Sehr geehrte Community,
langsam bin ich ratlos.

Ich bin Admin einer Internetseite und hab die schön neu gestaltet etc.
"Anmerkung" bei mir gab es nie Probleme.

Nun ging die Seite online (nicht mehr Subdomain) und einen Tag später hatte ein Kollege einen Trojanerbefall, angeblich wegen der Seite. Es "sprang" ein Fenster auf, zwecks Javaupdate -> tot.
Daraufhin wurde jegliches Javascript deaktiviert, nur noch 2 vom CMS sind aktiv.

Dann hatten wir einen Befall direkt auf dem FTP... schnelles Handeln, Passwörter geändert und Backup auf dem FTP eingespielt. Alle Passwörter wurden geändert (Passwörter mit Keepass erstellt), da war es dann auch so weit mit Sperrung von Google und das volle Programm (erstaunlich wie schnell Google in dem Fall ist).

Nun dachte ich wieder, dass alles schön ist und heute wieder ein Trojanerbefall bei einem Kollegen.
Ich weiß langsam nicht mehr weiter. Sucuri SiteCheck sagt, dass die Seite sauber ist, alle möglichen Dienste sagen mir, dass sie es ist. Aber woran liegt es denn dann?

Ich habe rausgefunden das der Befall nur dann kommt, wenn auf dem Rechner Java 6 drauf ist. Sind die Rechner schon infiziert und lösen dann nur auf unserer Seite aus?

Es handelt sich um folgende Seite:
www.rvs-lds.de

Zitat:

Zitat von Galikor

Ich habe rausgefunden das der Befall nur dann kommt, wenn auf dem Rechner Java 6 drauf ist.

Warum muss es denn die 6er Java Version sein? Aktuell ist Version 7 Update 13
Ob die Rechner nun schon per se infiziert sind, müssen die Helfer hier klären, dazu brauchts dann Logfiles von den Systemen, wobei die Betroffenen Rechner dann einer Firma gehören und da sollte man sich vielleicht doch eher an ein örtliches IT Unternehmen, statt an ein Forum wenden.

Hi
na so schwer ist das Script nicht zu finden.
Schau dir mal deine Index Dateien an, scrolle bis zum ende, da ist ein javascript angehängt.
Ich würde vorschlagen:
Passwörter zur Datenbank (sql) und FTP ändern.
CMs updaten wordpress oder was ihr sonst so nutzt
Dateien von ungewollten Scripts säubern.
PC's an denen du die Passwörter für die Seite eingegeben hast hier zur überprüfung.
Wenn du uns sagst welches cms du nutzt können wir evtl. noch sicherheitshinweise posten.

Was, wo seht ihr da was? :/ (ich suche im quellcode immer nach script und lese fast jede zeile, mir fällt nichts mehr auf.)
Ich gucke schon seit Stunden hier rum. -.-

Contao nutze ich.

ich hatte beim ersten Besuch was gesehen nu nich mehr.
kannst du mir die Daten zur verfügung stellen, entweder mit ftp zugang oder
File-Upload.net - Ihr kostenloser File Hoster!
dort gepackt hochladen und link als private nachicht an mich
schau auch mal in die .htaccess Dateien ob die ok sind.

Bitte mach außerdem mal ein update:
https://contao.org/de/news/contao_3-0-4.html
und schau mal, ob du unnötige Plugins, etc drinnen hast, die du dann löschen solltest.
auch Themes