LockWeb

Domain festlegen:

DOMAIN=<domain>

Ursache finden

Das Hosting kann mittels folgendem Befehl gefunden werden, wenn die Domain bekannt ist (meistens der Fall)):

grep $DOMAIN /usr/local/apache2/conf/confixx_vhosts/*

Pfad im Hosting mit Passwort schützen

Folgendes auf Server ausführen:

WEBNR=$(grep "$DOMAIN" /usr/local/apache2/conf/confixx_vhosts/* | tail -n 1 |cut -d "/" -f 7 | cut -d "." -f 1 |cut -d ":" -f 1)
cd /home/www/$WEBNR/ # (evtl. Sub-Pfad des Angegriffenen Teils bzw. CMS ergänzen
hswpp -p $PWD
 chattr +i .ht*

Sperrung erfassen

Im entspr. HS Admin Panel (orderdesk.hoststar.ch oder orderdesk.hoststar.at) Sperrung erfassen als Teilsperrung.

• Pfad vom Root aus im Betreff angeben
• Bei Reseller Server (login-xx), bzw. resnn Pfad mit Web-Nr + Domain im Betreff mitangeben
• Gefundene Requests / URL und wenn vorhanden, Resultat vom Malware-Scan einfügen

Rückmeldung

• Wenn von Hetzner Abuse gemeldet: Das Formular, welches im Mail verlinkt ist, ausfüllen
• Bei lokaler Feststellung: Kollateralschäden aufräumen wie z.B:
• Mailqueue aufräumen mit:

  hsmqtool -s <domain>

Nach Rückantwort vom Kunden

• Hosting erneut prüfen auf verdächtige Dateien sowie Virenscan durchführen.
• Zeilen für Passwrot-Schutz in .htaccess wieder entfernen (Datei n. löschen, da oft für CMS notwendig!) und .htpasswd löschen (prüfen ob keine eigenen User drin sind!)

  chattr -i .htaccess
  chown webnnn:webnnn .htacess

• Kunde informieren dass die Web-Sperre wieder aufgehoben ist