JS:Illredir-W auf Webserver

SmolkaJ · 24.02.2010, 19:41

Hallo,

als ich heute morgen meine Seite aufraufen wollte, auf der ich das CMS Redaxo installiert habe, bekam ich einen PHP Error. Ein Blick in den Quelltext hat auch schnell offenbart, warum: In der letzten Zeile der redaxo index.php war ein Inline Javascript eingefügt, was innerhalb von <?php ?> natürlich nicht funktionieren kann.

Soweit so gut, fragt sich nur, woher der kryptische Javascript kommt! (Kann den Quelltext bei Bedarf gerne mal posten ) Am Tag davor hat die Seite noch funktioniert und der Skript war noch nicht vorhanden. Hab die Datei mal bei VirusTotal checken lassen und auch promt was gefunden. Habe mal ein bisschen bei Google gesucht, aber viel lässt sich dazu nicht finden. Der Trojaner ist in der Avastdatenbank auch erst seit gestern und in der Sophosdatenbank sogar erst seit heute.

Als nächstes habe ich mal das Änderungsdatum der infizierten Dateien angeschaut (index.php im obersten Verzeichnis und index.php in /redaxo/, möglicherweise noch andere). Die letzten Änderungen waren gestern um 22:18:02 bzw. um 22:26:24. Zu dieser Zeit war mein Rechner definitiv ausgeschaltet und er wurde auch erst heute morgen wieder eingeschaltet. Anschließend habe ich mein FTP Log auf dem Server gecheckt (1und1), da waren die letzte Einträge von gestern um ca. 18 Uhr. Über FTP kann der Trojaner also nicht eingeschleust worden sein. Habe noch die CHMOD der entsprechenden Dateien gecheckt, die stehen auf 644.

Wichtig zu wissen ist auch, dass ich kurz vor Weihnachten bereits ein ähnliches Problem hatte, damals hat NOD32 den Trojaner "JS/TrojanDownloader.Agent.NRL" erkannt, der bei Avast wohl "JS:Illredir-C" heißt - bis auf den letzten Buchstaben also der gleiche Name wie bei meinem jetzigen "Problem".

Damals wie heute habe ich Redaxo zu Testzwecken in einem Unterverzeichnis auf dem Server installiert. Interessanterweise sind die restlichen Dateien auf dem Server absolut "clean", da lässt sich kein Schadcode finden. Da scheint es natürlich nicht unwahrscheinlich, dass das ganze irgend etwas mit Redaxo zu tun hat.

Als ich das Problem zum ersten Mal hatte, habe ich das Verzeichnis schlichtweg gelöscht und gehofft, dass das Problem damit gelöst ist (schließlich waren alle anderen Datein auf dem Server wie gesagt ja sauber). Ich habe also keine Passwörter oder dergleichen geändert.

Wie ich herausgefunden habe, öffnet der Trojaner übriegens verschiedene Dateien auf folgendem Server: h**p://aebn-net.adobe.com.sfgate-com.jerseyhomesite.ru:8080/... Ich denke der interessante Teil der URL ist jerseyhomesite.ru:8080, bei Google habe ich aber nur wenig dazu gefunden.

Hat einer von euch eine Idee, wo der Trojaner herkommen könnte/wie er auf den Server kommen konnte? Was sind weitere Möglichkeiten, Nachforschungen anzustellen?

Hoffe sehr, ihr könnt mir irgendwie weiterhelfen! Danke schon einmal vorab!

Gruß
SmolkaJ

SmolkaJ · 24.02.2010, 23:08

Ich verwende übriegens YAML, falls das relevant sein sollte.
Hier noch die Server Log:

Code:

ATTFilter

217.226.205.95 - - [23/Feb/2010:21:26:28 +0100] "GET /index.htm HTTP/1.1" 304 - www.mypage.de "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)" "-"
217.226.205.95 - - [23/Feb/2010:21:26:28 +0100] "GET /Navigation/navigation_mit_such.html HTTP/1.1" 304 - www.mypage.de "http://www.mypage.de/index.htm" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)" "-"
217.226.205.95 - - [23/Feb/2010:21:26:28 +0100] "GET /eingang_body.htm HTTP/1.1" 304 - www.mypage.de "http://www.mypage.de/index.htm" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)" "-"
77.186.199.212 - - [23/Feb/2010:21:58:13 +0100] "GET /Dateien/Lehrplan_5_6.pdf HTTP/1.1" 200 51448 www.mypage.de "http://www.google.de/search?client=firefox-a&rls=org.mozilla%3Ade%3Aofficial&channel=s&hl=de&source=hp&q=Musikunterricht+The+Alan+Parsons+Projekt+++++++++++++++++++++++++++&meta=&btnG=Google-Suche" "Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.9.0.10) Gecko/2009042316 Firefox/3.0.10" "-"
77.186.199.212 - - [23/Feb/2010:21:58:13 +0100] "GET /favicon.ico HTTP/1.1" 200 1406 www.mypage.de "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.9.0.10) Gecko/2009042316 Firefox/3.0.10" "-"
24.158.25.194 - - [23/Feb/2010:22:00:38 +0100] "GET / HTTP/1.1" 200 653 www.mypage.de "http://www.google.com/search?hl=en&safe=active&q=my+am+page&aq=f&aqi=g10&aql=&oq=" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; InfoPath.2)" "-"
24.158.25.194 - - [23/Feb/2010:22:00:45 +0100] "GET / HTTP/1.1" 200 653 www.mypage.de "http://www.google.com/search?hl=en&safe=active&q=my+am+page&aq=f&aqi=g10&aql=&oq=" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; InfoPath.2)" "-"
24.158.25.194 - - [23/Feb/2010:22:00:56 +0100] "GET / HTTP/1.1" 200 653 www.mypage.de "http://www.google.com/search?hl=en&safe=active&q=my+am+page&aq=f&aqi=g10&aql=&oq=" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; InfoPath.2)" "-"
24.158.25.194 - - [23/Feb/2010:22:01:15 +0100] "GET / HTTP/1.1" 200 653 www.mypage.de "http://www.google.de/search?hl=de&source=hp&q=my+am+page&meta=&aq=f&oq=&safe=active" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; InfoPath.2)" "-"
24.158.25.194 - - [23/Feb/2010:22:01:17 +0100] "GET /eingang_body.htm HTTP/1.1" 200 7216 www.mypage.de "http://www.google.de/search?hl=de&source=hp&q=my+am+page&meta=&aq=f&oq=&safe=active" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; InfoPath.2)" "-"
66.235.124.16 - - [23/Feb/2010:22:11:37 +0100] "GET /robots.txt HTTP/1.1" 200 299 www.mypage.de "-" "Mozilla/5.0 (compatible; Ask Jeeves/Teoma; +http://about.ask.com/en/docs/about/webmasters.shtml)" "-"
66.235.124.16 - - [23/Feb/2010:22:11:37 +0100] "GET /profil/sprachenagebot.htm HTTP/1.1" 200 6427 www.mypage.de "-" "Mozilla/5.0 (compatible; Ask Jeeves/Teoma; +http://about.ask.com/en/docs/about/webmasters.shtml)" "-"
66.249.65.232 - - [23/Feb/2010:22:45:24 +0100] "GET /profil/Galerie/Bilder/Laura-Warken-web.jpg HTTP/1.1" 304 - www.mypage.de "-" "Googlebot-Image/1.0" "-"
93.197.178.36 - - [23/Feb/2010:22:49:47 +0100] "GET / HTTP/1.1" 200 653 www.mypage.de "http://www.google.de/search?q=my+am+page+sbr.&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:de:official&client=firefox-a" "Mozilla/5.0 (Windows; U; Windows NT 6.1; de; rv:1.9.2) Gecko/20100115 Firefox/3.6" "-"
93.197.178.36 - - [23/Feb/2010:22:49:48 +0100] "GET /favicon.ico HTTP/1.1" 200 1406 www.mypage.de "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; de; rv:1.9.2) Gecko/20100115 Firefox/3.6" "-"
93.197.178.36 - - [23/Feb/2010:22:49:48 +0100] "GET /index.html HTTP/1.1" 301 260 www.mypage.de "http://www.mypage.de/" "Mozilla/5.0 (Windows; U; Windows NT 6.1; de; rv:1.9.2) Gecko/20100115 Firefox/3.6" "-"
93.197.178.36 - - [23/Feb/2010:22:49:49 +0100] "GET /index.htm HTTP/1.1" 200 1356 www.mypage.de "http://www.mypage.de/" "Mozilla/5.0 (Windows; U; Windows NT 6.1; de; rv:1.9.2) Gecko/20100115 Firefox/3.6" "-"
93.197.178.36 - - [23/Feb/2010:22:49:49 +0100] "GET /Navigation/navigation_mit_such.html HTTP/1.1" 200 6131 www.mypage.de "http://www.mypage.de/index.htm" "Mozilla/5.0 (Windows; U; Windows NT 6.1; de; rv:1.9.2) Gecko/20100115 Firefox/3.6" "-"
93.197.178.36 - - [23/Feb/2010:22:49:49 +0100] "GET /eingang_body.htm HTTP/1.1" 200 7216 www.mypage.de "http://www.mypage.de/index.htm" "Mozilla/5.0 (Windows; U; Windows NT 6.1; de; rv:1.9.2) Gecko/20100115 Firefox/3.6" "-"
93.197.178.36 - - [23/Feb/2010:22:49:49 +0100] "GET /home_re.htm HTTP/1.1" 200 426 www.mypage.de "http://www.mypage.de/index.htm" "Mozilla/5.0 (Windows; U; Windows NT 6.1; de; rv:1.9.2) Gecko/20100115 Firefox/3.6" "-"
93.197.178.36 - - [23/Feb/2010:22:49:49 +0100] "GET /Scripts/vorlage-div.css HTTP/1.1" 200 3523 www.mypage.de "http://www.mypage.de/eingang_body.htm" "Mozilla/5.0 (Windows; U; Windows NT 6.1; de; rv:1.9.2) Gecko/20100115 Firefox/3.6" "-"
93.197.178.36 - - [23/Feb/2010:22:49:49 +0100] "GET /Navigation/slashfiles/menu.css HTTP/1.1" 200 3026 www.mypage.de "http://www.mypage.de/Navigation/navigation_mit_such.html" "Mozilla/5.0 (Windows; U; Windows NT 6.1; de; rv:1.9.2) Gecko/20100115 Firefox/3.6" "-"
93.197.178.36 - - [23/Feb/2010:22:49:49 +0100] "GET /Navigation/slashfiles/menue_gas.js HTTP/1.1" 200 5862 www.mypage.de "http://www.mypage.de/Navigation/navigation_mit_such.html" "Mozilla/5.0 (Windows; U; Windows NT 6.1; de; rv:1.9.2) Gecko/20100115 Firefox/3.6" "-"
93.197.178.36 - - [23/Feb/2010:22:49:49 +0100] "GET /Navigation/slashfiles/navigation.js HTTP/1.1" 200 9006 www.mypage.de "http://www.mypage.de/Navigation/navigation_mit_such.html" "Mozilla/5.0 (Windows; U; Windows NT 6.1; de; rv:1.9.2) Gecko/20100115 Firefox/3.6" "-"
93.197.178.36 - - [23/Feb/2010:22:49:49 +0100] "GET /Navigation/slashfiles/expanded.gif HTTP/1.1" 200 850 www.mypage.de "http://www.mypage.de/Navigation/navigation_mit_such.html" "Mozilla/5.0 (Windows; U; Windows NT 6.1; de; rv:1.9.2) Gecko/20100115 Firefox/3.6" "-"
93.197.178.36 - - [23/Feb/2010:22:49:49 +0100] "GET /Hochformat.jpg HTTP/1.1" 200 21052 www.mypage.de "http://www.mypage.de/eingang_body.htm" "Mozilla/5.0 (Windows; U; Windows NT 6.1; de; rv:1.9.2) Gecko/20100115 Firefox/3.6" "-"
93.197.178.36 - - [23/Feb/2010:22:49:49 +0100] "GET /Bilder_VSE09/Scheckuebergabe.jpg HTTP/1.1" 200 16559 www.mypage.de "http://www.mypage.de/eingang_body.htm" "Mozilla/5.0 (Windows; U; Windows NT 6.1; de; rv:1.9.2) Gecko/20100115 Firefox/3.6" "-"
93.197.178.36 - - [23/Feb/2010:22:50:00 +0100] "GET /Navigation/slashfiles/linkarrow.gif HTTP/1.1" 200 846 www.mypage.de "http://www.mypage.de/Navigation/slashfiles/menu.css" "Mozilla/5.0 (Windows; U; Windows NT 6.1; de; rv:1.9.2) Gecko/20100115 Firefox/3.6" "-"
93.197.178.36 - - [23/Feb/2010:22:50:06 +0100] "GET /kontakt/kontakt.html HTTP/1.1" 200 4955 www.mypage.de "http://www.mypage.de/Navigation/navigation_mit_such.html" "Mozilla/5.0 (Windows; U; Windows NT 6.1; de; rv:1.9.2) Gecko/20100115 Firefox/3.6" "-"
93.197.178.36 - - [23/Feb/2010:22:50:06 +0100] "GET /Scripts/verdana_td_12.css HTTP/1.1" 200 2416 www.mypage.de "http://www.mypage.de/kontakt/kontakt.html" "Mozilla/5.0 (Windows; U; Windows NT 6.1; de; rv:1.9.2) Gecko/20100115 Firefox/3.6" "-"
93.197.178.36 - - [23/Feb/2010:22:50:06 +0100] "GET /Scripts/kontakt.css HTTP/1.1" 200 717 www.mypage.de "http://www.mypage.de/kontakt/kontakt.html" "Mozilla/5.0 (Windows; U; Windows NT 6.1; de; rv:1.9.2) Gecko/20100115 Firefox/3.6" "-"
67.202.56.227 - - [23/Feb/2010:22:50:20 +0100] "GET /robots.txt HTTP/1.1" 200 299 www.mypage.de "-" "Mozilla/5.0 (compatible; spbot/2.0; +http://www.seoprofiler.com/bot/ )" "-"
67.202.56.227 - - [23/Feb/2010:22:50:21 +0100] "GET /aktuell/programm-konzert09.html HTTP/1.1" 200 6882 www.mypage.de "-" "Mozilla/5.0 (compatible; spbot/2.0; +http://www.seoprofiler.com/bot/ )" "-"
67.202.56.227 - - [23/Feb/2010:22:50:22 +0100] "GET /robots.txt HTTP/1.1" 200 299 www.mypage.de "-" "Mozilla/5.0 (compatible; spbot/2.0; +http://www.seoprofiler.com/bot/ )" "-"
67.202.56.227 - - [23/Feb/2010:22:50:23 +0100] "GET /aktuell/ HTTP/1.1" 403 623 www.mypage.de "-" "Mozilla/5.0 (compatible; spbot/2.0; +http://www.seoprofiler.com/bot/ )" "-"
207.46.204.237 - - [23/Feb/2010:23:14:39 +0100] "GET /robots.txt HTTP/1.1" 200 299 www.mypage.de "-" "msnbot/2.0b (+http://search.msn.com/msnbot.htm)" "-"
88.130.40.169 - - [23/Feb/2010:23:23:50 +0100] "GET /archiv/NvSchl%20Dez03.pdf HTTP/1.1" 200 124588 www.mypage.de "http://www.google.de/search?um=1&hl=de&rlz=1T4GFRE_deDE362DE362&q=Christiane%20H%C3%BCfner%20Saarbr%C3%BCcken&oq=&ie=UTF-8&sa=N&tab=iw" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; GTB6.4; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; InfoPath.2)" "-"
88.130.40.169 - - [23/Feb/2010:23:23:50 +0100] "GET /archiv/NvSchl%20Dez03.pdf HTTP/1.1" 206 84059 www.mypage.de "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; GTB6.4; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; InfoPath.2)" "-"
88.130.40.169 - - [23/Feb/2010:23:23:50 +0100] "GET /archiv/NvSchl%20Dez03.pdf HTTP/1.1" 206 3430 www.mypage.de "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; GTB6.4; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; InfoPath.2)" "-"
88.130.40.169 - - [23/Feb/2010:23:23:51 +0100] "GET /archiv/NvSchl%20Dez03.pdf HTTP/1.1" 206 26442 www.mypage.de "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; GTB6.4; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; InfoPath.2)" "-"
88.130.40.169 - - [23/Feb/2010:23:23:52 +0100] "GET /archiv/NvSchl%20Dez03.pdf HTTP/1.1" 206 22983 www.mypage.de "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; GTB6.4; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; InfoPath.2)" "-"
88.130.40.169 - - [23/Feb/2010:23:23:52 +0100] "GET /archiv/NvSchl%20Dez03.pdf HTTP/1.1" 206 9326 www.mypage.de "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; GTB6.4; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; InfoPath.2)" "-"
88.130.40.169 - - [23/Feb/2010:23:23:53 +0100] "GET /archiv/NvSchl%20Dez03.pdf HTTP/1.1" 206 126275 www.mypage.de "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; GTB6.4; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; InfoPath.2)" "-"
66.249.65.232 - - [23/Feb/2010:23:24:26 +0100] "GET /profil/Galerie/0_kunst4.htm HTTP/1.1" 200 514 www.mypage.de "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" "-"
66.249.65.232 - - [23/Feb/2010:23:24:26 +0100] "GET /Galerie_LK_2006/index.htm HTTP/1.1" 200 4902 www.mypage.de "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" "-"

JS:Illredir-W auf Webserver

Plagegeister aller Art und deren Bekämpfung: JS:Illredir-W auf Webserver

JS:Illredir-W auf Webserver

JS:Illredir-W auf Webserver

Ähnliche Themen: JS:Illredir-W auf Webserver