|
Infekt da3e94 Einen schönen guten Morgen in die Runde. Eingangs wurde ich gefragt, wer mir dieses Forum empfohlen hat. Wenn Tante Google eingetragenes Mitglied ist, war die das. Aber Spaß beiseite. Wie der Titel für suchende Nutzer schon sagt, geht es um den JS-Virus(?) da3e94 Die Suche im Web hat mir nicht wirklich Erkenntnisse gebracht. Aber ich möchte berichten, was ich "ermittelt" habe. Mein Hoster hatte am 10 dieses Monats ein Backupproblem. Am 12.06.13 um ca. 15:30 Uhr wurde unser Server infiziert. Da ich mit einem anderen Server beschäftigt war, wurde ich erst durch 2 Mails auf diesen Umstand hingewiesen. Die 1. Mail war von yandex.com 14.06.13, 02:38 Uhr und die andere 14.06.13 08:03 Uhr, von Google Zum Beitrag, der mich hierher geführt hat. Ich bezweifle, daß die Infektion etwas mit Forensoftware zu tun hat, denn bei uns waren mehrere Domains (ein Verzeichnis) betroffen. Dabei wurden htm, php, htc, js und json befallen. Der Part beginnt in der Regel mit den üblichen syntaxconformen Kommentaren <? #da3e94# #/da3e94# ?> /*da3e94*/ /*/da3e94*/ <!--da3e94--> <!--da3e94--> Dazwischen befindet sich das Script. Da es sich bei uns um mehrere tausend betroffene Dateien handelt, wird die Geschichte zur Fleißarbeit. Ein gutes Ergebnis hatte ich mit dem Laden von ca 50 Dateien in einen Texteditor und dem anschließenden suchen/ersetzen. Holpert aber etwas. Außerdem ist der Code nicht in jedem Fall vollständig und hat teilweise auch bestehende Abschnitte gelöscht, so daß ein Augenschein unumgänglich scheint. Wäre schön, wenn weitere Hinweise kämen. MfG RAK Zusatz. Wer Interesse hat, kann seine Domain hier kontrollieren lassen. https://webseite-klinik.de |
Hi, was genau ist jetzt deine Frage? :) |
Hallo Schrauber! Das war keine direkte Frage, sondern mehr ein Beitrag, der sich aus meiner augenblicklichen Arbeit ergeben hat. Auf zwei betroffenen Domains habe ich die Seiten schon bereinigt. Und jetzt kommen richtig Fragen auf. Wieso erkennt nur ein Programm einen Infekt(ein anderer) und die anderen nicht.? Also unter F-Secure Browsing Protection Portal wird mir gemeldet, daß die Seite sicher sei und ein anderes erzählt mir was von Black Hole AVG Threat Labs | Safety Ratings | Web Site Reports Blackhole Exploit Kit Das ist doch ein Infekt der Maschine und nicht der Seiten, oder? Einen heimlichen Gast hatte ich auch. <!-- Start Alexa Certify Javascript --> <script type="text/javascript" src="https://d31qbv1cthcecs.cloudfront.net/atrk.js"></script><script type="text/javascript">_atrk_opts = { atrk_acct: "hS0Te1a4ts00GZ", domain:"meinedomain.de"}; atrk ();</script><noscript><img src="https://d5nxst8fruw4z.cloudfront.net/atrk.gif?account=hS0Te1a4ts00GZ" style="display:none" height="1" width="1" alt="" /></noscript> <!-- End Alexa Certify Javascript --> Sehe ich das richtig, daß dieser Eintrag unwissentlich(von einem anderen Partner) in den Quelltext gekommen ist, oder ist der auch von außen lanziert worden? Diese Seite bietet auch viel Hilfe. Website/URL/Link Scanner Safety Check for Phishing, Malware, Viruses - ScanURL.net Danke für die Aufmerksamkeit RAK |
Zitat:
Für den rest, speziell den Code, muss ich passen, Code schreiben und kommt erst in meinem Studium :D |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 22:24 Uhr. |
Copyright ©2000-2025, Trojaner-Board