Hallo,

ich hoff ich bin hier richtig, denn ich hab jetzt schon eine ganze Weile rumgesucht und keine zufriedenstellende Erklärung für mein Problem gefunden.

Seit gestern hab ich das Problem, dass bei 3 Accounts meines Webhosters (auf verschiedenen Servern) die index-Dateien (index.php, index.html, main.html) in allen Verzeichnissen mit schadhaftem JavaScript-Code infiziert wurden. Ein Account mittlerweile sogar das zweite mal, trotz Passwortänderung!

Der eingeschleuste JavaScript-Code besteht aus einer Funktion namens "function N9203f348(Ac85Fc8){...}" und beinhaltet den Trojaner Trojan-Clicker.Win32.Agent.lw. Ich vermute, dass durch diesen mein System mit dem Trojan-Spy.Win32.Zbot.r (windows\system32\ntos.exe) infiziert wurde, den ich nach einem Scan gefunden habe, aber keine Ahnung.

Mein Webhoster behauptet, dass das über meine "schlecht programmierten" PHP-Scripts passiert, aber mir ist schleierhaft wie das gehen soll, zumal auf 2 der 3 Accounts der Safe-Mode aktiviert ist und PHP nichtmal Schreibrechte in den Verzeichnissen hat. Soweit ich die Möglichkeiten zur Code Injection in PHP kenne, haben ich auch meiner Meinung nach keinen potentiell gefährdeten Code produziert.

Würde mich freuen ein paar Meinungen dazu zu hören, weil ich mir nicht vorstellen kann, dass es an meinen Scripten liegt und eher vermute, dass der Anbieter ein Sicherheitsproblem hat. PHP ist zwar aktuell mit v4.4.7 aber Apache ist v1.3.26 (aktuell v1.3.39), vielleicht gibt es dort ja eine Lücke die ausgenutzt wird.

Gruß,
Michael

Hi,

wenn dein System durch solche Javascripts infiziert wurde, dann liegen auf deinem System Sicherheitsmängel vor. Entweder veraltete ungepatchte Software oder falsche Konfiguration. Auf einem sicheren System haben diese Scripte keinen Erfolg. ntos.exe (jedenfalls die, die ich kenne), ist übrigens eine Backdoor, über die unter anderem ein Keylogger läuft. Es ist also auch denkbar, dass über die die Zugangsdaten zu deinem Webspace abgegriffen wurde.

Webanwendungen in PHP wirklich sicher zu programmieren ist schwierig, davon zeugen die diversen in PHP programmierten Foren, in denen immer wieder Löcher gefunden werden. Safe-Mode verbessert zwar die Sicherheit, ist aber keine Garantie. Mehr fällt mir dazu nicht ein, ich kenne weder deine Webseiten noch deine Scripte. Es kann natürlich auch ein Problem beim Provider sein.

Gruß, Karl

Hi Karl,

dass mein System mit ntos infiziert wurde, hab ich bisher auf das Javascript geschoben, denn die aktuelle Version von Firefox führt dieses ohne zu murren aus (IE nicht) und ich greiffe sehr oft auf meine Seiten zu. Da das JavaScript auch Trojan-Downloader.JS.Psyme.le und anderes lädt, sieht das für mich so aus, als ob damit der andere Trojaner nachgeladen werden konnte. Aber das ist nur Vermutung und mir ist auch unklar, wie der schadhafte Code letztendlich auf meinem System ausgeführt werden konnte, JavaScript kann das ja eigentlich nicht selbst.

Was mir noch aufgefallen ist, auf meinem Webspace gibt es einen Ordner mit Log-Dateien, wo jeder Zugriff von Aussen auf die Dateien verzeichnet ist. Aber um die Uhrzeiten wo die Dateien geändert wurden, gab es keinerlei Zugriffe auf irgendwelche PHP Dateien bzw. überhaupt auf irgendwelche Dateien.

Es liegt also schon sehr nahe, dass die Passwörter auspioniert wurden. Nur heute Morgen war der Code schon wieder drin (nur auf einem Acc), mein System war aber bereinigt und das Passwort geändert.

Ich bin nachwievor verwirrt und werde das mal weiterhin beobachten. Trotzdem danke für Deine Antwort.

Gruß,
Michael

Schau mal in deine PN-Box hier im Forum. Das möchte ich mir mal gerne ansehen, auf eigenes Risiko, versteht sich!

Hallo,

hatte auch eine infizierte Webseite, es wurde per ftp geändert. Aus Panama!
Anscheinend sind die Keylogger unterwegs.

Gruß, Fabian