Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Habe ich einen Trojaner auf meiner Website? (https://www.trojaner-board.de/115834-habe-trojaner-meiner-website.html)

ExeQtor 27.05.2012 14:54
Habe ich einen Trojaner auf meiner Website?
 
Hallo,
Ich betreibe eine Website und mir hat gestern ein Leser geschrieben, dass Avast beim Besuchen eine Trojanerwarnung ausgegeben hat:

Zitat:
URL: hxxp://www.***.de/|%3E{gzip}
Infektion: js:Redirector-VI [Trj]
Ich benutze auch Avast und bei mir wird nichts gefunden.
Erstens hat mich verwundert, dass die Fund-URL gar nicht existiert, wenn man die aufruft kommt nur eine 404 Seite.

Ich habe jetzt ein paar Online Scanner durchlaufen lassen und keiner hat etwas gefunden.

Ich muss aber auch dazu sagen, dass ich ein Plugin auf meiner Seite benutze das mich warnt, wenn jemand sich mehrmals mit falschem Passwort versucht anzumelden. Vor ein paar Tagen war das der Fall und die IP wurde gesperrt. Ich weiß nicht ob ich die hier posten darf aber das war die IP:

31.178.16.242

Außerdem hatte ich vor ein paar Monaten den GVU Virus auf meinem PC aber ich habe mit den Anleitungen vor hier, meines Wissens nach, alles wieder entfernt.

Ich habe auch schon per FTP die gesamten Dateien meiner Website heruntergeladen und mit Malwarebytes überprüft -> kein Fund.

Könnt ihr irgendwie testen ob meine Seite befallen ist?

Hier noch mal die URL, ihr wisst ja wie ihr sie eingeben müsst.

www *** de

Ich sage schon mal Danke für die Hilfe

Ich will ja nicht nerven aber bis jetzt herrscht noch keine Klarheit bei mir und ich möchte eigentlich nur wissen, ob meine Seite potentiell gefährlich ist oder wie ich das testen kann.
Also schiebe ich den Beitrag mal ganz frech nach oben, ich hoffe das ist erlaubt.

ExeQtor 29.05.2012 17:01
Diesen Beitrag bitte nicht löschen!

Ich habe eine PN von einem Mitglied erhalten und wurde auf folgendes hingewiesen:

Zitat:
Sehr geehrte Dame, sehr geehrter Herr,

Vielen Dank für Ihre Email an Avira's Virenlabor.
Auftragsnummer: INC0116XXXX.

Eine Auflistung der Dateien und Ergebnisse sind im folgenden aufgeführt:
Datei ID Dateiname Größe (Byte) Ergebnis
26912809 Neues Textdokument.js 1.98 KB MALWARE


Genaue Ergebnisse für jede Datei finden sie im folgenden Abschnitt:
Dateiname Ergebnis
Neues Textdokument.js MALWARE

Die Datei 'Neues Textdokument.js' wurde als 'MALWARE' eingestuft.
Unsere Analytiker haben dieser Bedrohung den Namen HTML/Afriemer.A gegeben.
Bei der Bezeichnung "HTML/" handelt es sich um einen Skriptvirus, der mit Hilfe eines HTML Scriptes das System infizieren kann.
Ein Erkennungsmuster wird mit einem der nächsten Updates der Virendefinitionsdatei (VDF) hinzugefügt werden.
Jetzt ist meine Frage, die ich diese Malware entfernen kann.
Das besagte "Neues Textdukument.js" existiert nich auf meinem Webspace, ich habe alle Dateien über FTP durchsucht.
Wie kann ich diese Datei finden und löschen und wie kann die Überhaupt dahin gekommen sein?

Da GuRu 30.05.2012 14:20
Hallo,

welchen Typs ist der Webscpace den Du benutzt?
Bitte alle Infos dazu (OS, Apache, PHP Version, vServer root etc.pp)!

ExeQtor 30.05.2012 15:12
Hallo,
Ich Benutze BPlaced Pro

Hier sind dazu alle Daten: hxxp://nachtaktiv.bplaced.net/support/phpinfo.php

Da GuRu 30.05.2012 15:36
Was sagt der Provider dazu?
Lass ihn deine Seite nach Malware scannen.

ExeQtor 31.05.2012 12:53
Der Provider sagt im Moment noch gar nichts dazu.
Ich habe ehrlich gesagt ein bisschen Angst, dass deswegen meine Seite gelöscht wird obwohl ich die Malware vielleicht einfach selbst entfernen könnte.

Kann mir jemand sagen, wie ich vorgehen muss um den Virus loszuwerden?

Da GuRu 31.05.2012 13:51
Es kommt nicht nur darauf an, den "Virus" loszuwerden, sondern die Sicherheitslücke zu schliessen.

Vorgehensweise:

1. Datenbank sichern
2. Seite vollständig löschen
3. WP neu installieren
4. Bei allen verwendeten Plugins nach Sicherheitsproblemen & neuen Versionen recherchieren
5. sichere Plugins installieren.

Genau das ist Dein Job ;)

ExeQtor 31.05.2012 14:08
Und du meinst wenn ich die Seite lösche und die Daten wieder drauf ziehe ist die Malware weg?

Bei den verwendeten Plugins habe ich schon recherchiert und ich verwende eigentlich nur bekannte und seriöse.

Geht es nicht einfach, dass ich eine Datei auf dem Webspace lösche und dann ist der Mist weg? Der Code muss ja irgendwo gespeichert sein.

Da GuRu 31.05.2012 14:18
Zitat:
Zitat von ExeQtor (Beitrag 836662)
Und du meinst wenn ich die Seite lösche und die Daten wieder drauf ziehe ist die Malware weg?
ja.


Zitat:
Bei den verwendeten Plugins habe ich schon recherchiert und ich verwende eigentlich nur bekannte und seriöse.
Genau die bekannten sind das Angriffsziel, weil weit verbreitet.
Ist wie bei Windows auch.

Zitat:
Zitat von ExeQtor (Beitrag 836662)
Geht es nicht einfach, dass ich eine Datei auf dem Webspace lösche und dann ist der Mist weg?
Welche willst du löschen und wie kam sie dahin?
willst du das jede Stunde machen, weil die Lücke ja immer noch offen seht?



Zitat:
Der Code muss ja irgendwo gespeichert sein.
ja, richtig.
er wurde auch irgendwie eingeschleust.

Eigentlich ist es wurscht ob du es machst oder nicht, denn Google filtert Malwareschleudern immer zuverlässiger.
Du kannst es also slbst machen oder es Google "machen lassen" :)

ExeQtor 31.05.2012 14:27
Ok das verstehe ich (fast) alles und werde das so schnell wie möglich in Angriff nehmen.

Nur 1 was ist mir noch unklar. Wenn die Malware als Datei auf dem Webspace liegt und ich alles sichere, neu installiere und wieder drauf mach dann ist doch auch die Malware wieder drauf oder?

Außerdem finde ich einen Fakt sehr merkwürdig:
Der besagte Code wurde 1x vor ein paar Tagen auf meiner website gefunden. Ich habe die Passwörter geändert und ein paar alte Spamkommentare aus dem Papierkorb gelöscht. Jetzt ist der Schadcode nicht mehr im Quelltext und Google zeigt auch an das die Seite sauber ist.
Zählt das schon als bereinigt?

Da GuRu 31.05.2012 14:48
Zitat:
Zitat von ExeQtor (Beitrag 836674)
Nur 1 was ist mir noch unklar. Wenn die Malware als Datei auf dem Webspace liegt und ich alles sichere, neu installiere und wieder drauf mach dann ist doch auch die Malware wieder drauf oder?
Du sollst auch nur die DB sichern, nicht die Dateien.
Die Dateien holst du neu bei vertrauenswürdigen Quellen.

Zitat:
Zitat von ExeQtor (Beitrag 836674)
Außerdem finde ich einen Fakt sehr merkwürdig:
Der besagte Code wurde 1x vor ein paar Tagen auf meiner website gefunden. Ich habe die Passwörter geändert und ein paar alte Spamkommentare aus dem Papierkorb gelöscht. Jetzt ist der Schadcode nicht mehr im Quelltext und Google zeigt auch an das die Seite sauber ist.
Zählt das schon als bereinigt?
Deine Angaben reichen nicht aus um all das zu beurteilen.
Es ist unklar, was wie durch wen und wann gefunden wurde.

ExeQtor 31.05.2012 15:13
OK danke, dann mach ich das so und melde mich, wenn es Probleme gibt.


Alle Zeitangaben in WEZ +1. Es ist jetzt 06:52 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131