OSP .ico Malware im Portfolio

mariagress · 24. Februar 2021 um 11:48

Hallo Zusammen,

im Schulportfolio haben wir seit einiger Zeit das Problem, dass die Seite unter Beschuss steht und immer wieder mit Viren (.ico) Dateien in den Verzeichnissen befüllt werden. Diese Dateien werden über die PHP Dateien über einen include befehl befüllt.

Wir haben bereits mehr mals die php Daten bereinigt und von Viren befreit, allerdings passiert es immer wieder. Auf dem Webserver sind auch noch andere Instanzen und diese werden anschließend ebenfalls damit befüllt.
Hat jemand ein ähnliches Problem? Gibt es hierfür eine Lösung? Es läuft die aktuellste Version von OSP und alle Plugins sind auf dem aktuellsten stand. Wie kann sich dagegen schützen?

Würden uns über eine Lösung freuen.

alois · 24. Februar 2021 um 11:59

Hallo Maria,

Willkommen bei linuxmuster.net!

Kann man vielleicht Zugriffe aus anderen Ländern sperren? Das wäre kein Allheilmittel, würde aber einen großen Anteil Angreifer außen vor lassen.

Wenn Ihr den IPFIRE habt, dann ist das Blocken internationaler Seiten sehr einfach.

Hier muss man nur unter Firewallregeln GeoIPBlock auswählen und in der folgenden Seite überall Haken bei Ländern setzen die man aussperren möchte. Danach auf Speichern klicken und unter Firewallregeln die Änderung bestätigen.

Achtung: Wenn Ihr Webuntis habt, dann musst Du den Zugriff aus Österreich zulassen.

Viele Grüße

Alois

mariagress · 24. Februar 2021 um 12:09

Hallo Alois,
danke für die schnelle Antowort.

vielen Dank für den Hinweis. Wäre evtl auch über htaccess realisierbar… Sonst noch irgendwelche tips, wie man die Seite Sicherer machen kann?

alois · 24. Februar 2021 um 12:10

Hallo Maria,

ja, htaccess sollte auch helfen!

Gruß

Alois

crazy-to-bike · 24. Februar 2021 um 13:14

Hallo Daniela,

ich habe gerade mal unseren Webserver, auf dem OSP läuft, nach *.ico gescannt. Taucht im OSP nicht auf. Nur favicon.ico in NC-Ordnern von einigen Apps oder in den dort abgelegten DUA.

Viele Grüße
Steffen

liv_uo · 24. Februar 2021 um 13:51

Hallo mariagress, @All,

auch von mir ein herzliches Willkommen in diesem Forum

Ist so ein OS-System nicht als komprimitiert zu bezeichnen?

Quasi der GAU eines Systems? Alarmstufe rot? Zumindest orange?

Müsste nicht zuerst der Ursache auf den Grund gegangen werden?

Wie äussert sich den der „Beschuss“? Bzw. wie macht sich das bei Euch bemerkbar?

Mehr techn. Details wären hilfreich.

GeoIP ist bestimmt eine Möglichkeit, etwas Risiko zu mindern …,

VG Andre

ironiemix · 24. Februar 2021 um 20:27

Hallo,

Dazu ein paar Fragen:

Was bedeutet „befüllt“ - auf den Server hochgeladen?
Warum sprichst du von „Viren“ im Zusammenhang mit den ico Dateien?
Wo ist das Portfolio gehostet?
Hab ihr die Option „phpok“ gesetzt, darf man also PHP Befehle in Wikiseiten einbinden?
Ist das Wiki nur für angemeldete Benutzer editierbar?

VG

Frank