Virus über Webseite
 

Hallo,

ich gestalte und aktualisiere unsere Firmen Webseite. Nachdem unsere Seite vor drei Wochen gehackt wurde, habe ich das Board entfernt und alle User 'rausgeworfen'. Anmelden geht auch nicht mehr. D.h. ich habe das Passwort geändert so das nur noch der Admin auf die Seite kommt.

Ich habe dann die ganze Seite überprüft.

Jetzt berichtet ein Kollege, dass nachdem er ein Formular abschickte (CGI), er sich den 'Security Tool' Virus/Trojaner gefangen hat.

Ich habe das dann auch getestet mit WINXP und Internetexplorer in einer Virtuellen Maschine, ...alles ok. Das CGI Formular ist ebenfalls ok.

Die Webseite ist mit Joomla erstellt, aber das betreffende Formular ist ein reines CGI und kein PHP Script.

Im Moment komme ich also nicht weiter.

Gibt es eine Möglichkeit eine Webseite nach Schadsoftware zu überprüfen?

Gruß Ralle

[Verstehe ich nicht. dann ist ja alles nicht mehr zugänglich. :kaffee:

Und dies ist alles auf einer Seite?
Alle Achtung, da weiß man dann wohl wozu eine Scrollmaus gut ist.
Wie kam der Kollege auf die Seite, wenn die Seite doch nur mit Admin-Kennwort zugänglich ist.

Hat dein Kollege sich tatsächlich die Malware "eingefangen" oder hat nur seine AV-Software gewarnt?

Du hättest mal ganz am Anfang Datum und Uhrzeit der Dateien (inkl. Scripte) überprüfen sollen.
Da man vernüftigerweise aber auch noch ein Backup (lokal) haben sollte, selbst wenn's nur eine Seite ist, kannst du auch mal die Größen der Dateien (Scripte) vergleichen, falls du per Datum/Uhrzeit nicht weiterkommst.
Auch sollten Schadscripte entweder zusätzlich(!) auf eurem Webspace sein, also im Backup nicht vorhanden sein oder sie werden extern nachgeladen, sollte also im Script schon auffallen.

Es gibt diverse AV-Programme bzw. Browsererweiterungen die Links oder auch Webseiten auf Malware überprüfen (es jedenfalls vorgeben), aber da würde ich mich NICHT drauf verlassen.

Wie hat er es bemerkt? Hat ein Antivirenprogramm alarm geschlagen?
Welches? In dem Logfile müsste ja stehen was genau den alarm verursacht hat oder nicht?


Es gibt hier einen Dienst von Norton. Norton ist allerdings immer Ziel zahlreicher diskusionen ob das Norton Antivirenprogramm unbedingt zu empfehlen ist. Daher würde ich auch hier dem Ergebniss nicht 100% trauen.
Viellicht könnte er dir aber anhaltspunkte geben. htt[p]:/[/]safeweb.norton.com/ ([ und ] entfernen)

Hallo und danke für die Antwort,

Einloggen kann sich keiner mehr, da das Admin-Passwort geändert wurde und kein Login-Formular auf der Startseite zu finden ist.

Da das Passwort bekannt war konnte sich der Kollege vor den Änderungen einloggen, das habe ich an den Stats sehen.

Der Kollege hat sich nun, drei Wochen später, das 'Security Tool' eingefangen. Angeblich nach absenden (Submit) des Formulars. Wie das funktionieren soll entzieht sich meiner Kenntnis.

Normalerweise muss ich doch bestätigen, dass ich das Security Tool installieren möchte, ...und erst dann beginnt das Theater?!

Gruß Ralle

> Wie hat er es bemerkt? Hat ein Antivirenprogramm Alarm geschlagen?
> Welches? In dem Logfile müsste ja stehen was genau den Alarm verursacht hat oder nicht?

Antivir. An die Logfiles komme ich nicht dran, da der Rechner neu aufgesetzt wurde.

Wie schon beschrieben, er hat sich das Securitytool gefangen. Keine Ahnung wie das funktionieren soll. Ich muss da doch die Installation von Securitytool bestätigen.

Gruß Ralle

AFAIK bei normalen Windows-Systemen - zumindest Prä-NT6 - ohne Rückfrage und Bestätigung (laut Kunden, System-Stand vor ca. 2-3 Monaten)
Trotzdem bitte mal die Fragen/Anregungen durchgehen.

So, ich bin fündig geworden:

Kasperski:

27.07.2010 09:49:09 hxxp://www.******/thanks.html Internet Explorer Gefunden: HEUR:Trojan.Script.Iframer


!.) hxxp://www.******/thanks.html
2.) hxxp://www.******/oops.html

Das sind die Bestätigungsmails für das CGI Formular. Das sind auch die beiden Sachen die noch das Datum vom Tage der Kompromittierung durch den Hackerangriff.

Ich habe Sie neu editiert.


Gruß Ralle

:daumenhoc
Danke für die Rückinfo