Einen schönen guten Morgen in die Runde.

Eingangs wurde ich gefragt, wer mir dieses Forum empfohlen hat.
Wenn Tante Google eingetragenes Mitglied ist, war die das.
Aber Spaß beiseite.

Wie der Titel für suchende Nutzer schon sagt, geht es um den
JS-Virus(?) da3e94

Die Suche im Web hat mir nicht wirklich Erkenntnisse gebracht.
Aber ich möchte berichten, was ich "ermittelt" habe.

Mein Hoster hatte am 10 dieses Monats ein Backupproblem.
Am 12.06.13 um ca. 15:30 Uhr wurde unser Server infiziert.

Da ich mit einem anderen Server beschäftigt war, wurde ich
erst durch 2 Mails auf diesen Umstand hingewiesen.

Die 1. Mail war von yandex.com 14.06.13, 02:38 Uhr
und die andere 14.06.13 08:03 Uhr, von Google

Zum Beitrag, der mich hierher geführt hat. Ich bezweifle,
daß die Infektion etwas mit Forensoftware zu tun hat,
denn bei uns waren mehrere Domains (ein Verzeichnis) betroffen.
Dabei wurden htm, php, htc, js und json befallen.

Der Part beginnt in der Regel mit den üblichen syntaxconformen
Kommentaren
<?
#da3e94#
#/da3e94#
?>
/*da3e94*/
/*/da3e94*/
<!--da3e94-->
<!--da3e94-->
Dazwischen befindet sich das Script.

Da es sich bei uns um mehrere tausend betroffene Dateien handelt,
wird die Geschichte zur Fleißarbeit.
Ein gutes Ergebnis hatte ich mit dem Laden von ca 50 Dateien in
einen Texteditor und dem anschließenden suchen/ersetzen.
Holpert aber etwas.
Außerdem ist der Code nicht in jedem Fall vollständig und hat
teilweise auch bestehende Abschnitte gelöscht, so daß ein
Augenschein unumgänglich scheint.
Wäre schön, wenn weitere Hinweise kämen.

MfG RAK

Zusatz. Wer Interesse hat, kann seine Domain hier kontrollieren lassen.
https://webseite-klinik.de

Hi,

was genau ist jetzt deine Frage?

Hallo Schrauber!

Das war keine direkte Frage, sondern mehr ein Beitrag, der sich aus meiner augenblicklichen Arbeit ergeben hat.

Auf zwei betroffenen Domains habe ich die Seiten schon bereinigt.
Und jetzt kommen richtig Fragen auf. Wieso erkennt nur ein Programm
einen Infekt(ein anderer) und die anderen nicht.?

Also unter F-Secure Browsing Protection Portal wird mir gemeldet,
daß die Seite sicher sei und ein anderes erzählt mir was von Black Hole
AVG Threat Labs | Safety Ratings | Web Site Reports Blackhole Exploit Kit
Das ist doch ein Infekt der Maschine und nicht der Seiten, oder?
Einen heimlichen Gast hatte ich auch.
<!-- Start Alexa Certify Javascript -->
<script type="text/javascript" src="https://d31qbv1cthcecs.cloudfront.net/atrk.js"></script><script type="text/javascript">_atrk_opts = { atrk_acct: "hS0Te1a4ts00GZ", domain:"meinedomain.de"}; atrk ();</script><noscript><img src="https://d5nxst8fruw4z.cloudfront.net/atrk.gif?account=hS0Te1a4ts00GZ" style="display:none" height="1" width="1" alt="" /></noscript>
<!-- End Alexa Certify Javascript -->
Sehe ich das richtig, daß dieser Eintrag unwissentlich(von einem anderen Partner)
in den Quelltext gekommen ist, oder ist der auch von außen lanziert worden?

Diese Seite bietet auch viel Hilfe. Website/URL/Link Scanner Safety Check for Phishing, Malware, Viruses - ScanURL.net

Danke für die Aufmerksamkeit
RAK

Zitat:

Wieso erkennt nur ein Programm
einen Infekt(ein anderer) und die anderen nicht.?

Jeder arbeitet mit anderen Signaturen, andere Scan-Engines, und so weiter.

Für den rest, speziell den Code, muss ich passen, Code schreiben und kommt erst in meinem Studium