Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: JS:Redirect-AM[Trj] auf Webserver von Versatel ohne php, css und js

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 18.12.2009, 23:20   #1
timo.beil
 
JS:Redirect-AM[Trj] auf Webserver von Versatel ohne php, css und js - Icon27

JS:Redirect-AM[Trj] auf Webserver von Versatel ohne php, css und js



Hallo Leute,

ich hab mich jetzt mehrere Stunden durchs web gewühlt um mein Problem zu verstehen. Angefangen hat es mit einer Trojanerwarnung durch Avast beim Aufruf einer website (der Betreiber möchte nicht genannt werden).

Sign of JS:Redirector-AM[Trj] has been found on www.***.de

Danach wurde die Verbindung gekappt. Per Linux haben wir mit FTP Zugang die Seite lokal gesichert. Ein Scan hat nichts ergeben. Der Aufruf der Website erneut brachte auch keine neuen Meldungen. Die Meldung wurde aber durch andere, unabhängige User bestätigt.

Danach hab ich mich über das XSS informiert und Fehler, Lücken oder komprimitiert js, css, php oder html files gesucht. Es war nix zu finden. Auch keine neuen Ordner etc.

Sicherheitshalber wurde die Seite abgeschalten und eine einfach index.html ohne js und mit einer frischen css online gestellt.

Danach hab ich aus Gewohnheit ein validate.w3.org druchgezogen und siehe da: Errors found while checking this document as HTML 4.01 Transitional!

der validator lässt es zu, den source code zu checken, wodurch ich endlich das js sichtbar war:

Code:
ATTFilter
<script type="text/javascript" language="javascript">
 var oqcvyfi=new Date( ); oqcvyfi.setTime(oqcvyfi.getTime( )+12*60*60*1000); document.cookie="n\x5fses\x73_id\x3d53d\x312540afaf174fd0466f84\x316\x35af\x65e3"+"; path=/\x3b ex\x70\151\x72es="+oqcvyfi.toGMTString( ); 
</script>
         
Das geht ewig so weiter mit zig Links zu zwielichtigen Seiten. jetzt kommt aber der Gag: revalidiere ich das ganze, ist der code ok... eben meine html seite wird sichtbar. Erst dachet ich W3 cached, aber nach einer Weile war das XSS wieder da.

Ich hab dann hier im Board Links gefunden die mit Hilfe von php bzw. .htaccess Abhilfe schaffen sollten, aber keine Chance. Ich hab keinen blassen Schimmer wo das Ding herkommt. Webserver mit Lücken? Das problem ist: eh Versatel handelt, hab ich mir ne Abmahnung wegen illegalen Links eingefangen.

bin für alle Tipps dankbar. Weiss nicht weiter...

EDIT: http://forum.avast.com/index.php?topic=52093.0
Hilft aber auch nicht. Da auf dem vhost unter der domain nix weiter ist, kann ein weiterer vhost auf dem SErver über ein veraltetest CMS oder was weiss ich die Probleme verursachen?

Geändert von timo.beil (18.12.2009 um 23:42 Uhr)

Alt 10.01.2010, 18:18   #2
leo31
 
JS:Redirect-AM[Trj] auf Webserver von Versatel ohne php, css und js - Standard

JS:Redirect-AM[Trj] auf Webserver von Versatel ohne php, css und js



Hallo Timo,

leider kann ich dir direkt auch nicht helfen, nur mitteilen, dass ich mit Versatel ebenfalls ein Problem habe. Ein CMS von unserem Kunden, dass auf einem Versatel-Webserver liegt, ist ebenfalls mit Viren befahlen. Wahrscheinlich der gleiche Trick, wie bei dir. Irgendein Javascript-Scheiß versucht einen Virus ('HTML/Crypted.Gen' [virus] ) auf den Client-Rechner zu spielen. Habe ebenfalls die Dateien durch mehrere Viren-Scanner gejagt, aber nichts gefunden. Die Datenbank scheint auch ok zu sein. Sogar, wo ich die index.php rausgenommen habe, wollte er über die Fehlerseite 403 das Virus auf meinen Rechner spielen. Anscheinend funktioniert das ganze aber nur auf dem Internet-Explorer. Firefox ist wohl Immun. Ich vermute, es sind einige Webserver befahlen. Das Script muss irgendwie über den HTTP-Header eingespielt werden. Frag mich aber nicht, wie das geht. Ist aber nur ein Vermutung von mir. Ich hoffe auch noch, dass der Hoster das Problem in den Griff bekommt.

Viele Grüße

Leonhard
__________________


Antwort

Themen zu JS:Redirect-AM[Trj] auf Webserver von Versatel ohne php, css und js
aufruf, avast, checken, code, css, document, fehler, ftp, gen, html, leute, links, linux, lokal, neue, online, ordner, problem, scan, script, seite, this, tipps, verbindung, web, xss cross




Ähnliche Themen: JS:Redirect-AM[Trj] auf Webserver von Versatel ohne php, css und js


  1. Virus auf Webserver möglich?
    Plagegeister aller Art und deren Bekämpfung - 04.06.2014 (3)
  2. Schadsoftware auf Webserver (PHP)
    Alles rund um Mac OSX & Linux - 23.05.2014 (5)
  3. JS/EXP.Redir.EL.7 auf Webserver - wie vorgehen?
    Plagegeister aller Art und deren Bekämpfung - 04.06.2013 (1)
  4. Kritische Lücke im Webserver nginx
    Nachrichten - 07.05.2013 (0)
  5. Geknackte Webserver als Malware-Schleudern
    Nachrichten - 06.03.2013 (0)
  6. Schadstoffcode iauf meinem Webserver
    Diskussionsforum - 27.01.2013 (18)
  7. Webserver infiziert? Malware globalconferencemanagementgroup.com
    Plagegeister aller Art und deren Bekämpfung - 02.01.2013 (3)
  8. Rootkit befällt Linux-Webserver
    Nachrichten - 20.11.2012 (0)
  9. Sicherheitslücke auf Webserver der Schufa
    Nachrichten - 12.06.2011 (0)
  10. Webserver der Bundesfinanzagentur offen wie ein Scheunentor
    Nachrichten - 11.03.2011 (0)
  11. Apache Webserver Online bringen
    Alles rund um Windows - 24.01.2011 (10)
  12. Verschlimmbesserung Versatel Webmail
    Diskussionsforum - 17.04.2010 (28)
  13. JS:Illredir-W auf Webserver
    Plagegeister aller Art und deren Bekämpfung - 24.02.2010 (1)
  14. lokaler webserver? trojaner? dienst?
    Plagegeister aller Art und deren Bekämpfung - 11.03.2009 (1)
  15. Webserver -> Trojaner
    Plagegeister aller Art und deren Bekämpfung - 19.10.2008 (1)
  16. Trojaner auf dem Webserver
    Plagegeister aller Art und deren Bekämpfung - 14.01.2008 (2)
  17. Gentoo vs Debian auf einem Webserver
    Alles rund um Mac OSX & Linux - 16.12.2003 (20)

Zum Thema JS:Redirect-AM[Trj] auf Webserver von Versatel ohne php, css und js - Hallo Leute, ich hab mich jetzt mehrere Stunden durchs web gewühlt um mein Problem zu verstehen. Angefangen hat es mit einer Trojanerwarnung durch Avast beim Aufruf einer website (der Betreiber - JS:Redirect-AM[Trj] auf Webserver von Versatel ohne php, css und js...
Archiv
Du betrachtest: JS:Redirect-AM[Trj] auf Webserver von Versatel ohne php, css und js auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.