JavaScript Infektion

mystic11

Hallo,

ich hoff ich bin hier richtig, denn ich hab jetzt schon eine ganze Weile rumgesucht und keine zufriedenstellende Erklärung für mein Problem gefunden.

Seit gestern hab ich das Problem, dass bei 3 Accounts meines Webhosters (auf verschiedenen Servern) die index-Dateien (index.php, index.html, main.html) in allen Verzeichnissen mit schadhaftem JavaScript-Code infiziert wurden. Ein Account mittlerweile sogar das zweite mal, trotz Passwortänderung!

Der eingeschleuste JavaScript-Code besteht aus einer Funktion namens "function N9203f348(Ac85Fc8){...}" und beinhaltet den Trojaner Trojan-Clicker.Win32.Agent.lw. Ich vermute, dass durch diesen mein System mit dem Trojan-Spy.Win32.Zbot.r (windows\system32\ntos.exe) infiziert wurde, den ich nach einem Scan gefunden habe, aber keine Ahnung.

Mein Webhoster behauptet, dass das über meine "schlecht programmierten" PHP-Scripts passiert, aber mir ist schleierhaft wie das gehen soll, zumal auf 2 der 3 Accounts der Safe-Mode aktiviert ist und PHP nichtmal Schreibrechte in den Verzeichnissen hat. Soweit ich die Möglichkeiten zur Code Injection in PHP kenne, haben ich auch meiner Meinung nach keinen potentiell gefährdeten Code produziert.

Würde mich freuen ein paar Meinungen dazu zu hören, weil ich mir nicht vorstellen kann, dass es an meinen Scripten liegt und eher vermute, dass der Anbieter ein Sicherheitsproblem hat. PHP ist zwar aktuell mit v4.4.7 aber Apache ist v1.3.26 (aktuell v1.3.39), vielleicht gibt es dort ja eine Lücke die ausgenutzt wird.

Gruß,
Michael