Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: JavaScript Infektion

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 27.09.2007, 15:34   #1
mystic11
 
JavaScript Infektion - Standard

JavaScript Infektion



Hallo,

ich hoff ich bin hier richtig, denn ich hab jetzt schon eine ganze Weile rumgesucht und keine zufriedenstellende Erklärung für mein Problem gefunden.

Seit gestern hab ich das Problem, dass bei 3 Accounts meines Webhosters (auf verschiedenen Servern) die index-Dateien (index.php, index.html, main.html) in allen Verzeichnissen mit schadhaftem JavaScript-Code infiziert wurden. Ein Account mittlerweile sogar das zweite mal, trotz Passwortänderung!

Der eingeschleuste JavaScript-Code besteht aus einer Funktion namens "function N9203f348(Ac85Fc8){...}" und beinhaltet den Trojaner Trojan-Clicker.Win32.Agent.lw. Ich vermute, dass durch diesen mein System mit dem Trojan-Spy.Win32.Zbot.r (windows\system32\ntos.exe) infiziert wurde, den ich nach einem Scan gefunden habe, aber keine Ahnung.

Mein Webhoster behauptet, dass das über meine "schlecht programmierten" PHP-Scripts passiert, aber mir ist schleierhaft wie das gehen soll, zumal auf 2 der 3 Accounts der Safe-Mode aktiviert ist und PHP nichtmal Schreibrechte in den Verzeichnissen hat. Soweit ich die Möglichkeiten zur Code Injection in PHP kenne, haben ich auch meiner Meinung nach keinen potentiell gefährdeten Code produziert.

Würde mich freuen ein paar Meinungen dazu zu hören, weil ich mir nicht vorstellen kann, dass es an meinen Scripten liegt und eher vermute, dass der Anbieter ein Sicherheitsproblem hat. PHP ist zwar aktuell mit v4.4.7 aber Apache ist v1.3.26 (aktuell v1.3.39), vielleicht gibt es dort ja eine Lücke die ausgenutzt wird.

Gruß,
Michael

Alt 28.09.2007, 08:08   #2
KarlKarl
/// Helfer-Team
 
JavaScript Infektion - Standard

JavaScript Infektion



Hi,

wenn dein System durch solche Javascripts infiziert wurde, dann liegen auf deinem System Sicherheitsmängel vor. Entweder veraltete ungepatchte Software oder falsche Konfiguration. Auf einem sicheren System haben diese Scripte keinen Erfolg. ntos.exe (jedenfalls die, die ich kenne), ist übrigens eine Backdoor, über die unter anderem ein Keylogger läuft. Es ist also auch denkbar, dass über die die Zugangsdaten zu deinem Webspace abgegriffen wurde.

Webanwendungen in PHP wirklich sicher zu programmieren ist schwierig, davon zeugen die diversen in PHP programmierten Foren, in denen immer wieder Löcher gefunden werden. Safe-Mode verbessert zwar die Sicherheit, ist aber keine Garantie. Mehr fällt mir dazu nicht ein, ich kenne weder deine Webseiten noch deine Scripte. Es kann natürlich auch ein Problem beim Provider sein.

Gruß, Karl
__________________


Alt 28.09.2007, 09:48   #3
mystic11
 
JavaScript Infektion - Standard

JavaScript Infektion



Hi Karl,

dass mein System mit ntos infiziert wurde, hab ich bisher auf das Javascript geschoben, denn die aktuelle Version von Firefox führt dieses ohne zu murren aus (IE nicht) und ich greiffe sehr oft auf meine Seiten zu. Da das JavaScript auch Trojan-Downloader.JS.Psyme.le und anderes lädt, sieht das für mich so aus, als ob damit der andere Trojaner nachgeladen werden konnte. Aber das ist nur Vermutung und mir ist auch unklar, wie der schadhafte Code letztendlich auf meinem System ausgeführt werden konnte, JavaScript kann das ja eigentlich nicht selbst.

Was mir noch aufgefallen ist, auf meinem Webspace gibt es einen Ordner mit Log-Dateien, wo jeder Zugriff von Aussen auf die Dateien verzeichnet ist. Aber um die Uhrzeiten wo die Dateien geändert wurden, gab es keinerlei Zugriffe auf irgendwelche PHP Dateien bzw. überhaupt auf irgendwelche Dateien.

Es liegt also schon sehr nahe, dass die Passwörter auspioniert wurden. Nur heute Morgen war der Code schon wieder drin (nur auf einem Acc), mein System war aber bereinigt und das Passwort geändert.

Ich bin nachwievor verwirrt und werde das mal weiterhin beobachten. Trotzdem danke für Deine Antwort.

Gruß,
Michael
__________________

Alt 28.09.2007, 10:14   #4
KarlKarl
/// Helfer-Team
 
JavaScript Infektion - Standard

JavaScript Infektion



Schau mal in deine PN-Box hier im Forum. Das möchte ich mir mal gerne ansehen, auf eigenes Risiko, versteht sich!

Alt 11.10.2007, 10:12   #5
fcch
 
JavaScript Infektion - Standard

JavaScript Infektion



Hallo,

hatte auch eine infizierte Webseite, es wurde per ftp geändert. Aus Panama!
Anscheinend sind die Keylogger unterwegs.

Gruß, Fabian


Antwort

Themen zu JavaScript Infektion
accounts, aktiviert, anbieter, erklärung, funktion, hören, index.php, infektion, infiziert, javascript, lücke, namens, problem, programmier, richtig, scan, scripte, server, sicherheitsproblem, system, system32, trojaner, trotz, verschiedene, windows, änderung



Ähnliche Themen: JavaScript Infektion


  1. Opera - JavaScript: Sperrung
    Plagegeister aller Art und deren Bekämpfung - 11.07.2015 (9)
  2. JavaScript Probleme bei CyberGhost
    Antiviren-, Firewall- und andere Schutzprogramme - 19.03.2015 (4)
  3. Avast: Infektion blockiert , Infektion: URL:Mal (bei Ebay.de)
    Plagegeister aller Art und deren Bekämpfung - 21.05.2014 (3)
  4. Chrome Javascript blocker
    Antiviren-, Firewall- und andere Schutzprogramme - 10.09.2013 (1)
  5. Sicherheitslücke in Yahoos JavaScript-Framework YUI 2
    Nachrichten - 31.10.2012 (0)
  6. JavaScript Virus JS/RunForest.B eingefangen
    Plagegeister aller Art und deren Bekämpfung - 03.09.2012 (29)
  7. JavaScript - Frage!!!
    Alles rund um Windows - 08.08.2009 (5)
  8. Komische Internetseite mit Javascript -Angriff?
    Plagegeister aller Art und deren Bekämpfung - 26.04.2009 (1)
  9. Javascript Injection
    Plagegeister aller Art und deren Bekämpfung - 31.08.2007 (4)
  10. JavaScript - gut oder böse?
    Diskussionsforum - 15.09.2006 (3)
  11. javascript sexmaxx.com
    Log-Analyse und Auswertung - 29.10.2005 (18)
  12. JavaScript-Problem im TB
    Lob, Kritik und Wünsche - 01.05.2005 (6)
  13. Javascript läuft nicht mehr
    Plagegeister aller Art und deren Bekämpfung - 10.01.2005 (1)
  14. [Suche] JavaScript
    Alles rund um Windows - 19.01.2004 (4)
  15. Warum JavaScript abschalten??
    Alles rund um Windows - 08.01.2004 (2)
  16. javascript
    Alles rund um Windows - 01.04.2003 (1)
  17. Board und JavaScript
    Plagegeister aller Art und deren Bekämpfung - 18.03.2003 (2)

Zum Thema JavaScript Infektion - Hallo, ich hoff ich bin hier richtig, denn ich hab jetzt schon eine ganze Weile rumgesucht und keine zufriedenstellende Erklärung für mein Problem gefunden. Seit gestern hab ich das Problem, - JavaScript Infektion...
Archiv
Du betrachtest: JavaScript Infektion auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.