Hallo Leute,

und zwar scheint es so als ob wir einen Trojaner auf unserer Vereinswebsite haben. (hxxp://www.ttcelbe.de/)
Es gibt verschiedene Symptome: Virenscanner meldet Viren, Java stürzt ab, WMP öffnet sich plötzlich, kurz nach Öffnen der Seite werden teilweise auch auf den jeweiligen Rechnern Viren gefunden.
Es gab eine Meldung des Trojaners "Exploit-CVE2010-0806" und die IP-Adressen von "hxxp://194.60.242.36/sv/count.php?add=1" bzw. "hxxp://194.60.242.166" werden als schädlich erkannt.
Der Hoster hat bei sich schon einen Virenscan durchgeführt, war aber fehlerfrei.
Könnt ihr mir weiterhelfen?

Viele Grüße
Clemens

Ja, möglich.
Aber eigentlich sollte dies euer Webmaster tun und können.
Man müsste auch wissen, was wurde bereits getan bzw. wurde schon was getan?
Zumindest auf der Startseite befinden sich wohl Code-Reste die dort auf jeden Fall falsch sind - könnte aber die unsaubere und unvollendete Säuberung von der eventuellen Malware sein.

194.60.242.36 ist auf jeden Fall in Sibirien.

Auf welcher Seite kommt denn die Virenwarnung?

Einzige was bisher getan wurde, das Plugin von Google Analytics gelöscht, weil das da stand, als ich auf eine der IP-Adressen gegangen bin, aber hatte wohl eher weniger damit zu tun.

Die Meldung kommt bei jeder Seite, die man öffnet.

Ist ja die Frage, ob unbewusst irgendeine schädliche Datei hochgeladen wurde, die zu löschen ist oder sich jmd eingehackt hat und was eingepflanzt hat.

Möglicherweise/wahrscheinlich sitzt die Malware im "Theme" =>
...ttcelbe.de/wordpress/wp-content/themes/traction_pro/javascripts/ traction . js
Zeile 9

Cool, danke! Das scheint es wirklich gewesen zu sein, die eine Zeile wurde dort neu hinzugefügt und jetzt werden keine Meldungen mehr angezeigt.
Wie bist du auf die Datei gekommen?

Ohne JavaScript war nichts.
Direkte Links und in den Seiten (im Quelltext) sich befindende Scripts (bzw. der Quelltext an sich) schienen sauber zu sein, meinem Auge ist nichts aufgefallen außer auf der Startseite ganz unten nach </body> und </html> befindet sich noch ein </div>. Dies hat dort nichts zu suchen.
Allerdings ist dort unten "gerne" fremder ("illegaler") Content, deshalb habe ich u.a. dort manuell einfach im Quelltext nachgesehen.
Also musste die Malware in einem "externen" Script sein. Und weil mir es zu blöd war da alles manuell zu durchsuchen, habe ich zu meiner Linklesezeichenliste gegriffen.

http://sitecheck.sucuri.net/scanner/

Und die Zeile 9 hat auch (dann) das typische Aussehen eines maliciösen Inhalts gehabt.
BTW:

Zitat:

Description: This malware infects a web site through a compromised desktop (with virus), where it steals any stored password from the FTP client and uses that to attack the site.

Note that every PHP, HTML and JS file can get compromised by this malware. On some variations of this attack, it is also compromised through vulnerable versions of Timthumb/WordPress.

Some anti virus programs will flag this type of malware (after infecting a computer) as Blackhole Exploit kit or similar names.

Affecting: Any web site with FTP enabled (and password stolen).

Clean up: The desktop must be cleaned first. Use multiple AVs if necessary, since this virus is very good at hiding from the current AV that is running. Once it is clean, then you can clean up the sites and change the passwords.

(Desktop bezeichnet hier einen "Desktop-PC")

Achso alles klar, die Seite muss ich mir gleich mal merken ;-)

Ist es jetzt auch am sinnvollsten FTP-PW etc. zu ändern?

Ja, unbedingt das FTP-Passwort (alle!) ändern.

Also die Passwörter aller (!) FTP-Zugänge zu dieser Internet-Präsenz und außerdem sollten ALLE PCs, auf denen ein FTP-Zugang zu dieser Internetpräsenz eingerichtet ist, sorgfältig und tiefgehend überprüft werden und zumindest auf dem ursächlichen PC auch wiederum alle FTP-Passwörter geändert werden.

Naja erreichbar ist sie vlt, aber sollte man ja aufrgund der Malware schon meiden, was?

So nachdem ich im Wordpress-Verzeichnis ewig nach Infektionen gesucht habe, habe ich nun gesehen, dass sich im root noch eine index.php befindet, in der relativ lange Zeichenketten eingebunden waren, die so da nicht hingehörten. Ob die wohl durch ein Plug-In, der (leicht) veralteten Software auf dem Server oder anderes dahin gelangt sind, weiß ich nicht. Aber jetzt sollte es zumindest wieder gehen.

Ich weiß jetzt nicht wie man das ergebnis nun einschätzen soll, https://www.virustotal.com/url/1e11f...is/1340816965/

THN

Zitat:

Zitat von TrojanerHunterNEW

Ich weiß jetzt nicht wie man das ergebnis nun einschätzen soll,

Na, eine Warnmeldung ist (jetzt) sowieso für die Katz, weil es genau eben um diese Google-Warnung geht.
Und definitiv (!) ist Google-Safebrowsing-"Analyse" keine "Echtzeitanalyse".
Die Meldung von Trendmicro müsste an mal darauf ansehen ob die aktuell nachsehen oder auch mal (für Google?/von Google?) u.U. veraltetet Informationen sammeln.

Also meinst du das muß nichts heißen, oder alles, oder F/P ....

THN

So, Google hat die Seite nun als nicht mehr bedrohlich eingestuft und sie ist wieder erreichbar. Eine Meldung bei Trendmicro bzw. Sucuri SiteCheck wird immernoch angezeigt, aber denke dass es keine Echtzeitanalyse ist.

Hallo,

ist diese Warnmeldung echt oder sollte man sich von dieser Website fernhalten:

hxxp://sitecheck.sucuri.net/results/www.changetec24.de

MfG. Andreas

Zitat:

Zitat von andreas6

ist diese Warnmeldung echt oder sollte man sich von dieser Website fernhalten:

Echte verstehe das "oder" nicht, oder meinst du mit Website sucuri.net?

Auf jeden Fall erkennen einige Websitescanner keine Malware, sucuri.net selber sagt bei "Blacklistingstatus", dass niemand (davon) die Site als gefährlich ansieht und bieten für den Fall des Falls ihre (kommerziellen) Dienste an.
Virustotal sucht schon seit einiger Zeit und sucht und sucht.

Definitiv (!) gibt es aber auf dem Webspace eine deutlich veraltete
jQuery JavaScript Library v1.4.2 an deren Ende codierter, sehr wahrscheinlich tatsächlich bösartiger Inhalt angehängt wurde. Ob auf diese (veraltete) Library beim normalen Websitebesuch zugegriffen wurde, habe ich jetzt nicht geprüft, dazu fehlt mir die Zeit.
Die weiteren Fundstellen habe ich nicht überprüft.
Hast du mit denen (changetec24) was zu tun?