Hallo...
Ich betreibe 3 Homepages im web, eine private und zwei geschäftliche. seit einiger zeit tauchen auf den jeweiligen index.htm seiten immer wieder scripts auf, die teilweise umleiten bzw das laden der seiten verhindern. allerdings nur in der online-version, die jeweiligen index.htm files auf meinem pc bleiben unverändert. wenn ich meine original- index-seiten wieder hochlade, ist das script weg und die seiten funktionieren einige tage, bis wieder scripts auftauchen. ich habe die scripts teilweise koppiert bzw die adresse, an die weitergeleitet wird, kopiert.
ah ja, und die seiten werden bei verschiedenen webspaceprovidern gehostet...
kann mir jemand weiterhelfen?
danke...

Hi,

da kann man nicht viel helfen, bzw. nur ein paar allgemeine Hinweise geben. So wie es für Windows regelmäßig Updates gibt, gibt es auch für Serversoftware Updates. Um den Server selber kümmert sich (hoffentlich) dein Webspacedealer, aber wenn Du z.B. ein Forum oder ein Gästebuch hast, bist Du verantwortlich.

Weiterhin reicht es nach einem erfolgten Einbruch nicht aus, Dateien, die als verändert erkannt wurden, neu hochzuladen, sondern der Webspace muss komplett geleert werden und dann neu bestückt werden. Wer sich einmal Zugriff verschafft hat, will den auch behalten, dazu kann er sich eine Datei dort hinlegen, die das ermöglicht. Er kann auch irgendein bereits vorhandenes Script dazu verändern.

Schließlich solltest Du die auch Gedanken um den Computer und das Netzwerk machen, von dem aus Du die Seiten hochlädst. Es gibt Malware die die FTP-Zugangsdaten abgreift.

Hast Du Zugriff auf die Webserverlogs und die FTP-Logs?

Karl

Hi Karl...
Danke erstmal für die schnelle Antwort
Ich hatte ja kürzlich hier gepostet wegen trojaneralert - kam allerdings keine antwort - hier der threat:
http://www.trojaner-board.de/82067-trojaner-problem.html
ich denke zwar, daß ich die trojans los bin, da ich seit ich pc notebook und usb stick mit den 3 tools bearbeitet habe, keine alarme mehr hab und vollständige scans mit mbam keine funde mehr brachten, aber vielleicht hat der trojan ja die ftp-daten geklaut - das ist nämlich die einzige gemeinsamkeit zwischen den seiten, ich lade alle über wsftp hoch...
leider sind das free webspace provoder (arcor, host4free, freenet) und da support zu kriegen kannste vergessen...
da liegt auch das problem, denn nur über deren support kann man das ftp-passwort ändern lassen...
ich denke also, es bleibt mir nur eins übrig: neuen webspace besorgen (bei nem vernüftigen provider), wsftp de- und neu installieren, datein von meinem pc dohin hochladen und das passwort künftig nich mehr im ftp speichern.
was meinst du dazu? bin ich die tojans los? und und was ist mit anderen passwörtern (banking, mail usw.) - die geb ich allerdings immer manuell ein, sind nicht auf dem pc gespeichert..
danke dir echt für deine hilfe...

Eine Menge Trojaner brauchen es auch nicht, dass Du Passwörter auf dem PC speicherst, die greifen die einfach bei der Eingabe per Keylogger ab. Wobei es nicht schwer ist zu wissen, wann die Eingaben potentiell interessant sind. Also ob gerade Eingaben in ein FTP-Programm oder die Webseite einer Bank erfolgen.

In deinem alten Thread steht die Datei wwwpos32.exe. Ich weiß nicht, was das ist, bin mir aber sehr sicher, dass es jedenfalls nicht gutartig ist.

Zugangsdaten muss man ändern können. Angebote, wo das nicht möglich ist, sollte man meiden. Wobei ich nicht weiß ob es das bei Freehostern gibt.

hi..
das wwwpos32.exe taucht auch in meinen autostart-programmen auf...
hatte das kürzlich deaktiviert, um zu sehen, obs gebraucht wird.
als ich jetzt in meinem thread danach gesucht hab, fiels mir wieder ein und ich hab über die systemsteuerung die option autostart-programme ändern aufgerufen - da stands plötzlich wieder als aktiv. ich habs dann deaktiviert, und prompt sprang antivir an und brachte ne warnung...
In der Datei 'C:\Users\PC012007\AppData\Local\Microsoft\Windows Defender\Software Explorers\Disabled Startup Folder Items\wwwpos32.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen
jetzt stehts auf deaktiviert, kanns aber über defender nich entfernen - wohl weil antivir es schon gelöscht hat...
is aber der gleiche trojan, der ja vorher schon da war - kann es sein, daß ich mir den über eines der scripts auf den index-seiten wieder reingeholt hab - oder wie werd ich das viech nun endgültig los??

korrigiere: jetzt is es auch aus der autostart-liste komplett raus...
und lt windows ist die datei jetzt nich mehr auf dem pc - aber wo kam sie so plötzlich wieder her - über eins der scripts oder übers ftp, als ich da nach logs gesucht hab?

Keine Ahnung. Aber bedenke, dass ein Trojaner nicht gerne alleine ist. Hat er einen Computer erobert lädt er gerne all seine Kollegen ein und die sind oft nicht so offensichtlich zu erkennen wie dieser Eintrag.