Verzeichnis löschen + erneuern

[Inni]

Erstmal hallo an alle!

Ich habe ein Problem mit meiner S9Y-Installation. Über sie verbreitete sich Malware, woraufhin ich den Inhalt meines Verzeichnisses komplett gelöscht habe. Alle Änderungen, die ich am Template vorgenommen habe, habe ich als Sicherung vorliegen. Nicht gesichert habe ich den Inhalt statischer Seiten und die erstellten Beiträge.

Nun meine Frage(n): Kann ich jetzt einfach ein neues Verzeichnis hochladen? Der "Inhalt" meines Blogs müsste doch noch in der MySQL-DB liegen, oder? Was muss ich bei der Installation beachten, damit S9Y nicht neue Tables in der DB anlegt sondern die alten nutzt?

Danke schon mal für Eure Hilfe!

Viele Grüße
Hen

[Timbalu]

In der wahrscheinlich bei dieser Löschaktion auch mit verschwundenen serendipity_config_local.inc.php im Serendipity Stammverzeichnis waren deine Datenbank Zugangsdaten enthalten. Ohne diese wirst du nur schwerlich auf deine "alte" Datenbank und ihre Einstellungen zurückgreifen können...
Allgemein gilt: Sicherung aller physisch auf den Server erstellten eigenen Dateien (natürlich das Template, falls verändert, die oben erwähnte Datei und zb auch die media Dateien in Uploads, oder hinzugefügte Plugins, möglicherweise auch die .htaccess). Am besten auch ab und an mal eine Sicherung der Datenbank Tabellen.

Falls nun also gelöscht, solltest du entweder versuchen eine neue zu erstellen mit

Code: Select all

<?php
	$serendipity['versionInstalled']  = '1.6.2';
	$serendipity['dbName']            = 'DATENBANKNAME';
	$serendipity['dbPrefix']          = 'serendipity_';
	$serendipity['dbHost']            = 'localhost';
	$serendipity['dbUser']            = 'USERNAME';
	$serendipity['dbPass']            = 'PASSWORT';
	$serendipity['dbType']            = 'mysql';
	$serendipity['dbPersistent']      = false;
	$serendipity['dbCharset']         = 'utf8';
?>

natürlich mit deinen alten Daten dort angepasst... falls erinnerbar.
Oder du installierst komplett völlig neu und änderst dabei nur den Prefix auf "s9yneu_" oder so. Dann kannst du nachträglich probieren die erstellte serendipity_config_local.inc.php auf deine alten Daten umzustellen. So könnte es eventuell gehen.

Es ist natürlich schlimm wenn die eigenen Seiten Malware verbreiten und man sollte möglichst sensibel für diese Möglichkeit sein. Es wäre natürlich schön gewesen zu wissen, wie diese Malware konkret da hinauf gelangt ist. Serendipity selbst war - soweit ich mich erinnere - nur einmal konkret verwundbar, über ein externes Programm (den WYSIWYG Editor). Alle anderen potenziellen Verwundbarkeiten in der zugrundeliegenden Programmiersprache werden ansonsten immer sehr schnell erkannt und beseitigt.

Ich habe mit Verify mal ein Plugin geschrieben, dass auf mögliche Verunreinigungen checken kann.
https://github.com/ophian/s9y-plugins/t ... ent_verify
Soetwas kann aber nie 100%-ige Sicherheit vermitteln.

[Inni]

Vielen Dank!

Die Daten für die Config-Datei(en) habe ich noch, das dürfte also kein Problem darstellen. Die originale Datei konnte ich allerdings nicht behalten, weil sie zu den befallenen Dateien zählte.

Wie finde ich denn heraus, wie die Malware dahin gekommen ist? Die s9y-Installation dürfte eine 1.3.1 gewesen sein. Habe noch eine Sicherung des Verzeichnisinhalts exklusive der befallenen Dateien - von jenen habe ich noch ein Protokoll von meinem Antivirus-Programm. Bei den Viren handelt es sich konkret um JS:Iframe-MY und PHP:Shell-BH.

Sehr auffällig war, dass die Installation zunächst noch funktionierte. Als ich dann kurze Zeit nochmals auf die Seite zugreifen wollte, erschien nichts mehr - in der Sicherung, welche ich dann angelegt habe, befinden sich zahlreiche leere PHP-Dateien mit 0KB Dateigröße.

[Timbalu]

Hmm, 1.3.1 ist ziemlich alt.
Software entwickelt sich und sollte wenn möglich immer aktuell gehalten werden!
Auf alle Fälle wäre nachträglich sicherheitshalber auch ein neues Passwort zu setzen.
Meist ist der Übeltäter ein falsch konfiguriertes FTP. Hier könnte aber möglicherweise auch der Server bzw PHP falsch oder unsicher konfiguriert sein. Weiteres lässt sich so aus dem OFF nicht sagen.