gleich mit tausenden Seiten machen.

Woher hat der Angreifer die FTP Daten ?
In der Regel durch infizierte PC´s, auf dem der Domaininhaber oder Webmaster per FTP selbst auf den Account zu gegriffen hat, oder die Zugangsdaten gespeichert wurden. Fast alle FTP Programme, speichern die FTP Zugangs-Daten z.B. im Klartext (also lesbar und unverschlüsselt) auf dem PC – ein gefundenes Fressen für Trojaner, dass wissen auch die wenigsten.

“Aber ich habe doch Anti-Viren Software und eine Firewall, also ist mein PC sauber, ich habe keine Viren“. Diese Aussage hören wir oft und es ist wohl der größte Irrtum der Internet-User. Bitte lesen, begreifen und verinnerlichen: Eine Virensoftware zu haben, selbst wenn sie täglich aktualisiert wird, bedeutet NICHT, dass auf dem PC weder Viren noch Trojaner sind!

Ich habe vor einigen Wochen selbst einen Virus auf meinem privaten PC gehabt. Ich konnte den laufenden Prozess beenden und die Schad-Datei löschen. Das hatte zur Folge, dass spätestens 1 Minute später am gleichen Ort ein neuer Virus mit anderem Namen lag und ausgeführt wurde – die Ursache war ein Virus der sich im recycle.bin Ordner abgelegt hatte. Die Virus Datei habe ich bei virustotal.com von über 40 namhaften Anti-Viren-Software Anbietern auf Viren testen lassen. Ergebnis: von 42 Anti Viren Programmen, haben nur 2 (ZWEI) erkannt, dass es sich um eine infizierte Datei handelt! Und nein, AntiVir, Kaspersky, Norten AntiVirus und all die namhaften Anbieter kostenloser wie teurer Anti-Viren-Tools, haben den Virus nicht erkannt.

Also nur “kein Problem” mit seinem PC zu haben und nur “keine Meldung von seiner Virensoftware” zu bekommen, bedeutet auf keinen Fall, keinen Schadcode auf dem PC zu haben. Viren WOLLEN NICHT auffallen und sie ändern sich teilweise selbstständig ständig, so dass die Anti Viren Software oft nicht nachkommt. Es gab schon Berichte über entdeckte Trojaner, welche seit über 1 Jahr ihr Unwesen trieben und noch von keiner Anti Viren Software erkannt wurde – also bitte nie in Sicherheit wiegen!

(Ordner Icon von: 177icons.com)

Die TLD .de gibt es schon seit 1986. Ab 1988 wurden die damals 6! registrierten .de-Domains von der Universität Dortmund verwaltet. Erst im Jahr 1996 gründete eine Gruppe deutscher Provider die DENIC als eingetragene Genossenschaft. Im Jahr 2006 wurde bei der DENIC die zehnmillionste Domain registriert.

Leute die zum Beispiel mit Funktionen in der .htaccess arbeiten, können sich bei Änderungen den Weg über den Root-Zugang oder ein Server-Verwaltungsprogramm wie Plesk & Co. sparen und ihre Änderungen schnell per FTP erledigen, wenn der FTP-Client versteckte Dateien wie .htaccess oder .htpasswd anzeigt.

Bei dem FTP-Client CuteFTP kann man Abhilfe schaffen, der Weg ist wie folgt:

1. Im Site-Manager die Site mit den versteckten Dateien ansehen
2. Aus dem Hauptmenü File / Properties auswählen
3. Im Tab Action auf Filter klicken
4. Die Checkbox Enable filtering anklicken
5. Die Checkbox Enable server side filtering anklicken
6. Ins Feld Remote –a eingeben, dann OK klicken
7. Mit der Site verbinden – Sie sehen jetzt die versteckten Dateien

Wir werden den Frühjahresputz  nutzen und in den kommenden Wochen auch einige Server auf den neusten Stand zu bringen (z.B. von PHP 5.2 auf 5.3 etc) , hierzu folgt aber noch eine gesonderte Mitteilung wann welcher Server aktualisiert wird.

Wichtig: Jeder unserer Kunden dessen Account noch auf einem Server mit PHP4.x und MySQL 4.x Server hosted – wir FREUEN uns über JEDEN Kunden der uns einen Termin nennt, zu dem wir seinen Account auf einen Server mit PHP5.x und MySQL 5.x umziehen dürfen! Irgendwann, werden wir die Server umstellen “müssen” – je mehr Kunden sich den Termin hierfür frei planen/wählen, um so weniger haben später “kurzfristig” ein Problem.

Für die Funktionalität der Webseite ist das ok, oft sogar wünschenswert – doch problematisch wird, wenn man per FTP versucht die Dateien zu löschen oder zu bearbeiten, dann hat der FTP User nicht das Recht diese Dateien zu ändern, da Ihm diese ja nicht mehr gehören.

Um die Rechte der Datei wieder an den FTP User (und umgekehrt) geben zu können, steht Ihnen im Accountlogin ein Tool zur Verfügung. Sie finden es dort unter Tools -> Besitzrechte

1. Hier wählen Sie hier Ihren Loginnamen aus, dieser ist Identisch mit Ihrem Haupt FTP User dieses FTP Accounts und weicht von dieser Angabe hier im obigen Beispielbild ab.

Als nächstes:

2. Bei “Verzeichnis” geben Sie bitte den Verzeichnispfad zu dem Ordner an, wo Sie darin enthaltene Dateien auf Ihren FTP-Userlogin zurück setzen lassen möchten. Wenn Sie bei “Verzeichnis” nur ein Slash “/” setzen, dann ist damit das Hauptverzeichnis (root) gemeint. I.d.R. ist es das einfachste hier einfach nur das Slash-Zeichen zu setzen, damit pauschal alles geändert wird.

3. Wenn Sie möchten, dass der User bei allen Dateien und Unterordnern ab dem Ordner den Sie zuletzt unter “Verzeichnis” eingegeben haben geändert wird, so aktivieren Sie bitte das Feld bei “Rekursiv”.

Screenshot: Account Uebertragung von Mysql Datenbanken im Suleitec Accountlogin

Großer Vorteil dieser Methode: Häfig melden Kunden sic aufgrund Time-Outmeldungen udn Problemen bei dem Versuch eine größere MySQL Datenbank per MySQL Admin oder ähnlicher PHP Scripte zu erportieren oder wieder zu importieren. Bei großen Datenbanken kommen PHP Scripte hier einfach an jedes Limit im Bereich Scriptlaufzeit sowie PHP Memory.

Bei der Methode über das Accountlogin, bestehen diese Probleme nicht, auch größere Datenbanken können mit dieser Methode umgezogen werden!

Wichtig: Machen Sie sich dennoch IMMER ein Backup der orginal Datenbank! Zu leicht … eine Ablenkung, ein kurzer Moment nicht aufgepasst und Datenbanken verwechselt – Vorsorge ist besser als Datenverlußt!