Hallo,

unsere Website wurde gehackt und in alle index.php Dateien auf dem Server via iframe Malware injiziert, sodass Google unsere Seiten mit einem Malware Hinweis versehen hat.

Ähnliche Vorfälle mit derselben Malware sind hier zu finden:
- http://www.trojaner-board.de/133587-...ml#post1045531
- hxxp://www.joomlaportal.de/joomla-2-5-sicherheit/294895-malware.html
- hxxp://www.boerse.bz/netzwelt/webmaster/1435350-protocolmindm-website-infiziert.html
(Ein User dort behauptet es sei iLivid Malware gewesen → AdwCleaner hat bei uns allerdings nichts gefunden)

Tatvorgang
Laut Server Logfiles hat sich zum Tatzeitpunkt (Timestamp geänderte Dateien) via FTP ein Server/Hacker aus Italien mit der IP 77.238.8.69 eingeloggt und die Dateien modifiziert.

Gretchenfrage, wie sind die FTP Daten geleakt?
- Wir haben bis heute nur FTP verwendet - Sniffing? Wie wahrscheinlich? (ist nun SFTP mit geänderten Zugangsdaten)
- Wir verwenden 2 Mac OS 10.8.3 Systeme (haben gerade mit Antivir einen Scan durchgeführt )
- Wir verwenden ausserdem einen Windows Rechner?

• → Was können wir noch tun um unsere Mac OS Systeme zu prüfen?
• → Wie können wir den Windows Rechner prüfen und analysieren?

Vielen Dank für jede Hilfe und Analyse!
Kirsten

bitte nicht mehr antworten!!
Thema ist nun bei hxxp://board.protecus.de/t42676.htm

Crossposting.