hallo und frohes osterfest.... mehr oder weniger ^^

als ich heute meine internetseite aufrufen wollte (liegt bei strato) kam follgende weiterleitung, nachdem meine seite vollständig aufgebaut wurde

ht*p://yafid.cn/mm/

leere seite mit diesem text "Sorry! You IP is blocked."

[schnipp]

weiss einer was das is ? webspace gehackt ? pc gehackt ?
der webspace zeigt keine änderung... an der homepage wurde nur ein banner getauscht...

antivir sagte mir grad "nur" 1 fund "java.classloader.a"... is mittlerweile gelöscht

wäre für schnelle hilfe sehr dankbar
mfg funky chicke(n bei der anmeldung vergessen )

Hallo,

habe genau das selbe Problem mit
ht*p://yafid.cn/mm/
Einige Seiten auf meinem Homepage werden direkt auf diese Adresse weitergeleitet (nicht alle).

Weiss jemand wie die das anstellen? Und wo wir die Sicherheitslücke haben?
Hat jemand Tips für mich wie ich mein Homepage retten kann???

Ich habe alle Dateien mit einem FTP Programm downgeloaded um nach Viren zu Scannen = kein Virus.

Ich finde auch keine Weiterleitungsdateien,...

Danke im Voraus,

Gruß
Ertu

Hallo ich bins nochmal, funky ich habe was gefunden,
unszwar lade mal per FTP die HTML Datei runter, von der du weißt, dass es weitergeleitet wird. Und schau dir dann mal den Quelltext an.


Du wirst so ungefähr diesen Ausdruck finden, der muss da weg.

Nur meine Frage an die Vollprofis: wie kann da jemand einfach ein link in meine index.html setzen? Wurden eventuell meine FTP Daten gecrackt? Wie kann ich das verhindern. Ich habe die Schreibrechte kontrolliert die waren in Ordnung.

Was mir jetzt so spontan einfällt ist ein Keylogger.
Oder aber auch einfach über Brute Force, dauert
zwar eine Zeitlang aber man bekommt schon
das Passwort mit ner guten und großen Wörterliste.
Gegen Brutforce muss der Webspace wenn nicht schon
vorhanden einen Schutz einbauen, wenn z.B. 10 versuche
in 5 Sek. erfolglos statt finden das die IP nen Ban von 12h
oder so bekommt.

Hallo zusammen
ich bin auch bei Strato und bin genau mit dem gleichem Problem konfrontiert.
Bei Aufruf der Webseite Index.xxx wird die Webadresse mit ht*p://yafid.cn/mm/ ersetzt. Wenn man aber nur ht*p://yafid.cn angibt, wird es zu eine Pornosite gelinkt. Das ist nicht irgendwie zufällig passiert und meine Meinung nach jemand hat der Strato-Server wieder geknackt.
Auf jeden Fahl den Tipp von ertu20 richtig ist und inzwischen habe ich meine Index-Datei bereinigt.
Die Frage, die mich beschäftigt ist: wie könnte der oder die, diese iframe (mindestens bei mir war so) hinter dem </HTML> Tag in der Index-Datei und zwar nur beim StratoServer platzieren. Meine lokale Datei ist sauber.
Virenscanner erkennen dabei nichts.
Wäre nicht schlecht wenn wir, die betroffene diese Sauerei beim Strato melden.
Grüße

Hallo an alle!

Arbeitet ihr mit selbsterstellten Webseiten oder nutzt ihr ein CMS?

Ändert ihr regelmäsig eure Zugangsdaten für FTP, Adminbereich bei Strato?

ich fände es super, wenn alle betroffenen Ihre Webserver für die sie veranwortlich sind sauber halten würden oder zumindest jetzt offline nehmen, um die Verbreitung des Befalls dann doch was einzudämmen.
Ich hatte nach Besuch diesen Gast.
Prüft bitte Eure Rechner!

Alle die hier Probleme haben/hatten, haben in ihrem Browser Java aktiviert, Frames in ihren Seiten. 2 Dinge, die man nicht braucht.

Also raus mit den Frames, ordentlich gecodet, neue Passwörter/Zugangsdaten allgemein setzen und/ CMS aktualisieren, wenn ihr damit arbeitet.

Register Globals auf Off setzen.

Danke zunächst für eure Tips,
- den iframe habe ich rausgenommen,
- mein Rechner habe ich einpaar mal über den Virusscanner mit integriertem Spywarescanner gezogen (Der Rechner war schon ein bisschen befallen)

KleinerMarce: - Ich arbeite mit selbstertstellten Webseiten
- Zugangsdaten habe ich seit Mitte Februar nicht geändert. Das aber dürfte nicht das Problem sein.

BataAlexander: - Ich habe solange meinen Homepage gesperrt. Jetzt, also nachdem ich das Problem gelöst habe, ist es wieder online.

Ich nehme an, dass irgendwelche Hacker entweder Dateien in Form von CHMOD 777 vorfinden und die Dateien so manipulieren, oder aber den FTP-Code knacken und so die Dateien manipulieren.

Haben wir denn hier überhaupt kein Hacker, der sich da auskennt ???

Zitat:

- mein Rechner habe ich einpaar mal über den Virusscanner mit integriertem Spywarescanner gezogen (Der Rechner war schon ein bisschen befallen)

Ein bisschen befallen gibt es nicht!
Entweder: Dein Rechner und die der anderen war so befallen, dass Dritte alle Daten mitlesen konnten und so deine Webpräsenz korrumpierten
Oder: Ihr verwendet Software Lösungen die mittels Exploits gehackt wurden und denn weiter gestreut haben.

Du solltest imho Deinen Rechner, vleiiehct hier, prüfen lassen, angefangen bei einem HJt Log.

Zitat:

Ich nehme an, dass irgendwelche Hacker entweder Dateien in Form von CHMOD 777 vorfinden und die Dateien so manipulieren, oder aber den FTP-Code knacken und so die Dateien manipulieren.

Haben wir denn hier überhaupt kein Hacker, der sich da auskennt ???

Also ein Hacker würde deine Page schonmal nicht mit schädlichem Code versetzen. Vielleicht ein Skriptkiddie, welche schnell als Hacker bezeichnet werden, oder aber einem Grey-Hat-Hacker könnte man das eher zutrauen.

Bei dir ist es einfach eine Schwachstelle im Code bzw. hat jemand dein Passwort für den FTP-Zugang abgegriffen. Solange man keinen Code vor der Nase hat, kann man wenig sagen.

Das beste ist für den Fall der Manipulation der Webseite: Vom Netz nehmen, auf Schachstellen untersuchen, diese fixen, Zugangsdaten komplett ändern (inkl. Benutzername beim FTP), sauberes Backup einspielen und regelmäßig pflegen.

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 21:48:04, on 25.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\F-Secure\Common\FSM32.EXE
C:\Programme\WinTV\Ir.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programme\F-Secure\Anti-Virus\fsgk32st.exe
C:\Programme\F-Secure\Anti-Virus\FSGK32.EXE
C:\Programme\F-Secure\Common\FSMA32.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\F-Secure\Common\FSMB32.EXE
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\F-Secure\Common\FCH32.EXE
C:\Programme\F-Secure\Common\FAMEH32.EXE
C:\Programme\F-Secure\Anti-Virus\fsqh.exe
C:\Programme\F-Secure\FSGUI\fsguidll.exe
C:\Programme\F-Secure\FSAUA\program\fsaua.exe
C:\Programme\F-Secure\Anti-Virus\fssm32.exe
C:\Programme\F-Secure\FWES\Program\fsdfwd.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\F-Secure\FSAUA\program\fsus.exe
C:\Programme\F-Secure\Anti-Virus\fsav32.exe
C:\Programme\F-Secure\FSGUI\fsavgui.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\explorer.exe
C:\Temp\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://intern.passul.t-online.de/cgi-bin/CP/00000000;/Themen/CPM/Browser/ie7-start.html?l=http://www.t-online.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://intern.passul.t-online.de/cgi-bin/CP/00000000;/Themen/CPM/Browser/ie7-start.html?l=http://www.t-online.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer bereitgestellt von T-Online
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Programme\Ipswitch\WS_FTP Pro\wsbho2k0.dll
O2 - BHO: (no name) - {709DB19F-9C09-49A7-9A86-B65DCC1525B4} - C:\WINDOWS\system32\browsel.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: QuickTalk 2.1 - {CF26FAC0-7D4E-46D8-AE64-B277B11443AC} - C:\WINDOWS\system32\iesearch.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\f-secure\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: c:\programme\f-secure\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: c:\programme\f-secure\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: c:\programme\f-secure\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: c:\programme\f-secure\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: c:\programme\f-secure\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: c:\programme\f-secure\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: c:\programme\f-secure\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: c:\programme\f-secure\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: c:\programme\f-secure\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: c:\programme\f-secure\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: c:\programme\f-secure\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: c:\programme\f-secure\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: c:\programme\f-secure\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: c:\programme\f-secure\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: c:\programme\f-secure\fsps\program\fslsp.dll
O10 - Unknown file in Winsock LSP: c:\programme\f-secure\fsps\program\fslsp.dll
O11 - Options group: [INTERNATIONAL] International*
O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O12 - Plugin for .UVR: C:\Programme\Internet Explorer\Plugins\NPUPano.dll
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: flashcft - flashcft.dll (file missing)
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Programme\F-Secure\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Programme\F-Secure\FSAUA\program\fsaua.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programme\F-Secure\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Programme\F-Secure\Common\FSMA32.EXE
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

Dies ist mein HJT LOG, und ich habe noch nichts bereinigt Bataalexander. Und irgendwas auffällig ???

KleinerMarce: Wenn ich wüsste wie ich nach schwachstellen suche, würd ich es tuen, aber ich habe echt kein Schimmer, wo und wie sowas aufzufinden ist.

Zitat:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDO WS\system32\ntos.exe,

Das ist ein Zbot Eintrag, bei Interesse googlen.
Der klaut alle Passwörter die er bekommen kann, insbesondere Online Banking, Online Spiele.
->>> NEUAUFSETZEN! Anleitung im FAQ Bereich, dann alle Passwörter ändern!

Ich habe gegoogelt, und tatsächlich, es ist ein Wurm,
aber ich habe auch nach anderen Dateien gegoogelt, auch diese sind nach google Würmer wie z.Bsp:
- browsel.dll
- iesearch.dll
- HPZipm12.exe

Ich habe deine Empfehlung Wahrgenommen und mir die Sachen durchgelesen,
es führt also kein Weg dran vorbei, muss also mein System neu aufsetzen und die ganzen Passwörter ändern. Was ist mit den Dateien, die ich o.g. habe. Sind das wirklich Würmer???

Nach dem Fund des ZBots, ist das irrelevant, was die anderen Dateien sind.
Natürlich nicht ganz, aber sie führen zu keinen anderen Handlungen als die, die die Infektion mit der ntos mit sich bringt.
Und nein, mir ist noch kein Thread begegnet, wo man diese ohne Neuaufsetzen bereinigen konnte und ich habe es selbst ein paar mal versuchen lassen.